Question
Comment utiliser la requête d'acceptation LDAP pour valider l'expéditeur des messages relayés ?
AVERTISSEMENT : vous ne pouvez exécuter une requête d'acceptation LDAP sur l'adresse de messagerie de l'enveloppe que si le message arrive sur un écouteur public. L'écouteur privé n'autorise pas l'utilisation des requêtes d'acceptation LDAP. La requête d'acceptation LDAP est appliquée uniquement aux connexions entrantes. Pour cette raison, le « comportement de connexion » de la stratégie de flux de messagerie ne doit PAS être défini sur Relay pour que cette configuration fonctionne.
Voici les étapes nécessaires pour configurer la validation de l'expéditeur de la requête d'acceptation LDAP :
- Pour autoriser/interdire aux expéditeurs internes de se relayer sur Internet, en fonction de l'existence de leur adresse de messagerie dans le LDAP, votre écouteur privé doit être remplacé par un écouteur public. Dans cet exemple, le nouvel écouteur public sera nommé "Outbound_Sender_Validation".
- Créez un nouveau profil de serveur LDAP et configurez une requête d'acceptation LDAP pour ce profil. Pour obtenir la requête d'acceptation LDAP afin de valider l'adresse de courrier de l'enveloppe, vous devez remplacer {a} par {f} dans la chaîne de requête. Pour plus d'informations sur la configuration et l'utilisation du protocole LDAP, reportez-vous au Guide de l'utilisateur avancé.
Exemple : (mail={a}) => (mail={f})
- Activez la requête d'acceptation LDAP configurée sur l'écouteur « Outbound_Sender_Validation ».
- Accédez à « Politiques de messagerie > Table d'accès aux destinataires (RAT) » et basculez vers le nouvel écouteur public, « Outbound_Sender_Validation ». Pour autoriser le relais, définissez « Tous les autres destinataires » sur Accepter et assurez-vous qu'il s'agit de la seule entrée du TAD.
- Accédez à la section « Vue d'ensemble de la TAH » et passez à l'écouteur « Outbound_Sender_Validation ». Ici, vous n'avez besoin que d'un seul groupe d'expéditeurs. Pour éviter le risque d'un relais de messagerie ouvert, il est conseillé de configurer ce groupe d'expéditeurs pour qu'il ne corresponde qu'aux adresses IP des MTA autorisés à effectuer le relais.
- Il est important que le 'Comportement de connexion' de la stratégie de flux de messages assignée ne soit PAS défini sur Relais, sinon cela désactiverait l'utilisation de la requête d'acceptation LDAP.
- Pour s'assurer qu'aucun autre MTA ne peut se connecter via la "Outbound_Sender_Validation", définissez la stratégie du groupe d'expéditeurs "ALL" par défaut sur BLOCKED.
Ce Qui Apparaît Dans Les Journaux
AVERTISSEMENT : selon cette configuration, le rejet n'est pas effectué avant la réception de l'adresse de destination du reçu de l'enveloppe. Cela est dû au fait que la requête d'acceptation LDAP était initialement destinée au destinataire plutôt qu'à la validation de l'expéditeur. Cela apparaît également dans les journaux de messagerie, où le refus LDAP est indiqué sur la même ligne de journalisation que l'adresse du destinataire :
Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close
Si vous examinez cette entrée de journal, vous pouvez penser que l'adresse rejetée est « good_user@example.com », même si c'est « do_not_exist@example.test » qui est rejeté.
Commentaires