如果在网络基础设施的 LDAP 目录中(例如,在 Microsoft Active Directory、SunONE Directory Server 或 OpenLDAP 目录中)存储用户信息,则可以将邮件网关配置为查询 LDAP 服务器以接受、路由和对邮件进行身份验证。可以将邮件网关配置为与一个或多个 LDAP
以下部分概述了可以执行的 LDAP 查询的类型;LDAP 如何与邮件网关配合使用以进行身份验证、接受和路由邮件;以及如何将邮件网关配置为与 LDAP 配合使用。
如果在网络基础设施的 LDAP 目录中存储用户信息,则可以将邮件网关配置为查询 LDAP 服务器以用于实现以下目的:
- 接受查询。可以使用现有 LDAP 基础设施来定义如何处理传入邮件的收件人邮件地址(在公共侦听程序中)。有关详细信息,请参阅。
- 路由(别名设置)。可以将邮件网关配置为根据网络中 LDAP 目录中的可用信息,将邮件路由至相应地址和/或邮件主机。有关详细信息,请参阅。
- 证书身份验证。可以创建查询来检查客户端证书的有效性,以便对用户的邮件客户端与邮件网关之间的 SMTP 会话进行身份验证。有关详细信息,请参阅。
- 伪装。您可以伪装信封发件人(针对传出邮件)和信头(针对传入邮件,例如,To:、Reply To:、From: 或 CC: 信头)。有关伪装的更多信息,请参阅。
- 组查询。可以将邮件网关配置为根据 LDAP 目录中的组对邮件执行操作。为此,可以将组查询与邮件过滤器相关联。可以对与定义的 LDAP 组匹配的邮件执行适用于邮件过滤器的任何邮件操作。有关详细信息,请参阅。
- 基于域的查询。可以创建基于域的查询,以便邮件网关在单个侦听程序中为不同的域执行不同的查询。当邮件网关运行基于域的查询时,它会根据域确定要使用的查询,并且会查询与该域关联的 LDAP 服务器。
- 链查询。可以创建链查询来使邮件网关按顺序执行一系列查询。在配置链查询时,邮件网关会按顺序运行每个查询,直到 LDAP 设备返回一个积极的结果。对于链接的路由查询,邮件网关会按顺序对每个重写的邮件地址重新运行已配置的相同链查询。
- 目录搜集预防。可以将邮件网关配置为使用 LDAP 目录来抵御目录搜集攻击。可以在 SMTP 会话期间或在工作队列中配置目录搜集攻击预防。如果在 LDAP 目录中找不到收件人,可以配置系统以执行延迟退回或彻底丢弃邮件。因此,垃圾邮件发送者无法区分有效和无效的邮件地址。请参阅。
- SMTP 身份验证。AsyncOS 支持 SMTP 身份验证。SMTP 身份验证是用于验证连接到 SMTP 服务器的客户端的一种机制。可以使用该功能使贵组织中的用户可以使用邮件服务器发送邮件,即使他们利用远程连接(例如在家中或在旅行时)也是如此。有关详细信息,请参阅。
- 外部身份验证。可以将邮件网关配置为使用 LDAP 目录来对登录到邮件网关的用户进行身份验证。有关详细信息,请参阅。
- 垃圾邮件隔离区最终用户身份验证。可以将邮件网关配置为在用户登录最终用户隔离区时对其进行验证。有关详细信息,请参阅。
- 垃圾邮件隔离区别名合并。如果为垃圾邮件使用邮件通知,则此查询会合并最终用户别名,以便最终用户不会根据每个别名邮件地址都收到隔离区通知。有关详细信息,请参阅。
使用 LDAP 目录时,可以将邮件网关与 LDAP 目录服务器配合使用,以接受收件人、路由邮件和/或伪装邮件信头。还可以将 LDAP 组查询与邮件过滤器配合使用,以创建邮件网关收到邮件时的处理规则。
下图展示邮件网关如何与 LDAP 配合使用:
|
选择在与 LDAP 服务器通信时是否使用 SSL。
|
||
|
在“高级”(Advanced) 下,输入缓存生存时间。此值表示保留缓存的时长。 |
||
|
输入保留缓存条目的最大数量。
|
||
|
||
|
通过单击“测试服务器”(Test Server) 按钮测试服务器连接。如果您指定了多个 LDAP 服务器,则这些服务器都会进行测试。测试结果显示在“连接状态”(Connection Status) 字段中。有关详细信息,请参阅。 |
