Настройка SMTP-верификации с использованием LDAPS в Kaspersky Secure Mail Gateway

Статья обновлена: 12 мая 2023 ID: 12300
 
 
 
 
Статья относится к Kaspersky Secure Mail Gateway 1.1 (версия 1.1.2.30).
 
 
 
 

Инструкция подходит для использования с несколькими LDAP-серверами. Если у них разные search_base или учетные записи, то для каждого из них необходимо создать свой конфигурационный файл. Затем перечислить все созданные файлы в опции relay_recipient_maps.

 
 
 
 

Чтобы включить SMTP-верификацию с использованием LDAPS:

  1. Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
  2. Перейдите в Technical Support Mode.
  3. Сделайте копию файла /opt/kaspersky/klms-appliance/share/postfix/main.cf.template.
  4. В оригинальном файле найдите relay_recipient_maps.
  5. Удалите следующие строки:
{% if rejectRecipient == "unlisted" -%}
{%- endif %}
  1. Добавьте следующую строку ниже:
relay_recipient_maps = ldap:$config_directory/ldap_relay_recipients.cf
  1. Убедитесь, что в нем присутствуют параметры:
smtpd_recipient_restrictions = reject_unlisted_recipient,  reject_non_fqdn_recipient,  reject_unknown_recipient_domain,  permit_mynetworks,  reject_unauth_destination,  reject_unverified_recipient
smtpd_reject_unlisted_recipient = yes
  1. Сохраните его.
Изменение настроек через веб-интерфейс, касающихся reject_unlisted_recipient станет невозможным после сохранения файла main.cf.template.
  1. Создайте файл /etc/postfix/ldap_relay_recipients.cf.
  2. Откройте его и заполните по следующему примеру:

Есть поддержка SSL. При этом ссылка должна начинаться с ldaps://.

  • Если вы используете один LDAP-сервер:
  • server_host = ldaps://192.168.0.1
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Если вы используете более одного LDAP-сервера:
  • server_host = ldaps://192.168.0.1, ldaps://192.168.0.2
    timeout = 5
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Если первый LDAP-сервер будет недоступен, программа будет пытаться обратиться ко второму.
  • Параметры bind необязательны, если есть анонимный доступ к LDAP.
  • Описание всех параметров вы можете найти на официальном сайте Postfix.
  1. Проверьте, ищутся ли пользователи по адресу электронной почты:
postmap -q test10@test.mail.com ldap:/etc/postfix/ldap_relay_recipients.cf
Если адрес существует и поиск работает, то на экран выведется информация о нем.
  1. Обновите конфигурацию postfix:
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh

Если все настройки выполнены верно, при попытке отправить сообщение пользователю не из LDAP, будет выдаваться ошибка:

Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 <test111111@test.mail.com>: Recipient address rejected: User unknown in relay recipient table; from=<root@adagsd.test.local> to=<test111111@test.mail.com> proto=ESMTP helo=<adagsd.test.local>

 
 
 
 

Эти настройки не будут работать, если используются Trusted Networks. Подробнее на сайте Postfix.

 
 
 
 
 
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!