Frage:
Wie wird die LDAP Accept-Abfrage verwendet, um die Empfänger eingehender Nachrichten mithilfe von Microsoft Active Directory (LDAP) zu validieren?
Hinweis: Das folgende Beispiel ist in eine Microsoft Active Directory-Standardbereitstellung integrierbar. Die Prinzipien können jedoch auf viele Arten von LDAP-Implementierungen angewendet werden.
Sie erstellen zunächst einen LDAP-Servereintrag. Anschließend müssen Sie Ihren Verzeichnisserver sowie die Abfrage angeben, die von der E-Mail-Sicherheitsappliance durchgeführt wird. Die Abfrage wird dann aktiviert oder auf den eingehenden (öffentlichen) Listener angewendet. Diese LDAP-Servereinstellungen können von verschiedenen Listenern und anderen Teilen der Konfiguration, z. B. dem Quarantänezugriff für Endbenutzer, gemeinsam genutzt werden.
Um die Konfiguration der LDAP-Abfragen auf Ihrer IronPort-Appliance zu vereinfachen, empfehlen wir die Verwendung eines LDAP-Browsers, mit dem Sie Ihr Schema sowie alle Attribute, auf die Sie Abfragen stützen können, überprüfen können.
Für Microsoft Windows können Sie Folgendes verwenden:
Für Linux oder UNIX können Sie den ldapsearch
Befehl verwenden.
Zunächst müssen Sie den abzufragenden LDAP-Server definieren. In diesem Beispiel wird der Spitzname "PublicLDAP" für den LDAP-Server myldapserver.example.com angegeben. Abfragen werden an den TCP-Port 389 (Standard) weitergeleitet.
HINWEIS: Wenn Ihre Active Directory-Implementierung Unterdomänen enthält, können Sie mithilfe der Basis-DN der Stammdomäne keine Abfragen für Benutzer in einer Unterdomäne durchführen. Wenn Sie jedoch Active Directory verwenden, können Sie LDAP auch mit dem Global Catalog (GC)-Server auf TCP-Port 3268 abfragen. Der GC enthält Teilinformationen für *alle* Objekte in der Active Directory-Gesamtstruktur und stellt Verweise auf die betreffende Subdomäne bereit, wenn weitere Informationen erforderlich sind. Wenn Sie keine Benutzer in Ihren Subdomänen "finden" können, belassen Sie die Basis-DN beim Root, und legen Sie den IronPort so fest, dass dieser den GC-Port verwendet.
GUI:
- Erstellen Sie ein neues LDAP-Serverprofil mit zuvor vom Verzeichnisserver gespeicherten Werten (Systemverwaltung > LDAP). Beispiel:
- Name des Serverprofils: PublicLDAP
- Hostname: myldapserver.example.com
- Authentifizierungsmethode: Kennwort verwenden: Aktiviert
- Benutzername:cn=ESA,cn=Users,dc=example,dc=com
- Kennwort: Kennwort
- Servertyp: Active Directory
- Port: 3268
- BaseDN:dc=Beispiel,dc=com
Überprüfen Sie Ihre Einstellungen mithilfe der Schaltfläche "Test Server(s)", bevor Sie fortfahren. Die erfolgreiche Ausgabe sollte wie folgt aussehen:
Connecting to myldapserver.example.com at port 3268
Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
Result: succeeded
Auf dem gleichen Bildschirm können Sie die LDAP-LDAP-Accept-Abfrage definieren. Im folgenden Beispiel wird die Empfängeradresse anhand der gebräuchlicheren Attribute überprüft, entweder "mail" ODER "proxyAddresses":
- Name: PublicLDAP.accept
- QueryString:(|(mail={a})(proxyAddresses=smtp:{a}))
Mit der Schaltfläche "Testabfrage" können Sie überprüfen, ob die Suchabfrage Ergebnisse für ein gültiges Konto zurückgibt. Die erfolgreiche Suche nach der Adresse des Dienstkontos "esa.admin@example.com" sollte wie folgt aussehen:
Query results for host:myldapserver.example.com
Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
Success: Action: Pass
- Wenden Sie diese neue Accept-Abfrage auf den eingehenden Listener an (Netzwerk > Listener). Erweitern Sie die Optionen LDAP Queries > Accept (LDAP-Abfragen > Akzeptieren), und wählen Sie Ihre Abfrage PublicLDAP.Accept aus.
- Bestätigen Sie abschließend die Änderungen, um diese Einstellungen zu aktivieren.
CLI:
- Zuerst verwenden Sie den Befehl ldapconfig, um einen LDAP-Server für die Appliance zu definieren, an den gebunden werden soll, und es werden Abfragen für die Empfängerakzeptanz (ldapaccept subcommand), das Routing (ldaprouting subcommand) und das Masquerading (masquerade subcommand) konfiguriert.
mail3.example.com> ldapconfig
No LDAP server configurations.
Choose the operation you want to perform:
- NEW - Create a new server configuration.
[]> new
Please create a name for this server configuration (Ex: "PublicLDAP"):
[]> PublicLDAP
Please enter the hostname:
[]> myldapserver.example.com
Use SSL to connect to the LDAP server? [N]> n
Please enter the port number:
[389]> 389
Please enter the base:
[dc=example,dc= com]>dc=example,dc=com
Select the authentication method to use for this server configuration:
1. Anonymous
2. Password based
[1]> 2
Please enter the bind username:
[cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
Please enter the bind password:
[]> password
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
- Anschließend müssen Sie die Abfrage für den LDAP-Server definieren, den Sie gerade konfiguriert haben.
Choose the operation you want to perform:
- SERVER - Change the server for the query.
- LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
- LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
- LDAPGROUP - Configure whether a sender or recipient is in a specified group.
- SMTPAUTH - Configure SMTP authentication.
[]> ldapaccept
Please create a name for this query:
[PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
Enter the LDAP query string:
[(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
Please enter the cache TTL in seconds:
[900]>
Please enter the maximum number of cache entries to retain:
[10000]>
Do you want to test this query? [Y]> n
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
LDAPACCEPT: PublicLDAP.ldapaccept
- Nachdem Sie die LDAP-Abfrage konfiguriert haben, müssen Sie die LDAP-Accept-Richtlinie auf den eingehenden Listener anwenden.
example.com> listenerconfig
Currently configured listeners:
1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
Choose the operation you want to perform:
- NEW - Create a new listener.
- EDIT - Modify a listener.
- DELETE - Remove a listener.
- SETUP - Change global settings.
[]> edit
Enter the name or number of the listener you wish to edit.
[]> 1
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: Off
Choose the operation you want to perform:
- NAME - Change the name of the listener.
- INTERFACE - Change the interface.
- LIMITS - Change the injection limits.
- SETUP - Configure general options.
- HOSTACCESS - Modify the Host Access Table.
- RCPTACCESS >- Modify the Recipient Access Table.
- BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
- MASQUERADE - Configure the Domain Masquerading Table.
- DOMAINMAP - Configure domain mappings.
- LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
accepted or bounced/dropped.
- LDAPROUTING - Configure an LDAP query to reroute messages.
[]> ldapaccept Available Recipient Acceptance Queries
1. None
2. PublicLDAP.ldapaccept
[1]> 2
Should the recipient acceptance query drop recipients or bounce them?
NOTE: Directory Harvest Attack Prevention may cause recipients to be
dropped regardless of this setting.
1. bounce
2. drop
[2]> 2
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: ldapaccept (PublicLDAP.ldapaccept)
- Übernehmen Sie die Änderungen, um die Änderungen am Listener zu aktivieren.