Pregunta
¿Cómo utiliza LDAP Accept Query para validar el remitente de los mensajes retransmitidos?
ADVERTENCIA: Solo puede realizar una consulta de aceptación LDAP en la dirección 'mail from' del sobre si el mensaje llega a un receptor público. El receptor privado no permite el uso de consultas de aceptación LDAP. La consulta de aceptación LDAP sólo se aplica a las conexiones entrantes. Por esta razón, el 'Comportamiento de la conexión' de la política de flujo de correo NO debe configurarse en Relay para que esta configuración funcione.
A continuación se muestran los pasos necesarios para configurar la validación del remitente de LDAP Accept Query:
- Para permitir/denegar que los remitentes internos se retransmitan a Internet, dependiendo de la existencia de su dirección de correo en el LDAP, su receptor privado tendrá que ser reemplazado por un receptor público. En este ejemplo, el nuevo receptor público se denominará "Outbound_Sender_Validation".
- Cree un nuevo perfil de servidor LDAP y configure una consulta de aceptación LDAP para este perfil. Para obtener la consulta de aceptación LDAP para validar la dirección de remitente del correo del sobre, tendrá que sustituir {a} por {f} en la cadena de consulta. Encontrará más información sobre cómo configurar y utilizar LDAP en la Guía avanzada del usuario.
Ejemplo: (mail={a}) => (mail={f})
- Habilite la LDAP Accept Query configurada en el receptor "Outbound_Sender_Validation".
- Vaya a "Políticas de correo > Tabla de acceso de destinatario (RAT)" y cambie al nuevo receptor público, "Outbound_Sender_Validation". Para permitir la retransmisión, establezca "Todos los demás destinatarios" en Aceptar y asegúrese de que esta sea la única entrada en la RAT.
- Vaya a "Descripción general de HAT" y cambie al receptor "Outbound_Sender_Validation". Aquí, solo necesita un Grupo de Enviadores. Para evitar el riesgo de una retransmisión de correo abierta, se recomienda configurar este Grupo de Remitentes para que solo coincida con las direcciones IP de los MTA(s) que se les permite retransmitir.
- Es importante que el 'Comportamiento de la conexión' de la política de flujo de correo asignada NO esté configurado en Retransmisión, ya que de lo contrario se inhabilitaría el uso de LDAP Accept Query.
- Para garantizar que ningún otro MTA pueda conectarse a través de "Outbound_Sender_Validation", establezca la política del grupo de remitentes "ALL" predeterminado en BLOCKED.
Qué Se Ve En Los Registros
ADVERTENCIA: Según esta configuración, el rechazo no se realiza antes de que se haya recibido la dirección de destinatario del sobre. Esto se debe a que la LDAP Accept Query originalmente estaba pensada para el destinatario en lugar de para la validación del remitente. Esto también aparece en los registros de correo, donde el rechazo LDAP se indica en la misma línea de registro que la dirección del destinatario:
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
Si observa esta entrada de registro, pensará que la dirección rechazada es 'good_user@example.com' aunque en realidad sea 'do_not_exist@example.test' la que se rechaza.
Comentarios