Seguridad : Cisco Email Security Appliance

¿Cómo usted utiliza el LDAP validó la interrogación para validar el remitente de los mensajes retransmitidos?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Pregunta

¿Cómo usted utiliza el LDAP validó la interrogación para validar el remitente de los mensajes retransmitidos?

Contribuido por Soren Petersen y Siddharth Rajpathak, ingenieros de Cisco TAC.

ADVERTENCIA: Usted puede realizar solamente un LDAP valida la interrogación en el sobre “correo” del direccionamiento si el mensaje llega en un módulo de escucha público. El módulo de escucha privado no tiene en cuenta el uso del LDAP valida las interrogaciones. El LDAP valida la interrogación se aplica solamente a las conexiones hacia adentro. Por este motivo el “comportamiento de la conexión” de la directiva del flujo de correo no se debe fijar para retransmitir para que esta configuración trabaje.

Abajo están los pasos necesarios para poner el LDAP validan la validación del remitente de la interrogación:

  1. Para permitir/niegue los remitentes internos de la retransmisión hacia fuera a Internet, dependiendo de la existencia de su direccionamiento del correo en el LDAP, su módulo de escucha privado tendrá que ser substituido por un módulo de escucha público. En este ejemplo nombrarán al nuevo módulo de escucha público “Outbound_Sender_Validation”.
     
  2. Cree un nuevo perfil del servidor LDAP y ponga un LDAP validan la interrogación para este perfil. Para conseguir el LDAP valide la interrogación para validar el correo del sobre del direccionamiento que usted necesitará substituir {a} con {f} en la cadena de consulta. Los detalles en cómo configurar y el uso LDAP se pueden encontrar en la guía de usuario avanzado.

    Ejemplo.: (mail= {a}) => (mail= {f})
     
  3. Habilite el LDAP configurado validan la interrogación en el módulo de escucha de “Outbound_Sender_Validation”.
     
  4. Van a las “directivas del correo > el acceso receptor Table(RAT)” y el Switch al nuevo módulo de escucha público, “Outbound_Sender_Validation”. Para tener en cuenta la retransmisión, fije “al resto de los beneficiarios” para validar, y asegúrese de que ésta es la única entrada en el RAT.
     
  5. Va la “descripción del SOMBRERO” y conmuta al módulo de escucha de “Outbound_Sender_Validation”. Aquí, usted necesita solamente un grupo del remitente. Para evitar el riesgo de una retransmisión abierta del correo, es recomendable configurar este grupo del remitente para hacer juego solamente para los IP Addresses de los MTA que se permiten retransmitir.
    • Es importante que el “comportamiento de la conexión” de la directiva asignada del flujo de correo no está fijado para retransmitir pues éste inhabilitaría de otra manera el uso del LDAP valida la interrogación. 
    • Para asegurar que ningún otro MTA puede conectar vía “Outbound_Sender_Validation” fijó la directiva del valor por defecto “TODO EL” grupo del remitente a BLOQUEADO.

Qué se ve en los registros

ADVERTENCIA: De acuerdo con esta configuración, el rechazo no se hace antes de que se haya recibido el sobre Rcpt a dirigir. Esto es porque el LDAP valida la interrogación fue pensado originalmente para el beneficiario bastante que la validación del remitente. Esto también aparece en los registros del correo, donde el rechazo LDAP se expone en la misma línea de registro que el direccionamiento receptor:

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

La mirada de esta entrada de registro le llevaría a creer que el direccionamiento rechazado es “good_user@example.com” aunque es realmente “do_not_exist@example.test” se rechaza que.



Document ID: 118580