LDAP Accept Query를 사용하여 릴레이된 메시지의 발신자를 검증하려면 어떻게 합니까?

다운로드 옵션

  • PDF     (276.4 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (83.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (66.0 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2014년 10월 14일
문서 ID:118580

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

질문

LDAP Accept Query를 사용하여 릴레이된 메시지의 발신자를 검증하려면 어떻게 합니까?

경고: 메시지가 퍼블릭 리스너에 도착할 경우 봉투 'mail from' 주소에 대해서만 LDAP 수락 쿼리를 수행할 수 있습니다. Private Listener에서는 LDAP Accept 쿼리 사용을 허용하지 않습니다. LDAP 수락 쿼리는 인바운드 연결에만 적용됩니다. 따라서 이 설정이 작동하려면 메일 플로우 정책의 '연결 동작'을 릴레이로 설정하지 않아야 합니다.

다음은 LDAP Accept Query 발신자 검증을 설정하는 데 필요한 단계입니다.

  1. 내부 발신자가 인터넷에 릴레이하는 것을 허용/거부하려면 LDAP에 해당 메일 주소가 있으면 Private Listener를 Public Listener로 대체해야 합니다. 이 예에서 새 퍼블릭 리스너의 이름은 "Outbound_Sender_Validation"이 됩니다.
     
  2. 새 LDAP 서버 프로필을 생성하고 이 프로필에 대한 LDAP Accept Query를 설정합니다. 봉투 메일 보낸 사람 주소의 유효성을 검사하기 위해 LDAP 수락 쿼리를 가져오려면 쿼리 문자열에서 {a}을(를) {f}(으)로 대체해야 합니다. LDAP 구성 및 사용 방법에 대한 자세한 내용은 고급 사용 설명서를 참조하십시오.

    예: (mail={a}) => (mail={f})
     
  3. "Outbound_Sender_Validation" 리스너에서 구성된 LDAP Accept Query를 활성화합니다.
     
  4. "Mail Policies(메일 정책) > Recipient Access Table(RAT)"로 이동하여 새 퍼블릭 리스너인 "Outbound_Sender_Validation"으로 전환합니다. 릴레이를 허용하려면 "All Other Recipients(다른 모든 수신자)"를 Accept(수락)로 설정하고, 이 항목이 RAT의 유일한 항목인지 확인합니다.
     
  5. "HAT Overview(HAT 개요)"로 이동하여 "Outbound_Sender_Validation" 리스너로 전환합니다. 여기서는 하나의 Sender Group만 필요합니다. 오픈 메일 릴레이의 위험을 방지하려면 릴레이가 허용된 MTA의 IP 주소에 대해서만 일치하도록 이 발신자 그룹을 설정하는 것이 좋습니다.
    • 할당된 메일 플로우 정책의 '연결 동작'이 릴레이로 설정되지 않은 경우 LDAP 수락 쿼리의 사용이 비활성화되므로 이 설정이 중요합니다. 
    • 다른 MTA가 "Outbound_Sender_Validation"을 통해 연결할 수 없도록 기본 "ALL" 발신자 그룹의 정책을 BLOCKED로 설정합니다.

로그에 표시되는 내용

경고: 이 설정에 따라 봉투 Rcpt To 주소가 수신되기 전에 거부가 수행되지 않습니다. 이는 원래 LDAP 수락 쿼리가 발신자 검증이 아닌 수신자를 위한 것이었기 때문입니다. 이는 메일 로그에도 표시되며, 여기서 LDAP 거부는 수신자 주소와 동일한 로깅 라인에 명시됩니다.

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
 (10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
 rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
 From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

이 로그 항목을 보면 거부된 주소가 실제로 거부된 'do_not_exist@example.test'임에도 불구하고 거부된 주소가 'good_user@example.com'인 것으로 믿게 됩니다.

개정 이력

개정 게시 날짜 의견
1.0
14-Oct-2014
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • Soren Petersen and Siddharth Rajpathak
    Cisco TAC Engineers.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품