如果在网络基础设施的 LDAP 目录中存储用户信息，则可以将邮件网关配置为查询 LDAP 服务器以用于实现以下目的：

• 接受查询。可以使用现有 LDAP 基础设施来定义如何处理传入邮件的收件人邮件地址（在公共侦听程序中）。有关详细信息，请参阅使用接受查询进行收件人验证。
• 路由（别名设置）。可以将邮件网关配置为根据网络中 LDAP 目录中的可用信息，将邮件路由至相应地址和/或邮件主机。有关详细信息，请参阅使用路由查询将邮件发送到多个目标地址。
• 证书身份验证。可以创建查询来检查客户端证书的有效性，以便对用户的邮件客户端与邮件网关之间的 SMTP 会话进行身份验证。有关详细信息，请参阅检查客户端证书的有效性。
• 伪装。您可以伪装信封发件人（针对传出邮件）和信头（针对传入邮件，例如，To:、Reply To:、From: 或 CC: 信头）。有关伪装的更多信息，请参阅使用伪装查询重写信封发件人。
• 组查询。可以将邮件网关配置为根据 LDAP 目录中的组对邮件执行操作。为此，可以将组查询与邮件过滤器相关联。可以对与定义的 LDAP 组匹配的邮件执行适用于邮件过滤器的任何邮件操作。有关详细信息，请参阅使用组 LDAP 查询确定收件人是否为组成员。
• 基于域的查询。可以创建基于域的查询，以便邮件网关在单个侦听程序中为不同的域执行不同的查询。当邮件网关运行基于域的查询时，它会根据域确定要使用的查询，并且会查询与该域关联的 LDAP 服务器。
• 链查询。可以创建链查询来使邮件网关按顺序执行一系列查询。在配置链查询时，邮件网关会按顺序运行每个查询，直到 LDAP 设备返回一个积极的结果。对于链接的路由查询，邮件网关会按顺序对每个重写的邮件地址重新运行已配置的相同链查询。
• 目录搜集预防。可以将邮件网关配置为使用 LDAP 目录来抵御目录搜集攻击。可以在 SMTP 会话期间或在工作队列中配置目录搜集攻击预防。如果在 LDAP 目录中找不到收件人，可以配置系统以执行延迟退回或彻底丢弃邮件。因此，垃圾邮件发送者无法区分有效和无效的邮件地址。请参阅将 LDAP 用于目录搜集攻击预防。
• SMTP 身份验证。AsyncOS 支持 SMTP 身份验证。SMTP 身份验证是用于验证连接到 SMTP 服务器的客户端的一种机制。可以使用该功能使贵组织中的用户可以使用邮件服务器发送邮件，即使他们利用远程连接（例如在家中或在旅行时）也是如此。有关详细信息，请参阅配置 AsyncOS 进行 SMTP 身份验证。
• 外部身份验证。可以将邮件网关配置为使用 LDAP 目录来对登录到邮件网关的用户进行身份验证。有关详细信息，请参阅为用户配置外部 LDAP 身份验证。
• 垃圾邮件隔离区最终用户身份验证。可以将邮件网关配置为在用户登录最终用户隔离区时对其进行验证。有关详细信息，请参阅对垃圾邮件隔离区的最终用户进行身份验证。
• 垃圾邮件隔离区别名合并。如果为垃圾邮件使用邮件通知，则此查询会合并最终用户别名，以便最终用户不会根据每个别名邮件地址都收到隔离区通知。有关详细信息，请参阅 垃圾邮件隔离区别名整合查询。

使用 LDAP 目录时，可以将邮件网关与 LDAP 目录服务器配合使用，以接受收件人、路由邮件和/或伪装邮件信头。还可以将 LDAP 组查询与邮件过滤器配合使用，以创建邮件网关收到邮件时的处理规则。

下图展示邮件网关如何与 LDAP 配合使用：

1. 发送 MTA 通过 SMTP 将邮件发送到公共侦听程序。
2. 邮件网关设备通过系统管理 (System Administration) > LDAP 页面（或通过全局 ldapconfig 命令）查询定义的 LDAP 服务器。
3. 将从 LDAP 目录接收数据，而且根据在系统管理 (System Administration) > LDAP 页面（或在 ldapconfig 命令中）定义由侦听程序使用的查询：
   • 邮件将路由到新的收件人地址，或者被丢弃或退回
   • 邮件将路由到新收件人的相应邮件主机
   • 根据查询重写 From:、To: 和 CC: 邮件信头
   • 执行 rcpt-to-group 或 mail-from-group 邮件过滤器规则（与配置的组查询配合使用）定义的进一步操作。

