Wie wird die LDAP Accept-Abfrage verwendet, um die Empfänger eingehender Nachrichten mithilfe von Microsoft Active Directory (LDAP) zu validieren?

Download-Optionen

  • PDF     (261.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (97.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (83.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. August 2014
Dokument-ID:118218

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt


Frage:


Frage:

Wie wird die LDAP Accept-Abfrage verwendet, um die Empfänger eingehender Nachrichten mithilfe von Microsoft Active Directory (LDAP) zu validieren?

Hinweis: Das folgende Beispiel ist in eine Microsoft Active Directory-Standardbereitstellung integrierbar. Die Prinzipien können jedoch auf viele Arten von LDAP-Implementierungen angewendet werden.


Sie erstellen zunächst einen LDAP-Servereintrag. Anschließend müssen Sie Ihren Verzeichnisserver sowie die Abfrage angeben, die von der E-Mail-Sicherheitsappliance durchgeführt wird.  Die Abfrage wird dann aktiviert oder auf den eingehenden (öffentlichen) Listener angewendet. Diese LDAP-Servereinstellungen können von verschiedenen Listenern und anderen Teilen der Konfiguration, z. B. dem Quarantänezugriff für Endbenutzer, gemeinsam genutzt werden.

Um die Konfiguration der LDAP-Abfragen auf Ihrer IronPort-Appliance zu vereinfachen, empfehlen wir die Verwendung eines LDAP-Browsers, mit dem Sie Ihr Schema sowie alle Attribute, auf die Sie Abfragen stützen können, überprüfen können.

Für Microsoft Windows können Sie Folgendes verwenden:

  • LDAP-Browser von Softterra
  • LDP
  • zuweisen

Für Linux oder UNIX können Sie den ldapsearch Befehl verwenden.

Zunächst müssen Sie den abzufragenden LDAP-Server definieren. In diesem Beispiel wird der Spitzname "PublicLDAP" für den LDAP-Server myldapserver.example.com angegeben. Abfragen werden an den TCP-Port 389 (Standard) weitergeleitet.


HINWEIS: Wenn Ihre Active Directory-Implementierung Unterdomänen enthält, können Sie mithilfe der Basis-DN der Stammdomäne keine Abfragen für Benutzer in einer Unterdomäne durchführen. Wenn Sie jedoch Active Directory verwenden, können Sie LDAP auch mit dem Global Catalog (GC)-Server auf TCP-Port 3268 abfragen. Der GC enthält Teilinformationen für *alle* Objekte in der Active Directory-Gesamtstruktur und stellt Verweise auf die betreffende Subdomäne bereit, wenn weitere Informationen erforderlich sind. Wenn Sie keine Benutzer in Ihren Subdomänen "finden" können, belassen Sie die Basis-DN beim Root, und legen Sie den IronPort so fest, dass dieser den GC-Port verwendet.



GUI:

  1. Erstellen Sie ein neues LDAP-Serverprofil mit zuvor vom Verzeichnisserver gespeicherten Werten (Systemverwaltung > LDAP). Beispiel:
    • Name des Serverprofils: PublicLDAP
    • Hostname: myldapserver.example.com
    • Authentifizierungsmethode: Kennwort verwenden: Aktiviert
    • Benutzername:cn=ESA,cn=Users,dc=example,dc=com
    • Kennwort: Kennwort
    • Servertyp: Active Directory
    • Port: 3268
    • BaseDN:dc=Beispiel,dc=com
    Überprüfen Sie Ihre Einstellungen mithilfe der Schaltfläche "Test Server(s)", bevor Sie fortfahren.  Die erfolgreiche Ausgabe sollte wie folgt aussehen:

    Connecting to myldapserver.example.com at port 3268
    Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
    Result: succeeded

  2. Auf dem gleichen Bildschirm können Sie die LDAP-LDAP-Accept-Abfrage definieren.  Im folgenden Beispiel wird die Empfängeradresse anhand der gebräuchlicheren Attribute überprüft, entweder "mail" ODER "proxyAddresses":

    • Name: PublicLDAP.accept
    • QueryString:(|(mail={a})(proxyAddresses=smtp:{a}))

    Mit der Schaltfläche "Testabfrage" können Sie überprüfen, ob die Suchabfrage Ergebnisse für ein gültiges Konto zurückgibt.  Die erfolgreiche Suche nach der Adresse des Dienstkontos "esa.admin@example.com" sollte wie folgt aussehen:

    Query results for host:myldapserver.example.com
    Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
    Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
    Success: Action: Pass
  3.  Wenden Sie diese neue Accept-Abfrage auf den eingehenden Listener an (Netzwerk > Listener).  Erweitern Sie die Optionen LDAP Queries > Accept (LDAP-Abfragen > Akzeptieren), und wählen Sie Ihre Abfrage PublicLDAP.Accept aus.

