Pregunta:
¿Cómo se utiliza LDAP Accept Query para validar los destinatarios de mensajes entrantes mediante Microsoft Active Directory (LDAP)?
Nota: El siguiente ejemplo se integra con una implementación estándar de Microsoft Active Directory, aunque los principios se pueden aplicar a muchos tipos de implementaciones LDAP.
Primero creará una entrada de servidor LDAP, en cuyo momento debe especificar su servidor de directorio, así como la consulta que realizará el dispositivo de seguridad de correo electrónico. La consulta se habilita o se aplica en el receptor entrante (público). Estos valores de configuración del servidor LDAP pueden ser compartidos por diferentes receptores y otras partes de la configuración como el acceso a cuarentena de usuario final.
Para facilitar la configuración de las consultas LDAP en su dispositivo IronPort, le recomendamos que utilice un navegador LDAP, que le permite echar un vistazo a su esquema, así como a todos los atributos sobre los que puede realizar consultas.
Para Microsoft Windows, puede utilizar:
Para Linux o UNIX, puede utilizar el ldapsearch comando.
En primer lugar, debe definir el servidor LDAP para realizar consultas. En este ejemplo, se da el apodo de "PublicLDAP" para el servidor LDAP myldapserver.example.com. Las consultas se dirigen al puerto TCP 389 (el predeterminado).
NOTA: Si la implementación de Active Directory contiene subdominios, no podrá consultar los usuarios de un subdominio mediante el DN base del dominio raíz. Sin embargo, al utilizar Active Directory, también puede consultar LDAP con el servidor de catálogo global (GC) en el puerto TCP 3268. GC contiene información parcial para *todos* los objetos en el bosque de Active Directory y proporciona referencias al subdominio en cuestión cuando se requiere más información. Si no puede "encontrar" usuarios en sus subdominios, deje el DN base en la raíz y configure IronPort para utilizar el puerto GC.
GUI:
- Cree un nuevo perfil de servidor LDAP con valores ubicados anteriormente desde el servidor de directorios (Administración del sistema > LDAP). Por ejemplo:
- Nombre del perfil de servidor: PublicLDAP
- Nombre de host: myldapserver.example.com
- Método de autenticación: Usar contraseña: Habilitado
- Nombre de usuario:cn=ESA,cn=Users,dc=ejemplo,dc=com
- Contraseña: password
- Tipo de servidor: Active Directory
- Puerto: 3268
- BaseDN:dc=ejemplo,dc=com
Asegúrese de utilizar el botón "Probar servidor(es)" para comprobar los parámetros antes de continuar. El resultado correcto debería ser similar a:
Connecting to myldapserver.example.com at port 3268
Bound successfullywithDNCN=ESA,CN=Users,DC=example,DC=com
Result: succeeded
Utilice la misma pantalla para definir la LDAP accept query. El ejemplo siguiente compara la dirección del destinatario con los atributos más comunes, "mail" O "proxyAddresses":
- Nombre: PublicLDAP.accept
- Cadena de consulta:(|(mail={a})(proxyAddresses=smtp:{a}))
Puede utilizar el botón "Consulta de prueba" para comprobar que la consulta de búsqueda devuelve resultados para una cuenta válida. La salida exitosa de la búsqueda de la dirección de la cuenta de servicio "esa.admin@example.com" debería verse como:
Query results for host:myldapserver.example.com
Query (mail=esa.admin@example.com) >to server PublicLDAP (myldapserver.example.com:3268)
Query (mail=esa.admin@example.com) lookup success, (myldapserver.example.com:3268) returned 1 results
Success: Action: Pass
- Aplique esta nueva consulta de aceptación al Receptor entrante (Red > Receptores). Amplíe las opciones LDAP Queries > Accept, y elija su consulta PublicLDAP.accept.
- Por último, realice los cambios necesarios para habilitar esta configuración.