Note	可以将邮件网关配置为连接到多个 LDAP 服务器。当这样做时，可以配置用于负载平衡或故障转移的 LDAP 配置文件设置。有关使用多个 LDAP 服务器的详细信息，请参阅将 AsyncOS 配置为与多个 LDAP 服务器配合使用。

使用“添加/编辑 LDAP 服务器配置文件”(Add/Edit LDAP Server Profile) 页面上的“测试服务器”按钮（或 CLI 中 ldapconfig 命令的 test 子命令）测试与 LDAP 服务器的连接。AsyncOS 随即显示一条消息，说明到服务器端口的连接是成功还是失败。如果配置了多台 LDAP 服务器，则 AsyncOS 会测试每台服务器并显示各个测试结果。

要允许邮件网关在您接收或发送邮件时运行 LDAP 查询，必须在适当的侦听程序上启用 LDAP 查询。

AsyncOS 包含一个配置选项，可用于为 Microsoft Exchange 5.5 提供支持。如果使用较高版本的 Microsoft Exchange，则不需要启用此选项。在配置 LDAP 服务器时，可选择通过在 ldapconfig -> edit -> server -> compatibility 子命令（仅通过 CLI 可用）中出现提示时回答“y”来启用 Microsoft Exchange 5.5 支持。

mail3.example.com> ldapconfig

Current LDAP server configurations:

1. PublicLDAP: (ldapexample.com:389)


Choose the operation you want to perform:

- NEW - Create a new server configuration.

- EDIT - Modify a server configuration.

- DELETE - Remove a server configuration.


[]> edit

Enter the name or number of the server configuration you wish to edit.

[]> 1

Name: PublicLDAP

Hostname: ldapexample.com Port 389

Authentication Type: anonymous

Base: dc=ldapexample,dc=com

Choose the operation you want to perform:

- SERVER - Change the server for the query.

- LDAPACCEPT - Configure whether a recipient address should be accepted or
bounced/dropped.

- LDAPROUTING - Configure message routing.

- MASQUERADE - Configure domain masquerading.

- LDAPGROUP - Configure whether a sender or recipient is in a specified group.

- SMTPAUTH - Configure SMTP authentication.

[]> server

Name: PublicLDAP

Hostname: ldapexample.com Port 389

Authentication Type: anonymous

Base: dc=ldapexample,dc=com


Microsoft Exchange 5.5 Compatibility Mode: Disabled

Choose the operation you want to perform:

- NAME - Change the name of this configuration.

- HOSTNAME - Change the hostname used for this query.

- PORT - Configure the port.

- AUTHTYPE - Choose the authentication type.

- BASE - Configure the query base.

- COMPATIBILITY - Set LDAP protocol compatibility options.

[]> compatibility
Would you like to enable Microsoft Exchange 5.5 LDAP compatibility mode? (This is not
recommended for versions of Microsoft Exchange later than 5.5, or other LDAP servers.)


[N]> y

Do you want to configure advanced LDAP compatibility settings? (Typically not required)

[N]>

Name: PublicLDAP

Hostname: ldapexample.com Port 389

Authentication Type: anonymous

Base: dc=ldapexample,dc=com

Microsoft Exchange 5.5 Compatibility Mode: Enabled (attribute "objectClass")

Choose the operation you want to perform:

- NAME - Change the name of this configuration.

- HOSTNAME - Change the hostname used for this query.

- PORT - Configure the port.

- AUTHTYPE - Choose the authentication type.

- BASE - Configure the query base.

- COMPATIBILITY - Set LDAP protocol compatibility options.

