Frage
Wie wird die LDAP-Accept-Abfrage verwendet, um den Absender der weitergeleiteten Nachrichten zu überprüfen?
WARNUNG: Sie können eine LDAP Accept-Abfrage nur für die E-Mail-Absenderadresse des Umschlags ausführen, wenn die Nachricht bei einem öffentlichen Listener eingeht. Der private Listener lässt die Verwendung von LDAP Accept Queries nicht zu. Die LDAP Accept-Abfrage wird nur auf eingehende Verbindungen angewendet. Aus diesem Grund darf das 'Verbindungsverhalten' der Mail Flow Policy NICHT auf 'Relay' gesetzt werden, damit dieses Setup funktioniert.
Nachfolgend sind die erforderlichen Schritte zum Einrichten der Absendervalidierung für die LDAP-Accept-Abfrage aufgeführt:
- Damit interne Absender die Weiterleitung an das Internet zulassen/verweigern können, muss Ihr privater Listener je nach Vorhandensein ihrer E-Mail-Adresse im LDAP durch einen öffentlichen Listener ersetzt werden. In diesem Beispiel erhält der neue öffentliche Listener den Namen "Outbound_Sender_Validation".
- Erstellen Sie ein neues LDAP-Serverprofil, und richten Sie eine LDAP Accept-Abfrage für dieses Profil ein. Um die LDAP Accept-Abfrage zum Validieren der E-Mail-Absenderadresse des Umschlags zu erhalten, müssen Sie in der Abfragezeichenfolge {a} durch {f} ersetzen. Einzelheiten zur Konfiguration und Verwendung von LDAP finden Sie im Erweiterten Benutzerhandbuch.
Beispiel: (mail={a}) => (mail={f})
- Aktivieren Sie die konfigurierte LDAP Accept-Abfrage im Listener "Outbound_Sender_Validation".
- Gehen Sie zu "Mail Policies > Recipient Access Table(RAT)" und wechseln Sie zum neuen öffentlichen Listener, "Outbound_Sender_Validation". Um Relay zuzulassen, setzen Sie "All Other Recipients" (Alle anderen Empfänger) auf Accept (Akzeptieren), und stellen Sie sicher, dass dies der einzige Eintrag in der RAT ist.
- Gehen Sie zu "HAT Overview" und wechseln Sie zum Listener "Outbound_Sender_Validation". Hier benötigen Sie nur eine Absendergruppe. Um das Risiko eines offenen Mail-Relays zu vermeiden, ist es ratsam, diese Absendergruppe so einzurichten, dass sie nur mit den IP-Adressen der MTA(s) übereinstimmt, die für den Relay zugelassen sind.
- Es ist wichtig, dass das 'Verbindungsverhalten' der zugewiesenen Mail Flow Policy NICHT auf 'Relay' gesetzt ist, da andernfalls die LDAP Accept-Abfrage deaktiviert würde.
- Um sicherzustellen, dass keine anderen MTAs eine Verbindung über die Funktion "Outbound_Sender_Validation" herstellen können, legen Sie die Richtlinie der Standardabsendergruppe "ALL" auf BLOCKED (BLOCKIERT) fest.
Was wird in den Protokollen angezeigt?
WARNUNG: Basierend auf dieser Konfiguration wird die Ablehnung erst dann vorgenommen, wenn die Umschlag-Empfangsadresse eingegangen ist. Dies liegt daran, dass die LDAP Accept-Abfrage ursprünglich für den Empfänger und nicht für die Absendervalidierung bestimmt war. Dies wird auch in den E-Mail-Protokollen angezeigt, in denen die LDAP-Ablehnung in derselben Protokollzeile wie die Empfängeradresse angegeben ist:
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
Wenn Sie sich diesen Protokolleintrag ansehen, glauben Sie, dass die abgelehnte Adresse 'good_user@example.com' ist, obwohl es sich um 'do_not_exist@example.test' handelt, die abgelehnt wurde.