||
|
通过单击测试查询 (Test Query) 按钮测试查询。 输入测试参数并单击“运行测试”(Run Test)。测试结果显示在“连接状态”(Connection Status) 字段中。如果对查询定义或属性进行任何更改,请单击更新 (Update)。有关详细信息,请参阅。
|
||
|
使用“添加/编辑 LDAP 服务器配置文件”页面上的“测试服务器”按钮(或 CLI 中 ldapconfig 命令的 test 子命令)测试与 LDAP 服务器的连接。AsyncOS 随即显示一条消息,说明到服务器端口的连接是成功还是失败。如果配置了多台 LDAP 服务器,则 AsyncOS 会测试每台服务器并显示各个测试结果。
启用 LDAP 查询以在特定侦听程序中运行
要允许邮件网关在您接收或发送邮件时运行 LDAP 查询,必须在适当的侦听程序上启用 LDAP 查询。
配置 LDAP 查询的全局设置
LDAP 全局设置定义邮件网关如何处理所有 LDAP 流量。
|
选择用于 LDAP 流量的 IP 接口。默认情况下,邮件网关会自动选择接口。 |
|
如果要验证 LDAP 服务器证书,请选择适当的选项。 |
创建 LDAP 服务器配置文件示例
在下面的示例中,“系统管理”(System Administration) >“LDAP”页面用于为要绑定到的邮件网关定义 LDAP 服务器,并为收件人接受、路由和伪装配置查询。
|
LDAP 连接具有 60 秒的连接尝试超时(包括 DNS 查找、连接本身,以及如果适用,邮件网关自身的身份验证绑定)。在第一次失败后,AsyncOS 会立即开始尝试同一服务器中的其他主机(如果以逗号分隔的列表形式指定了多个主机)。如果服务器中只有一个主机, AsyncOS 会继续尝试连接到它。 |
如果目录中包含多个域,则您可能会发现不便为查询输入单个 BASE。在本例中,在配置 LDAP 服务器设置时,请将基本 DN 设置为“无”(NONE)。但是,这会让搜索效率低下。
允许 LDAP 路径中使用空格,而且不需要使用引号。CN 和 DC 语法不区分大小写。
为查询输入的变量名称区分大小写,且必须与 LDAP 实施匹配才能正常工作。例如,在提示符中输入 mailLocalAddress 执行的查询不同于输入 maillocaladdress 执行的查询。
您可以在 LDAP 查询中使用以下令牌:
|
{f} 令牌仅在接受查询中有效。 |
|
在侦听程序上启用 LDAP 功能之前,Cisco Systems 强烈建议使用“LDAP”页面的测试功能(或 ldapconfig 命令的 test 子命令)来测试所构建的所有查询,并确保返回预期结果。有关详细信息,请参阅。 |
可以指示 AsyncOS 在与 LDAP 服务器通信时使用 SSL。如果将 LDAP 服务器配置文件配置为使用 SSL:
-
可能必须将 LDAP 服务器配置为支持使用 LDAPS 证书。
- 如果未配置 LDAPS 证书,则 AsyncOS 将使用演示证书。
LDAP 路由查询没有递归限制;路由完全由数据驱动。但是,AsyncOS 会检查循环参考数据以防止无限循环地进行路由。
允许客户端匿名绑定到 LDAP 服务器
可能需要配置 LDAP 目录服务器以允许匿名查询。(即,客户端可匿名绑定到服务器并执行查询。)有关配置 Active Directory 以允许匿名查询的具体说明,请参阅以下 URL 的“Microsoft 知识库文章 - 320528”:
如果在 LDAP 服务器属性的“主机名”(Host Name) 字段中输入了多个主机,则邮件网关会在每个 LDAP 服务器上测试查询。
下表显示了接受查询示例。
Lotus 会接受此人各种不同格式邮件地址而不是指定地址的邮件,例如“Joe_User@ 可能会替换为发送到 newrecipient1@ 等的新的单独邮件)。路由查询有时在其他邮件处理系统中称为别名查询。