CLI:
- En primer lugar, utilice el comando ldapconfig para definir un servidor LDAP con el que se enlazará el dispositivo y se configurarán las consultas para la aceptación del destinatario (subcomando ldapaccept), el enrutamiento (subcomando ldapprouting) y el enmascaramiento (subcomando masquerade).
mail3.example.com> ldapconfig
No LDAP server configurations.
Choose the operation you want to perform:
- NEW - Create a new server configuration.
[]> new
Please create a name for this server configuration (Ex: "PublicLDAP"):
[]> PublicLDAP
Please enter the hostname:
[]> myldapserver.example.com
Use SSL to connect to the LDAP server? [N]> n
Please enter the port number:
[389]> 389
Please enter the base:
[dc=example,dc= com]>dc=example,dc=com
Select the authentication method to use for this server configuration:
1. Anonymous
2. Password based
[1]> 2
Please enter the bind username:
[cn=Anonymous]>cn=ESA,cn=Users,dc=example,dc=com
Please enter the bind password:
[]> password
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
- En segundo lugar, debe definir la consulta que se realizará en el servidor LDAP que acaba de configurar.
Choose the operation you want to perform:
- SERVER - Change the server for the query.
- LDAPACCEPT - Configure whether a recipient address should be accepted or bounced/dropped.
- LDAPROUTING - Configure message routing. - MASQUERADE - Configure domain masquerading.
- LDAPGROUP - Configure whether a sender or recipient is in a specified group.
- SMTPAUTH - Configure SMTP authentication.
[]> ldapaccept
Please create a name for this query:
[PublicLDAP.ldapaccept]> PublicLDAP.ldapaccept
Enter the LDAP query string:
[(mailLocalAddress= {a})]>(|(mail={a})(proxyAddresses=smtp:{a}))
Please enter the cache TTL in seconds:
[900]>
Please enter the maximum number of cache entries to retain:
[10000]>
Do you want to test this query? [Y]> n
Name: PublicLDAP
Hostname: myldapserver.example.com Port 389
Authentication Type: password
Base:dc=example,dc=com
LDAPACCEPT: PublicLDAP.ldapaccept
- Una vez que haya configurado la consulta LDAP, debe aplicar la política LDAPaccept a su receptor entrante.
example.com> listenerconfig
Currently configured listeners:
1. Inboundmail (on PublicNet, 192.168.2.1) SMTP TCP Port 25 Public
2. Outboundmail (on PrivateNet, 192.168.1.1) SMTP TCP Port 25 Private
Choose the operation you want to perform:
- NEW - Create a new listener.
- EDIT - Modify a listener.
- DELETE - Remove a listener.
- SETUP - Change global settings.
[]> edit
Enter the name or number of the listener you wish to edit.
[]> 1
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: Off
Choose the operation you want to perform:
- NAME - Change the name of the listener.
- INTERFACE - Change the interface.
- LIMITS - Change the injection limits.
- SETUP - Configure general options.
- HOSTACCESS - Modify the Host Access Table.
- RCPTACCESS >- Modify the Recipient Access Table.
- BOUNCECONFIG - Choose the bounce profile to use for messages injected on this listener.
- MASQUERADE - Configure the Domain Masquerading Table.
- DOMAINMAP - Configure domain mappings.
- LDAPACCEPT - Configure an LDAP query to determine whether a recipient address should be
accepted or bounced/dropped.
- LDAPROUTING - Configure an LDAP query to reroute messages.
[]> ldapaccept Available Recipient Acceptance Queries
1. None
2. PublicLDAP.ldapaccept
[1]> 2
Should the recipient acceptance query drop recipients or bounce them?
NOTE: Directory Harvest Attack Prevention may cause recipients to be
dropped regardless of this setting.
1. bounce
2. drop
[2]> 2
Name: InboundMail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain Map: Disabled
TLS: No
SMTP Authentication: Disabled
Bounce Profile: Default
Use SenderBase For Reputation Filters and IP Profiling: Yes
Footer: None
LDAP: ldapaccept (PublicLDAP.ldapaccept)
- Para activar los cambios realizados en el receptor, confirme los cambios.
Comentarios