Pergunta
Como você usa a consulta aceitação LDAP para validar o remetente de mensagens retransmitidas?
AVISO: Você só poderá executar uma Consulta de aceitação LDAP no endereço 'mail from' do envelope se a mensagem chegar em um Ouvinte público. O ouvinte privado não permite o uso de consultas de aceitação LDAP. A consulta aceitação LDAP é aplicada somente a conexões de entrada. Por esse motivo, o 'Comportamento de Conexão' da Política de Fluxo de Mensagens NÃO deve ser definido como Retransmissão para que esta configuração funcione.
Abaixo estão as etapas necessárias para configurar a validação do remetente de Aceitar consulta LDAP:
- Para permitir/negar a retransmissão de remetentes internos para a Internet, dependendo da existência de seus endereços de e-mail no LDAP, seu ouvinte privado terá que ser substituído por um ouvinte público. Neste exemplo, o novo ouvinte público será nomeado como "Outbound_Sender_Validation".
- Crie um novo perfil de servidor LDAP e configure uma consulta aceitação LDAP para esse perfil. Para obter a Consulta de aceitação LDAP para validar o endereço de email de remetente, você precisará substituir {a} por {f} na cadeia de caracteres de consulta. Detalhes sobre como configurar e usar o LDAP podem ser encontrados no Guia do usuário avançado.
Exemplo: (mail={a}) => (mail={f})
- Ative a consulta LDAP aceita configurada no ouvinte "Outbound_Sender_Validation".
- Acesse "Mail Policies > Recipient Access Table(RAT)" e alterne para o novo ouvinte público, "Outbound_Sender_Validation". Para permitir a retransmissão, defina "All Other Recipients" (Todos os outros destinatários) como Accept (Aceitar) e verifique se essa é a única entrada no RAT.
- Vá para a "Visão geral do HAT" e alterne para o ouvinte "Outbound_Sender_Validation". Aqui, você só precisa de um grupo de remetente. Para evitar o risco de uma retransmissão de correio aberta, é aconselhável configurar esse grupo de remetente para corresponder apenas aos endereços IP do(s) MTA(s) que tem(m) permissão para retransmitir.
- É importante que o 'Comportamento de conexão' da Política de fluxo de e-mail atribuída NÃO esteja definido como Relay, pois isso desabilitaria o uso da Consulta aceitação LDAP.
- Para garantir que nenhum outro MTA possa se conectar por meio do "Outbound_Sender_Validation", defina a política do grupo de remetente "ALL" padrão como BLOCKED.
O Que É Visto Nos Registros
AVISO: com base nessa configuração, a rejeição não é feita antes do recebimento do endereço do envelope para recebimento. Isso ocorre porque a consulta aceitação LDAP originalmente era destinada para o destinatário em vez da validação do remetente. Isso também aparece nos logs de e-mail, onde a rejeição LDAP é declarada na mesma linha de registro do endereço do destinatário:
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
A análise dessa entrada de log faria com que você acreditasse que o endereço rejeitado é 'good_user@example.com', embora na verdade seja 'do_not_exist@example.test' que foi rejeitado.