对于路由查询,MAILHOST 的值不能是 IP 地址;它必须是可解析的主机名。这通常需要使用内部 DNSconfig。
使用伪装查询重写信封发件人
伪装是根据构建的查询重写邮件中的信封发件人(也称为发件人或 MAIL FROM)以及 To:、From: 和/或 CC: 信头的一项功能。该功能的一个典型实施示例是允许从一个站点托管多个域的“虚拟域”。另一个典型实施是通过从邮件信头的字符串中“拆离”子域来“隐藏”网络基础设施。
|
原始地址(发件人、收件人、抄送、回复) |
|---|
使用组 LDAP 查询确定收件人是否为组成员
可以定义对 LDAP 服务器的查询以确定收件人是否为 LDAP 目录所定义的组的成员。
|
首先,会创建邮件过滤器以对与组成员身份积极匹配的邮件执行操作。在本示例中,使用 通过下列组查询创建 LDAP 服务器配置文件: 然后在侦听程序中启用此查询,以便在侦听程序收到邮件时,会触发组查询。 要为 IT 组的成员跳过病毒和垃圾邮件过滤,可以创建以下邮件过滤器,从而将传入邮件与 LDAP 组进行比较。 |
侦听程序所接受的邮件会触发对 LDAP 服务器的查询以确定组成员身份。如果邮件收件人是 IT 组的成员,则邮件过滤器会跳过病毒和垃圾邮件检查并将邮件发送给收件人。要启用该过滤器以检查 LDAP 查询的结果,必须在 LDAP 服务器上创建 LDAP 查询并在侦听程序上启用该 LDAP 查询。
使用基于域的查询路由到特定域
基于域的查询是按类型分组的 LDAP 查询,它们与域相关联,并且分配给特定侦听程序。如果有不同的 LDAP 服务器与不同的域关联,但是要为同一侦听程序上的所有 LDAP 服务器运行查询,则可能需要使用基于域的查询。例如,公司“MyCompany”收购了公司“HisCompany”和公司“HerCompany”,而且 MyCompany 保留其域 以及所收购公司的域 和 ,其为与每个域相关联的员工维护不同的 LDAP 服务器。要接受这三个域的邮件,MyCompany 会创建基于域的查询。这允许 在同一侦听程序上接受
|
为要在基于域的查询中使用的域创建服务器配置文件。对于每个服务器配置文件,配置要用于基于域的查询的查询(接受、路由等)。有关详细信息,请参阅。 |
|
|
创建基于域的查询。当创建基于域的查询时,从每个服务器配置文件中选择查询,并使邮件网关能够根据“信封收件人”(Envelope To) 字段中的域确定要运行的查询。有关创建查询的详细信息,请参阅。 |
|
|
在公共或专用侦听程序上启用基于域的查询。有关配置侦听程序的详细信息,请参阅“配置网关以接收邮件”一章。
|
|
输入基于域的查询的名称。 |
|
|
|
|
选择要与域关联的查询。 |
|
|
继续添加行,直到将所有域添加到查询。 |
|
|
如果所有其他查询失败,可以输入默认查询。如果不希望输入默认查询,请选择无 (None)。 |
|
|
通过单击“测试查询”按钮并在测试参数字段中输入要测试的用户登录名和密码或者邮件地址,以测试查询。结果会显示在“连接状态”(Connection Status) 字段中。 |
|
|
或者,如果在接受查询使用 {f} 令牌,则可以将信封发件人地址添加到测试查询。
|
|
使用链查询执行一系列 LDAP 查询
链查询是邮件网关连续尝试运行的一系列 LDAP 查询。邮件网关会尝试运行“链”中的每个查询,直到 LDAP 服务器返回正面响应(或者“链”中最后一个查询返回负面响应或失败)。对于链接的路由查询,邮件网关会按顺序对每个重写的邮件地址重新运行已配置的相同链查询。如果 LDAP 目录中的条目使用不同的属性存储相似(或相同)的值,则链查询会非常有用。例如,您可能已经使用属性 maillocaladdress 和 mail 存储用户邮件地址。为了确保查询根据这两个属性行,可以使用链查询。
|
