Sécurité : Appareil de sécurité de courriel Cisco

Comment utilisez-vous le LDAP recevez-vous la requête pour valider l'expéditeur des messages transmis par relais ?

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Question

Comment utilisez-vous le LDAP recevez-vous la requête pour valider l'expéditeur des messages transmis par relais ?

Contribué par Soren Petersen et Siddharth Rajpathak, ingénieurs TAC Cisco.

AVERTISSEMENT : Vous pouvez seulement exécuter un LDAP recevez la requête sur l'enveloppe « messagerie » d'adresse si le message arrive sur un auditeur public. L'auditeur privé ne tient pas compte de l'utilisation du LDAP reçoivent des requêtes. Le LDAP reçoivent la requête est appliqué seulement aux connexions entrantes. Pour cette raison le « comportement de connexion » de la stratégie de flux de courrier ne doit pas être placé pour transmettre par relais pour que cette installation fonctionne.

Sont ci-dessous les étapes requises pour installer le LDAP reçoivent la validation d'expéditeur de requête :

  1. Pour laisser/refusez les expéditeurs internes du relais à l'Internet, selon l'existence de leur adresse de messagerie dans le LDAP, votre auditeur privé devra être remplacé par un auditeur public. Dans cet exemple le nouvel auditeur public sera nommé « Outbound_Sender_Validation ».
     
  2. Créez un nouveau profil de serveur LDAP et installez un LDAP reçoivent la requête pour ce profil. Pour obtenir le LDAP recevez la requête pour valider la messagerie d'enveloppe de l'adresse que vous devrez substituer {a} avec {f} dans la chaîne de requête. Des détails sur la façon dont configurer et le LDAP d'utilisation peuvent être trouvés du guide d'utilisateur avancé.

    Exemple. : (mail= {a}) => (mail= {f})
     
  3. Activez le LDAP configuré reçoivent la requête sur l'auditeur de « Outbound_Sender_Validation ».
     
  4. Allez aux « stratégies de messagerie Access réceptif Table(RAT) » et commutez au nouvel auditeur public, « Outbound_Sender_Validation ». Pour tenir compte du relais, placez « tous autres destinataires » pour recevoir, et assurez-vous que c'est la seule entrée chez le RAT.
     
  5. Allez « aperçu de CHAPEAU » et commutez à l'auditeur de « Outbound_Sender_Validation ». Ici, vous avez besoin seulement d'un groupe d'expéditeur. Pour éviter le risque d'un relais de messagerie ouvert, il est recommandé d'installer ce groupe d'expéditeur pour apparier seulement pour les adresses IP des MTA qui sont permis pour transmettre par relais.
    • Il est important que le « comportement de connexion » de la stratégie assignée de flux de courrier ne soit pas placé pour transmettre par relais car ceci autrement désactiverait l'utilisation du LDAP reçoivent la requête. 
    • Pour assurer qu'aucun autre MTA ne peut se connecter par l'intermédiaire du « Outbound_Sender_Validation » a placé la stratégie du par défaut « TOUT LE » groupe d'expéditeur à BLOQUER.

Ce qui est vu dans les logs

AVERTISSEMENT : Basé sur cette installation, le rejet n'est pas fait avant que l'enveloppe Rcpt à adresser ait été reçue. C'est parce que le LDAP reçoivent la requête initialement a été destiné pour le destinataire plutôt que la validation d'expéditeur. Ceci apparaît également dans les logs de messagerie, où l'anomalie de LDAP est énoncée sur la même ligne se connectante que l'adresse réceptive :

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

Regarder cette entrée de journal vous mènerait croire que l'adresse rejetée est « good_user@example.com » quoique ce soit réellement « do_not_exist@example.test » qui est rejeté.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118580