[]>

• 接受查询。有关详细信息，请参阅使用接受查询进行收件人验证。
• 路由查询。有关详细信息，请参阅使用路由查询将邮件发送到多个目标地址。
• 证书身份验证查询。有关详细信息，请参阅检查客户端证书的有效性。
• 伪造查询。有关详细信息，请参阅使用伪装查询重写信封发件人。
• 组查询。有关详细信息，请参阅使用组 LDAP 查询确定收件人是否为组成员。
• 基于域的查询。有关详细信息，请参阅使用基于域的查询路由到特定域。
• 链查询。有关详细信息，请参阅使用链查询执行一系列 LDAP 查询。

还可以为以下目的配置查询：

• 目录搜集预防。有关详细信息，请参阅了解 LDAP 查询。
• SMTP 身份验证。有关详细信息，请参阅配置 AsyncOS 进行 SMTP 身份验证。
• 外部身份验证。有关详细信息，请参阅为用户配置外部 LDAP 身份验证。
• 垃圾邮件隔离区最终用户身份验证查询。有关详细信息，请参阅对垃圾邮件隔离区的最终用户进行身份验证。
• 垃圾邮件隔离区别名整合查询。有关详细信息，请参阅垃圾邮件隔离区别名整合查询。

指定的搜索查询适用于在系统上配置的所有侦听程序。

目录的根级别称为基本。基本的名称为 DN（可分辨名称）。Active Directory 的基本 DN 格式（以及按照 RFC 2247 的标准）会将 DNS 域转换为域组成部分 (dc=)。例如，example.com 的基本 DN 为：dc=example，dc=com。请注意，DNS 名称的每个部分均按顺序表示。这可能会或不会反映您的配置的 LDAP 设置。

如果目录中包含多个域，则您可能会发现不便为查询输入单个 BASE。在本例中，在配置 LDAP 服务器设置时，请将基本 DN 设置为“无”(NONE)。但是，这会让搜索效率低下。

允许 LDAP 路径中使用空格，而且不需要使用引号。CN 和 DC 语法不区分大小写。

Cn=First Last,oU=user,dc=domain,DC=COM

为查询输入的变量名称区分大小写，且必须与 LDAP 实施匹配才能正常工作。例如，在提示符中输入 mailLocalAddress 执行的查询不同于输入 maillocaladdress 执行的查询。

可以指示 AsyncOS 在与 LDAP 服务器通信时使用 SSL。如果将 LDAP 服务器配置文件配置为使用 SSL：

• AsyncOS 将使用通过 CLI 中的 certconfig 配置的 LDAPS 证书（请参阅创建自签名 证书）。

  可能必须将 LDAP 服务器配置为支持使用 LDAPS 证书。

• 如果未配置 LDAPS 证书，则 AsyncOS 将使用演示证书。

LDAP 路由查询没有递归限制；路由完全由数据驱动。但是，AsyncOS 会检查循环参考数据以防止无限循环地进行路由。

可能需要配置 LDAP 目录服务器以允许匿名查询。（即，客户端可匿名绑定到服务器并执行查询。）有关配置 Active Directory 以允许匿名查询的具体说明，请参阅以下 URL 的“Microsoft 知识库文章 - 320528”：

http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B320528
 

或者，可以配置一个“用户”，将其专用于身份验证和执行查询，而不是打开 LDAP 目录服务器以从任何客户端进行匿名查询。

此处提供相应步骤的摘要，特别是：

• 如何设置 Microsoft Exchange 2000 服务器以允许“匿名”身份验证。
• 如何设置 Microsoft Exchange 2000 服务器以允许“匿名绑定”。
• 如何使用“匿名绑定”和“匿名”身份验证设置 AsyncOS 以从 Microsoft Exchange 2000 服务器检索 LDAP 数据。

必须为 Microsoft Exchange 2000 服务器提供特定权限，以便允许“匿名”或“匿名绑定”身份验证，从而查询用户邮件地址。当 LDAP 查询用于确定进入 SMTP 网关的传入邮件的有效性时，该操作非常有用。

