Настройка SMTP-верификации с использованием LDAP в Kaspersky Secure Mail Gateway

 

Kaspersky Secure Mail Gateway

 
 
 

Настройка SMTP-верификации с использованием LDAP в Kaspersky Secure Mail Gateway

К разделу "Сервисные статьи"
2017 май 11 ID: 12300
 
 
 
 

Инструкция подходит для использования с несколькими LDAP-серверами. Если у них разные search_base или учетные записи, то для каждого из них необходимо создать свой конфигурационный файл. Затем перечислить все созданные файлы в опции relay_recipient_maps. При интеграции по протоколу LDAPS с каким-то из серверов, необходимо добавить version=3 в соответствующий конфигурационный файл, чтобы избежать предупреждения, которое генерирует postmap из-за значения протокола по умолчанию.

 
 
 
 

Чтобы включить SMTP-верификацию с использованием LDAP:

  1. Откройте консоль виртуальной машины Kaspersky Secure Mail Gateway или подключитесь к ней по SSH.
  2. Перейдите в Technical Support Mode.
  3. Сделайте копию файла /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
  4. В оригинальном файле найдите relay_recipient_maps
  5. Удалите следующие строки:
{% if rejectRecipient == "unlisted" -%}
{%- endif %}
  1. Добавьте следующую строку ниже:
relay_recipient_maps = ldap:$config_directory/ldap_relay_recipients.cf
  1. Убедитесь, что в нем присутствуют параметры:
smtpd_recipient_restrictions = reject_unlisted_recipient,  reject_non_fqdn_recipient,  reject_unknown_recipient_domain,  permit_mynetworks,  reject_unauth_destination,  reject_unverified_recipient
smtpd_reject_unlisted_recipient = yes
  1. Сохраните его.
Изменение настроек через веб-интерфейс, касающихся reject_unlisted_recipient станет невозможным после сохранения файла main.cf.template.
  1. Откройте файл /etc/postfix/ldap_relay_recipients.cf
  2. Заполните его по следующему примеру:
Есть поддержка SSL. При это ссылка должна начинаться с ldaps:// 
server_host = ldap://10.69.119.237
server_port = 389
search_base = dc=site
query_filter = mail=%s
result_attribute = mail
bind = yes
bind_dn = cn=admin,dc=site
bind_pw = <your password here>
Параметры bind необязательны, если есть анонимный доступ к LDAP. 
Описание всех параметров вы можете найти на официальном сайте Postfix.
  1. Сохраните файл и выполните команду:
postmap /etc/postfix/ldap_relay_recipients.cf
  1. Проверьте, ищутся ли пользователи по адресу электронной почты:
postmap -q test10@test.mail.com ldap:/etc/postfix/ldap_relay_recipients.cf  
Если адрес существует и поиск работает, то на экран выведется информация о нём.
  1. Обновите конфигурацию postfix:
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh

Если все настройки выполнены верно, при попытке отправить сообщение пользователю не из LDAP, будет выдаваться ошибка:

Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 <test111111@test.mail.com>: Recipient address rejected: User unknown in relay recipient table; from=<root@adagsd.test.local> to=<test111111@test.mail.com> proto=ESMTP helo=<adagsd.test.local>

 
 
 
 

Эти настройки не будут работать, если используются Trusted Networks. Подробнее на сайте Postfix.

 
 
 
 
Была ли информация полезна?
Да Нет
Спасибо!
 

 
 

Как мы можем улучшить статью?

Ваш отзыв будет использован только для улучшения этой статьи. Если вам нужна помощь по нашим продуктам, обратитесь в техническую поддержку «Лаборатории Касперского».

Отправить Отправить

Спасибо за отзыв!

Ваши предложения помогут улучшить статью.

OK