질문
LDAP Accept Query(LDAP 수락 쿼리)를 사용하여 릴레이된 메시지의 발신자를 검증하려면 어떻게 해야 합니까?
경고: 메시지가 퍼블릭 리스너에 도착한 경우 봉투 'mail from' 주소에 대한 LDAP 수락 쿼리만 수행할 수 있습니다.프라이빗 리스너는 LDAP 수락 쿼리 사용을 허용하지 않습니다.LDAP 수락 쿼리는 인바운드 연결에만 적용됩니다.따라서 이 설정이 작동하려면 메일 흐름 정책의 '연결 동작'을 릴레이로 설정하지 않아야 합니다.
다음은 LDAP Accept Query 발신자 검증을 설정하는 데 필요한 단계입니다.
- 내부 발신자가 인터넷으로 릴레이하는 것을 허용/거부하려면, LDAP에 메일 주소가 있는 경우, 프라이빗 리스너를 퍼블릭 리스너로 교체해야 합니다.이 예에서는 새 Public Listener의 이름이 "Outbound_Sender_Validation"이 됩니다.
- 새 LDAP 서버 프로필을 생성하고 이 프로파일에 대해 LDAP 수락 쿼리를 설정합니다.봉투 메일 보낸 사람 주소의 유효성을 검사하기 위해 LDAP 수락 쿼리를 가져오려면 쿼리 문자열에서 {a}을(를) {f}(으)로 대체해야 합니다.LDAP를 구성하고 사용하는 방법에 대한 자세한 내용은 고급 사용 설명서를 참조하십시오.
예:(메일={a}) => (메일={f})
- "Outbound_Sender_Validation" 리스너에서 구성된 LDAP Accept 쿼리를 활성화합니다.
- "Mail Policies(메일 정책) > Recipient Access Table(RAT)"로 이동하여 새 퍼블릭 리스너, "Outbound_Sender_Validation"으로 전환합니다. 릴레이를 허용하려면 "All Other Recipients(기타 모든 수신자)"를 Accept(수락)로 설정하고 이 항목이 RAT의 유일한 항목인지 확인합니다.
- "HAT Overview(HAT 개요)"로 이동하여 "Outbound_Sender_Validation" 리스너로 전환합니다.여기서는 발신자 그룹이 하나만 필요합니다. 열린 메일 릴레이의 위험을 방지하려면 이 발신자 그룹이 릴레이할 수 있는 MTA의 IP 주소에만 일치하도록 설정하는 것이 좋습니다.
- 할당된 메일 플로우 정책의 '연결 동작'이 릴레이로 설정되지 않은 경우 LDAP 수락 쿼리 사용을 비활성화하기 때문에 중요합니다.
- 다른 MTA가 "Outbound_Sender_Validation"을 통해 연결할 수 없도록 기본 "ALL" 발신자 그룹의 Policy(정책)를 BLOCKED로 설정합니다.
로그에 표시되는 내용
경고:이 설정에 따라 봉투 수신 주소를 수신하기 전에는 거부가 수행되지 않습니다.이는 LDAP 수락 쿼리가 원래 발신자 검증보다는 수신자를 위한 목적이었기 때문입니다. 이는 메일 로그에도 표시되며, 여기에서 LDAP 거부는 수신자 주소와 동일한 로깅 라인에 지정됩니다.
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
이 로그 항목을 보면 거부된 주소가 실제로는 'do_not_exist@example.test'이지만 거부된 주소가 'good_user@example.com'이라고 믿게 됩니다.