使用每个查询类型对应的“添加 LDAP 服务器配置文件”(Add LDAP Server Profile)/“编辑 LDAP 服务器配置文件”(Edit LDAP Server Profile) 页面上的“测试查询 (Test Query) 按钮（或 CLI 中的 test 子命令）来测试对配置的 LDAP 服务器的查询。除了显示结果之外，AsyncOS 还显示有关查询连接测试每个阶段的详细信息。可以测试每个查询类型。

ldaptest 命令以批处理命令的形式提供，例如：

ldaptest LDAP.ldapaccept foo@ironport.com

如果在 LDAP 服务器属性的“主机名”(Host Name) 字段中输入了多个主机，则邮件网关会在每个 LDAP 服务器上测试查询。

Note	为查询输入的变量名称区分大小写，且必须与 LDAP 实施匹配才能正常工作。例如，在提示符处输入 mailLocalAddress 执行的查询与输入 maillocaladdress 执行的查询是不同的。思科系统公司强烈建议使用 ldapconfig 命令的 test 子命令来测试所构建的所有查询，并确保返回正确结果。

如果邮件网关无法连接 LDAP 服务器，将会显示下列错误之一：

• Error: LDAP authentication failed: <LDAP Error "invalidCredentials" [0x31]>
• Error: Server unreachable: unable to connect
• Error: Server unreachable: DNS lookup failure

请注意，可能由于在服务器配置中输入了错误的端口或端口无法在防火墙中打开，无法连接到服务器。LDAP 服务器通常通过端口 3268 或 389 通信。Active Directory 使用端口 3268 访问在多服务器环境中使用的全局目录（有关详细信息，请参阅“防火墙信息”附录。）在 AsyncOS 4.0 中，添加了通过 SSL 与 LDAP 服务器通信（通常通过端口 636）的功能。有关详细信息，请参阅安全 LDAP (SSL)。

也可能由于输入的主机名无法解析，无法连接服务器。

可以使用“添加/编辑 LDAP 服务器配置文件”(Add/Edit LDAP Server Profile) 页面上的测试服务器（或 CLI 中 ldapconfig 命令的 test 子命令）测试与 LDAP 服务器的连接。有关详细信息，请参阅测试 LDAP 服务器。

如果LDAP服务器无法访问:

• 如果在工作队列中启用了 LDAP 接受、伪装或路由，则邮件会保留在工作队列中。
• 如果未启用 LDAP 接受，但在过滤器中使用了其他查询（组策略检查等），则过滤器求值为 False。

下表显示了接受查询示例。

还可以验证用户名（左侧）。如果目录不包含要接受其邮件的所有域，则该验证非常有用。将接受查询设置为 (uid={u})。

请注意，LDAPACCEPT 和 Lotus Notes 存在潜在问题。如果 Notes LDAP 包含具有如下属性的人员：

mail=juser@example.com


cn=Joe User


uid=juser


cn=123456


location=New Jersey

Lotus 会接受此人各种不同格式邮件地址而不是指定地址的邮件，例如“Joe_User@example.com”- 其在 LDAP 中不存在。因此 AsyncOS 可能找不到该用户的所有有效的用户邮件地址。

一个可能的解决方案是尝试发布其他格式的地址。请联系 Lotus Notes 管理员以获得更多详细信息。

(mailLocalAddress={a})

(mail={a})
(mailForwardingAddress={a})
(mailEquivalentAddress={a})
(mailRoutingAddress={a})
(otherMailbox={a})
(rfc822Mailbox={a})

Active Directory 实施可以具有与 proxyAddresses 属性对应的多个条目，但是由于 AD 会将该属性值格式化为 smtp:user@domain.com，因此该数据无法用于 LDAP 路由/别名扩展。每个目标地址必须在单独的 attribute:value 对中。基础设施中可相互识别的 Microsoft Exchange 环境通常在彼此之间路由邮件，不会路由回原始 MTA。

相关主题

• 路由：MAILHOST 和 MAILROUTINGADDRESS

在一些用户环境中，LDAP 目录服务器方案除了存储邮件路由地址或本地邮件地址外，可能还存储“友好名称”。AsyncOS 允许您使用此“友好地址”伪装信封发件人（针对传出邮件）和邮件信头（针对传入邮件，例如，To:、Reply To:、From: 或 CC: 信头）- 即使友好地址包含有效邮件地址中通常不允许使用的特殊字符（例如，引号、空格和逗号）。

当通过 LDAP 查询使用伪装信头时，现在可以选择配置是否将整个友好邮件字符串替换为 LDAP 服务器中的结果。请注意，即使启用了该行为，也只能将 user@domain 部分用于信封发件人（友好名称是非法的）。