  4. Bestätigen Sie abschließend die Änderungen, um diese Einstellungen zu aktivieren.


CLI:

  1. Zuerst verwenden Sie den Befehl ldapconfig, um einen LDAP-Server für die Appliance zu definieren, an den gebunden werden soll, und es werden Abfragen für die Empfängerakzeptanz (ldapaccept subcommand), das Routing (ldaprouting subcommand) und das Masquerading (masquerade subcommand) konfiguriert.


    mail3.example.com> ldapconfig    
    No LDAP server configurations.
    Choose the operation you want to perform:    
    - NEW - Create a new server configuration.   
    []> new    
    Please create a name for this server configuration (Ex: "PublicLDAP"):    
    []> PublicLDAP    
    Please enter the hostname:    
    []> myldapserver.example.com    
    Use SSL to connect to the LDAP server? [N]> n    
    Please enter the port number:    
    [389]> 389    
    Please enter the base:   
    [dc=example,dc= com]>dc=example,dc=com   
     Select the authentication method to use for this server configuration:    
    1. Anonymous    
    2. Password based    
    [1]> 2    
    Please enter the bind username:   
    [cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com    
    Please enter the bind password:    
    []> password    
    Name: PublicLDAP    
    Hostname: myldapserver.example.com Port 389    
    Authentication Type: password   
    Base:dc=example,dc=com
  2. Anschließend müssen Sie die Abfrage für den LDAP-Server definieren, den Sie gerade konfiguriert haben.

       

    Choose the operation you want to perform:    
    - SERVER - Change the server for the query.    
    - LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.    
    - LDAPROUTING - Configure message routing.    - MASQUERADE - Configure domain masquerading.    
    - LDAPGROUP - Configure whether a sender or recipient is in a specified group.    
    - SMTPAUTH - Configure SMTP authentication.    
    []> ldapaccept    
    Please create a name for this query:    
    [PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept    
    Enter the LDAP query string:    
    [(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))    
    Please enter the cache TTL in seconds:    
    [900]>   
     Please enter the maximum number of cache entries to retain:    
    [10000]>    
    Do you want to test this query? [Y]> n    
    Name: PublicLDAP    
    Hostname: myldapserver.example.com Port 389    
    Authentication Type: password   
    Base:dc=example,dc=com    
    LDAPACCEPT: PublicLDAP.ldapaccept
  3. Nachdem Sie die LDAP-Abfrage konfiguriert haben, müssen Sie die LDAP-Accept-Richtlinie auf den eingehenden Listener anwenden.

       

    example.com> listenerconfig    
    Currently configured listeners:    
    1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public    
    2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private    
    Choose the operation you want to perform:   
    - NEW - Create a new listener.    
    - EDIT - Modify a listener.    
    - DELETE - Remove a listener.    
    - SETUP - Change global settings.    
    []> edit    
    Enter the name or number of the listener you wish to edit.    
    []> 1    
    Name: InboundMail    
    Type: Public    
    Interface: PublicNet (192.168.2.1/24) TCP Port 25    
    Protocol: SMTP    
    Default Domain:    
    Max Concurrency: 1000 (TCP Queue: 50)    
    Domain Map: Disabled    
    TLS: No    
    SMTP Authentication: Disabled    
    Bounce Profile: Default    
    Use SenderBase For Reputation Filters and IP Profiling: Yes    
    Footer: None    
    LDAP: Off    
    Choose the operation you want to perform:    
    - NAME - Change the name of the listener.    
    - INTERFACE - Change the interface.    
    - LIMITS - Change the injection limits.    
    - SETUP - Configure general options.   
    - HOSTACCESS - Modify the Host Access Table.    
    - RCPTACCESS >- Modify the Recipient Access Table.    
    - BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.    
    - MASQUERADE - Configure the Domain Masquerading Table.    
    - DOMAINMAP - Configure domain mappings.    
    - LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be 
    accepted or bounced/dropped.    
    - LDAPROUTING - Configure an LDAP query to reroute messages.    
    []> ldapaccept    Available Recipient Acceptance Queries    
    1. None    
    2. PublicLDAP.ldapaccept    
    [1]> 2    
    Should the recipient acceptance query drop recipients or bounce them?    
    NOTE: Directory Harvest Attack Prevention may cause recipients to be    
    dropped regardless of this setting.    
    1. bounce    
    2. drop    
    [2]> 2    
    Name: InboundMail    
    Type: Public    
    Interface: PublicNet (192.168.2.1/24) TCP Port 25    
    Protocol: SMTP    
    Default Domain:    
    Max Concurrency: 1000 (TCP Queue: 50)   
    Domain Map: Disabled    
    TLS: No    
    SMTP Authentication: Disabled    
    Bounce Profile: Default    
    Use SenderBase For Reputation Filters and IP Profiling: Yes    
    Footer: None    
    LDAP: ldapaccept (PublicLDAP.ldapaccept)
  4. Übernehmen Sie die Änderungen, um die Änderungen am Listener zu aktivieren.

     

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
12-Aug-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Dominic Yip and Andreas Mueller
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.