安全 : Cisco IronPort Email 安全设备

如何使用LDAP接受查询验证中继的消息发送方?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

问题

如何使用LDAP接受查询验证中继的消息发送方?

贡献用索伦耶森Petersen和Siddharth Rajpathak, Cisco TAC工程师。

警告: 如果消息在公共监听程序,到达您可只执行LDAP接受在信封‘从’地址的邮件的查询。私有监听程序不允许LDAP使用情况接受查询。LDAP接受查询仅应用对Inbound连接。为此不能设置‘连接行为’邮件流量策略中继为了此设置能工作。

下面必要的步骤设置LDAP接受查询发送方验证:

  1. 要准许/请拒绝从中继的内部发送方到互联网,根据他们的在LDAP的邮件地址的存在,您的私有监听程序将必须用公共监听程序替换。在本例中新的公共监听程序将被命名“Outbound_Sender_Validation”。
     
  2. 创建一新的LDAP服务器配置文件并且设置LDAP接受此配置文件的查询。要获得LDAP请接受查询验证从您将需要替换的地址的信封邮件{a}与{f}在查询字符串。关于怎样的详细信息配置和使用LDAP可以在高级用户指南找到。

    示例。:(mail= {a}) => (mail= {f})
     
  3. 启用已配置的LDAP接受在“Outbound_Sender_Validation”监听程序的查询。
     
  4. 去“邮件策略>接收对新的公共监听程序的访问Table(RAT)”和交换机, “Outbound_Sender_Validation”。要允许中继,请设置“其他收件人”接受,并且保证这是在RATS的唯一的条目。
     
  5. 去“帽子概述”并且换成“Outbound_Sender_Validation”监听程序。这里,您只需要一发送方组。 要避免一个开放邮件中继的风险,组成此发送方组为允许中继MTA的IP地址只匹配是可行的。
    • 重要的是‘连接行为’已分配邮件流量策略没有设置中继,因为这将否则禁用使用LDAP接受查询。 
    • 要保证其他MTA不能通过连接“Outbound_Sender_Validation”设置默认的策略“所有”发送方组对阻止。

什么在日志被看到

警告:在寻址的信封Rcpt接收前,凭此设置,拒绝没有完成。这是因为LDAP接受查询最初供收件人使用而不是发送方验证。 这在邮件日志也出现, LDAP拒绝在记录行陈述和接收地址一样:

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

查看此日志条目将导致您相信已拒绝地址是‘good_user@example.com’,即使拒绝的它实际上是‘do_not_exist@example.test’。



Document ID: 118580