Настройка SMTP-верификации с использованием LDAPS в Kaspersky Secure Mail Gateway

 

Kaspersky Secure Mail Gateway

 
 
 

Настройка SMTP-верификации с использованием LDAPS в Kaspersky Secure Mail Gateway

К разделу "Сервисные статьи"
Статья обновлена: 16 июня 2020 ID: 12300
 
 
 
 

Инструкция подходит для использования с несколькими LDAP-серверами. Если у них разные search_base или учетные записи, то для каждого из них необходимо создать свой конфигурационный файл. Затем перечислить все созданные файлы в опции relay_recipient_maps.

 
 
 
 

Чтобы включить SMTP-верификацию с использованием LDAPS:

  1. Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
  2. Перейдите в Technical Support Mode.
  3. Сделайте копию файла /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
  4. В оригинальном файле найдите relay_recipient_maps
  5. Удалите следующие строки:
{% if rejectRecipient == "unlisted" -%}
{%- endif %}
  1. Добавьте следующую строку ниже:
relay_recipient_maps = ldap:$config_directory/ldap_relay_recipients.cf
  1. Убедитесь, что в нем присутствуют параметры:
smtpd_recipient_restrictions = reject_unlisted_recipient,  reject_non_fqdn_recipient,  reject_unknown_recipient_domain,  permit_mynetworks,  reject_unauth_destination,  reject_unverified_recipient
smtpd_reject_unlisted_recipient = yes
  1. Сохраните его.
Изменение настроек через веб-интерфейс, касающихся reject_unlisted_recipient станет невозможным после сохранения файла main.cf.template.
  1. Создайте файл /etc/postfix/ldap_relay_recipients.cf
  2. Откройте его и заполните по следующему примеру:

Есть поддержка SSL. При этом ссылка должна начинаться с ldaps:// 

  • Если вы используете один LDAP-сервер:
  • server_host = ldaps://192.168.0.1
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Если вы используете более одного LDAP-сервера:
  • server_host = ldaps://192.168.0.1, ldaps://192.168.0.2
    timeout = 5
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Если первый LDAP-сервер будет недоступен, программа будет пытаться обратиться ко второму.
  • Параметры bind необязательны, если есть анонимный доступ к LDAP. 
  • Описание всех параметров вы можете найти на официальном сайте Postfix.
  1. Проверьте, ищутся ли пользователи по адресу электронной почты:
postmap -q test10@test.mail.com ldap:/etc/postfix/ldap_relay_recipients.cf
Если адрес существует и поиск работает, то на экран выведется информация о нём.
  1. Обновите конфигурацию postfix:
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh

Если все настройки выполнены верно, при попытке отправить сообщение пользователю не из LDAP, будет выдаваться ошибка:

Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 <test111111@test.mail.com>: Recipient address rejected: User unknown in relay recipient table; from=<root@adagsd.test.local> to=<test111111@test.mail.com> proto=ESMTP helo=<adagsd.test.local>

 
 
 
 

Эти настройки не будут работать, если используются Trusted Networks. Подробнее на сайте Postfix.

 
 
 
 
Была ли информация полезна?
Да Нет
Спасибо!
 

 
 

Как мы можем улучшить статью?

Ваш отзыв будет использован только для улучшения этой статьи. Если вам нужна помощь по нашим продуктам, обратитесь в техническую поддержку «Лаборатории Касперского».

Отправить Отправить

Спасибо за отзыв!

Ваши предложения помогут улучшить статью.

OK