セキュリティ : Cisco E メール セキュリティ アプライアンス

どのように LDAP を中継で送られたメッセージの送信側を検証するためにクエリを受け入れるために使用しますか。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

質問

どのように LDAP を中継で送られたメッセージの送信側を検証するためにクエリを受け入れるために使用しますか。

ゾーレン Petersen および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

WARNING: メッセージが公共リスナーに着く場合だけ受け入れますエンベロープ アドレス「からの」メールのクエリを LDAP を行うことができます。 私用リスナーは LDAP の使用方法を受け入れますクエリを考慮に入れません。 LDAP は着信接続にだけクエリを適用されます受け入れます。 従ってメール フロー ポリシーの「接続動作」ははたらくためにこのセットアップ用の中継で送るように設定 されてはなりません。

LDAP を設定するのに必要とされるステップは受け入れますクエリ送信側 検証を下記にあります:

  1. /拒否割り当てることは、LDAP のメール アドレスのプロシージャによってインターネットへ中継で送ることからの内部 送信側、私用リスナー公共リスナーと取り替えられなければなりません。 この例で新しい公共リスナーは「Outbound_Sender_Validation」と名前を挙げられます。
     
  2. 新しい LDAPサーバ プロファイルを作成し、LDAP を受け入れますこのプロファイルのためのクエリを設定して下さい。 LDAP をクエリ文字列で{a}と{f}置換する必要があるアドレスからのエンベロープ メールを検証するために得るためにクエリを受け入れて下さい。 方法の詳細および使用 LDAP はアドバンスド ユーザー ユーザーズ ガイドで設定する見つけることができます。

    例。: (mail= {a}) => (mail= {f})
     
  3. 設定された LDAP を受け入れます「Outbound_Sender_Validation」リスナーのクエリを有効に して下さい。
     
  4. > 受信者のアクセス Table(RAT)メール ポリシー」はに「行き、新しい公共リスナーに、「Outbound_Sender_Validation」切り替えます。 リレーを可能にするために、受け入れるために「他のすべての受信者」を設定 しこれが RATS の唯一のエントリであることを確認して下さい。
     
  5. 「Outbound_Sender_Validation」「帽子外観」はに行き、リスナーに切り替えます。 ここでは、1 送信側 グループだけを必要とします。 開いたメール リレーのリスクを逃れるために、中継で送ることができる MTA の IP アドレスのために一致するためにただこの送信側 グループを設定することは賢明です。
    • これが他では LDAP の使用を受け入れるクエリをディセーブルにするので割り当てられたメール フロー ポリシーの「接続動作」が中継で送るために設定 されないことは重要です。 
    • Outbound_Sender_Validation」を他の MTA がによって「接続できないこと確認することはブロックされるにデフォルトのポリシーを「すべての」送信側 グループ 設定 しました。

見られる何がログで

警告: このセットアップに基づいて、拒絶は当たるべきエンベロープ Rcpt が受け取られた前に行われません。 これは LDAP が送信側 検証よりもむしろ受信者のためにクエリをオリジナルに意図されていた受け入れるという理由によります。 これはまた LDAP リジェクトが受信者のアドレスと同じロギング行で示されるメール ログに出て来ます、:

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

この Log エントリを検知 することは拒否されるそれが実際に「do_not_exist@example.test」であるのに拒否されたアドレスが「good_user@example.com」であることを信じるために導きます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118580