Vraag
Hoe gebruik je LDAP Accept Query om de verzender van gereleasede berichten te valideren?
WAARSCHUWING: U kunt alleen een LDAP Accept Query uitvoeren op de envelop 'mail vanaf' adres als het bericht aankomt op een Public Listener. De Private Listener staat het gebruik van LDAP-acceptatie vragen niet toe. LDAP Accept Query wordt alleen toegepast op inkomende verbindingen. Om deze reden moet het 'Verbindingsgedrag' van het Mail Flow Beleid NIET worden ingesteld op Relay om deze installatie te laten werken.
Hieronder staan de stappen die nodig zijn om LDAP Accept Query sender validatie in te stellen:
- Om interne afzenders toe te staan/te weigeren om uit te zenden naar het internet, afhankelijk van het bestaan van hun e-mailadres in de LDAP, zal uw Private Listener moeten worden vervangen door een Public Listener. In dit voorbeeld zal de nieuwe Openbare Luisteraar "Outbound_Sender_Validation"worden genoemd.
- Maak een nieuw LDAP-serverprofiel en stel een LDAP Accept Query in voor dit profiel. Om de LDAP Accept Query te krijgen om de envelop Mail van adres te valideren, moet u vervangen {a} met {f} in de query string. Details over hoe LDAP te configureren en te gebruiken vindt u in de Advanced User Guide.
Voorbeeld.: (mail={a}) => (mail={f})
- Schakel de geconfigureerde LDAP Accept Query in op de "Outbound_Sender_Validation" Listener.
- Ga naar "Mail Policies > RAT" en switch naar de nieuwe publieke luisteraar, "Outbound_Sender_Validation". Om relay toe te staan, stel "Alle andere ontvangers" in op Accepteren en zorg ervoor dat dit de enige vermelding in de RAT is.
- Ga naar de "HAT Overzicht" en switch naar de "Outbound_Sender_Validation" Listener. Hier heb je maar één afzendergroep nodig. Om het risico van een open mailrelay te vermijden, is het raadzaam om deze afzendergroep op te richten om alleen de IP-adressen van MTA(s) die mogen doorgeven te matchen.
- Het is belangrijk dat het 'Verbindingsgedrag' van het toegewezen Mail Flow Policy NIET is ingesteld op Relay, omdat dit anders het gebruik van de LDAP Accept Query zou uitschakelen.
- Om er zeker van te zijn dat er geen andere MTA('s) via de "Outbound_Sender_Validation" kunnen worden verbonden, stelt u het beleid van de standaard "ALL" Sender Group in op BLOCKED.
Wat in de logbestanden wordt gezien
WAARSCHUWING: op basis van deze setup wordt de afwijzing niet uitgevoerd voordat de envelop Rcpt To address is ontvangen. Dit komt doordat de LDAP Accept Query oorspronkelijk bedoeld was voor de ontvanger in plaats van voor de validatie van de afzender. Dit verschijnt ook in de mail logboeken, waar de afwijzing LDAP op de zelfde registratielijn zoals het ontvankelijke adres wordt verklaard:
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
Als je naar dit logbestand kijkt, zou je denken dat het afgewezen adres 'good_user@example.com' is, ook al is het eigenlijk 'do_not_exist@example.test' dat wordt afgewezen.