与常规 LDAP 伪装一样，如果 LDAP 查询返回空结果（长度为零或全部为空格），则不会发生伪装。

要启用此功能，请在为侦听程序配置基于 LDAP 的伪装查询（通过“LDAP”页面或 ldapconfig 命令）时，对以下问题回答“y”：

Do you want the results of the returned attribute to replace the entire
friendly portion of the original recipient? [N]

例如，考虑以下 LDAP 条目示例：

如果启用了此功能，则 (mailRoutingAddress={a}) 的 LDAP 查询和 (mailLocalAddress) 的伪装属性将导致以下替换：

可以通过仅输入收件人访问表 (RAT) 中的域并在 SMTP 会话中执行 LDAP 接受验证来阻止 DHA。

要在 SMTP 会话期间丢弃邮件，请为 LDAP 接受配置 LDAP 服务器配置文件。然后，配置侦听程序以在 SMTP 会话期间执行 LDAP 接受查询。

为侦听程序配置了 LDAP 接受查询后，必须在与侦听程序关联的邮件流策略中配置 DHAP 设置。

在与侦听程序关联的邮件流策略中，配置以下目录搜集攻击预防设置：

• 每小时的最大无效收件人数量 (Max. Invalid Recipients Per hour)。此侦听程序每小时将从远程主机接收的最大无效收件人数。此阈值表示 RAT 拒绝总数与在 SMTP 会话中丢弃或在工作队列中退回的无效 LDAP 收件人邮件的总数相结合的结果。例如，将阈值配置为 5，且计数器检测两个 RAT 拒绝和三个到无效 LDAP 收件人的已丢弃邮件。此时，邮件网关确定已达到阈值，并放弃连接。默认情况下，公共侦听程序的每小时最大收件人数量为 25。对于专用侦听程序，默认情况下的每小时最大收件人数量无限制。将其设置为“无限制”(Unlimited) 表示不为邮件流策略启用 DHAP。
• 如果在 SMTP 会话中达到 DHAP 阈值，则放弃连接 (Drop Connection if DHAP Threshold is reached within an SMTP conversation)。将邮件网关配置为在达到目录搜集攻击预防阈值时放弃连接。
• 每小时最大收件人数代码 (Max. Recipients Per Hour Code)。指定在放弃连接时使用的代码。默认代码为 550。
• 每小时最大收件人数文本 (Max. Recipients Per Hour Text)。指定用于放弃的连接的文本。默认文本为“无效收件人过多”(Too many invalid recipients)。

如果达到阈值，当收件人无效时，邮件的信封发件人不会收到退回邮件。

可以通过仅输入收件人访问表 (RAT) 中的域并在工作队列中执行 LDAP 接受来阻止大多数 DHA。该技术可防止恶意发件人在 SMTP 会话期间知道收件人是否有效。（如果配置了接受查询，系统会接受邮件并在工作队列中执行 LDAP 接受验证。）但是，当收件人无效时，邮件的信封发件人仍会收到退回邮件。

如果要通过 LDAP 服务器进行身份验证，请在“添加 LDAP 服务器配置文件”(Add LDAP Server Profile) 或“编辑 LDAP 服务器配置文件”(Edit LDAP Server Profile) 页面上（或在 ldapconfig 命令中）选择 SMTPAUTH 查询类型以创建 SMTP 身份验证查询。对于配置的每个 LDAP 服务器，可以配置一个 SMTPAUTH 查询以用作 SMTP 身份验证配置文件。

有两种 SMTP 身份验证查询：LDAP 绑定和密码作为属性。当使用密码作为属性时，邮件网关会获取 LDAP 目录中的密码字段。密码可以以纯文本、加密或散列的形式存储。使用 LDAP 绑定时，邮件网关将尝试使用客户端提供的凭据登录到 LDAP 服务器。

在下面的示例中，“系统管理”(System Administration) >“LDAP”页面用于编辑名为“PublicLDAP”的 LDAP 配置以包括 SMTPAUTH 查询。将构建查询字符串 (uid={u}) 来匹配 userPassword 属性。

