Безопасность : устройства безопасности электронной почты Cisco ESA

Как вы используете LDAP, Принимают, что Запрос проверяет отправителя переданных сообщений?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Вопрос

Как вы используете LDAP, Принимают, что Запрос проверяет отправителя переданных сообщений?

Внесенный Зореном Петерсеном и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

% Warning: Можно только выполнить, LDAP Принимают Запрос на конверте 'почта от' адреса, если сообщение поступает в Общего Слушателя. Частный Слушатель не обеспечивает использование LDAP, Принимают Запросы. LDAP Признает, что Запрос применен только к входящим подключениям. Поэтому 'Поведение Соединения' Почтовой Политики Потока не должно собираться в Реле для этой настройки работать.

Ниже шаги, должен был установить LDAP, Принимают проверку отправителя Запроса:

  1. Для Разрешения внутренних отправителей от передачи к Интернету, в зависимости от существования их почтового адреса в LDAP, Частный Слушатель должен будет быть заменен Общим Слушателем. В данном примере нового Общего Слушателя назовут "Outbound_Sender_Validation".
     
  2. Создайте новый Профиль Сервера LDAP и установите LDAP, Принимают Запрос для этого профиля. Для получения LDAP Принимают, что Запрос проверяет Почту конверта От адреса, которым необходимо будет заменить {f} в строке запроса. Подробные данные о том, как настроить и использовать LDAP, могут быть найдены в Руководстве Опытного пользователя.

    Пример.: (отправьте по почте =)  , =>  (почта = {f})
     
  3. Включите настроенный LDAP, Принимают Запрос на Слушателе "Outbound_Sender_Validation".
     
  4. Перейдите "к Почтовой Политике > таблица доступа получателей (RAT)" и коммутатор новому Общему Слушателю, "Outbound_Sender_Validation". Для учета реле заставьте "Всех Других Получателей" Принимать, и гарантировать, что это - единственная запись в RAT.
     
  5. Перейдите к "Обзору HAT" и коммутатору Слушателю "Outbound_Sender_Validation". Здесь, вам только нужна одна Sender Group. Для предотвращения риска открытого почтового реле желательно установить эту Sender Group, чтобы только совпасть для IP-адресов MTA, которым позволяют передать.
    • Важно , чтобы 'Поведением Соединения' назначенной Почтовой Политики Потока был "Not set" к Реле, поскольку это иначе отключило бы использование LDAP, Принимают Запрос. 
    • Чтобы гарантировать, что никакой другой MTA не может соединиться через "Outbound_Sender_Validation", устанавливает Политику "ALL" по умолчанию Sender Group к ЗАБЛОКИРОВАННОМУ.

Что замечено в журналах

% Warning: На основе этой настройки не сделано отклонение, прежде чем Rcpt конверта Для адресации был получен. Это вызвано тем, что LDAP Признает, что Запрос первоначально был предназначен для проверки отправителя, а не получателя. Это также обнаруживается в почтовых журналах, где отклонение LDAP сообщается на той же линии регистрации как адрес получателя:

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

Рассмотрение этой записи журнала вело бы вас полагать, что отклоненный адрес является 'good_user@example.com' даже при том, что это фактически 'do_not_exist@example.test', который отклонен.



Document ID: 118580