当配置了 SMTPAUTH 配置文件后，可以指定侦听程序使用该查询进行 SMTP 身份验证。

邮件网关支持使用客户端证书对邮件网关与用户邮件客户端之间的 SMTP 会话进行身份验证。

当创建 SMTP 身份验证配置文件时，选择要用于验证证书的证书身份验证 LDAP 查询。还可以指定客户端证书不可用时，邮件网关是否退回 SMTP AUTH 命令以对用户进行身份验证。

如果贵组织使用客户端证书对用户进行身份验证，则可以选择使用 SMTP 身份验证查询来检查没有客户端证书的用户是否只要其记录指定为允许便可发送邮件。

当在邮件网关上配置了 SMTP 身份验证机制（基于 LDAP、基于 SMTP 转发服务器或 SMTP 传出）时，以下事件将记录在邮件日志中：

• [仅供参考] 成功的 SMTP 身份验证尝试 - 包括进行了身份验证的用户和使用的机制。（不会记录纯文本密码。）
• [仅供参考] 未成功的 SMTP 身份验证尝试 - 包括进行了身份验证的用户和使用的机制。
• [警告] 无法连接到身份验证服务器 - 包括服务器名称和机制。
• [警告] 等待身份验证请求期间转发服务器（与上游注入邮件网关通信）超时所引起的超时事件。

本部分介绍 Active Directory 服务器和最终用户身份验证查询设置示例。此示例为 Active Directory 服务器、mail 和 proxyAddresses 邮件属性使用密码身份验证，为 Active Directory 服务器的最终用户身份验证使用默认查询字符串。

本部分介绍 OpenLDAP 服务器和最终用户身份验证查询设置示例。此示例为 OpenLDAP 服务器、mail 和 mailLocalAddress 邮件属性使用匿名身份验证，为 OpenLDAP 服务器的最终用户身份验证使用默认查询字符串。

此部分显示 Active Directory 服务器和别名整合查询的设置示例。此示例将匿名身份验证用于 Active Directory 服务器，将别名整合的查询字符串用于 Active Directory 服务器，并且使用了 mail 邮件属性。

(
|(mail={a})(mail=smtp:{a})
)

Note	本示例仅用于演示。查询和 OU 或树设置可能因环境和配置而异。

此部分显示 OpenLDAP 服务器和别名整合查询的设置示例。此示例将匿名身份验证用于 OpenLDAP 服务器，将别名整合的查询字符串用于 OpenLDAP 服务器，并且使用了 mail 邮件属性。

Note	本示例仅用于演示。查询和 OU 或树设置可能因环境和配置而异。

要确保 LDAP 查询得到解决，可以配置 LDAP 配置文件以进行故障转移。如果与 LDAP 服务器的连接失败，或者查询返回特定的错误代码（例如，“不可用”或“忙”），则邮件网关将尝试查询列表中指定的下一台 LDAP 服务器。

邮件网关会在指定的时间段内尝试连接到 LDAP 服务器列表中的第一台服务器。如果邮件网关无法连接到列表中的第一台 LDAP 服务器，或者查询返回特定错误代码（例如，“不可用”或“忙”），则邮件网关将尝试连接到列表中的下一台 LDAP 服务器。默认情况下，邮件网关始终尝试连接到列表中的第一台服务器，而且，会尝试按照列出的顺序连接到后续每台服务器。为确保邮件网关在默认情况下连接到主 LDAP 服务器，请务必将其输入为 LDAP 服务器列表中的第一台服务器。

如果邮件网关连接到第二个或后续的 LDAP 服务器，它将保持连接到该服务器的状态，直到出现超时。出现超时后，它会尝试重新连接到列表中的第一台服务器。

Note	只有查询指定 LDAP 服务器的尝试才会进行故障转移。尝试查询与未故障转移的指定的 LDAP 服务器关联的建议或后续服务器。

要在一组 LDAP 服务器中分发 LDAP 连接，可以配置用于负载均衡的 LDAP 配置文件。

为负载均衡配置 LDAP 配置文件时，邮件网关会在列出的 LDAP 服务器之间分发连接。如果连接失败或超时，邮件网关会确定哪些 LDAP 服务器可用，并重新连接到可用的服务器。邮件网关根据您配置的最大连接数确定要建立的并发连接数。

如果其中一台所列的 LDAP 服务器未响应，邮件网关将在剩余的 LDAP 服务器之间分发的连接。