为要在链查询中使用的每个查询创建服务器配置文件。对于每个服务器配置文件,配置要用于链查询的查询。有关详细信息,请参阅。 |
|
|
创建链查询。有关详细信息,请参阅。 |
|
|
在公共或专用侦听程序上启用链查询。有关配置侦听程序的详细信息,请参阅“配置网关以接收邮件”一章。
|
|
创建链查询时,无法选择不同类型的查询。选择某种查询类型后,邮件网关将使用可用服务器配置文件中该类型的查询来填充查询字段。 |
|
|
选择查询以添加到链查询。 邮件网关会按照配置顺序运行查询。因此,如果将多个查询添加到链查询,则可能需要对它们进行排序,以便更常规的查询在更具体的查询之后。 |
|
|
通过单击“测试查询”(Test Query) 按钮并在测试参数字段中输入要测试的用户登录名和密码或者邮件地址,以测试查询。结果会显示在“连接状态”(Connection Status) 字段中。 |
|
|
或者,如果在接受查询使用 {f} 令牌,则可以将信封发件人地址添加到测试查询。
|
|
将 LDAP 用于目录搜集攻击预防
当恶意发件人尝试向具有通用名称的收件人发送邮件时,邮件网关通过验证该位置具有有效有效的收件人进行响应。当大规模执行时,恶意发件人通过“搜集”要发送垃圾邮件的有效地址,可以确定向谁发送邮件。
当使用 LDAP 接受验证查询时,邮件网关可以检测和阻止目录搜集攻击 (DHA)。可以在 SMTP 会话期间或在工作队列中配置 LDAP 接受以阻止目录搜集攻击。
SMTP 会话期间的目录搜集攻击预防
可以通过仅输入收件人访问表 (RAT) 中的域并在 SMTP 会话中执行 LDAP 接受验证来阻止 DHA。
要在 SMTP 会话期间丢弃邮件,请为 LDAP 接受配置 LDAP 服务器配置文件。然后,配置侦听程序以在 SMTP 会话期间执行 LDAP 接受查询。
要将邮件整合到主邮件地址,请创建查询来搜索收件人的备用邮件别名,然后在“邮件属性 (Email Attribute)”字段中输入收件人的主邮件地址的属性。
如果希望垃圾邮件隔离区将 LDAP 查询用于垃圾邮件通知,请选中“指定为活动查询”(Designate as the active query) 复选框。如果有现有的有效查询,则禁用此选项。打开“系统管理”(System Administration) >“LDAP”页面时,会在有效查询旁边会显示一个星号 (*)。
mail。可以定义自己的查询和邮件属性,包括逗号分隔的多个属性。如果您输入多个邮件属性,思科建议输入一个使用单个值的唯一属性(例如 mail)作为第一个邮件属性,而不是输入一个具有多个可以更改的值的属性,例如 proxyAddresses。
此部分显示 Active Directory 服务器和别名整合查询的设置示例。此示例将匿名身份验证用于 Active Directory 服务器,将别名整合的查询字符串用于 Active Directory 服务器,并且使用了 mail 邮件属性。
|
|
本示例仅用于演示。查询和 OU 或树设置可能因环境和配置而异。 |
此部分显示 OpenLDAP 服务器和别名整合查询的设置示例。此示例将匿名身份验证用于 OpenLDAP 服务器,将别名整合的查询字符串用于 OpenLDAP 服务器,并且使用了 mail 邮件属性。
|
[空白](有些旧方案将使用特定基本 DN。) |
|
本示例仅用于演示。查询和 OU 或树设置可能因环境和配置而异。 |
用户可分辨名称设置示例
此部分显示 Active Directory 服务器和用户可分辨名称查询的设置示例。此示例为 Active Directory 服务器使用匿名身份验证,并且为 Active Directory 服务器的用户可分辨名称检索使用查询字符串。
|
|
本示例仅用于演示。查询和 OU 或树设置可能因环境和配置而异。 |
配置 LDAP 配置文件时,可以配置邮件网关以连接到列表中的多个 LDAP 服务器。要使用多个 LDAP 服务器,必需将 LDAP 服务器配置为包含相同的信息、使用相同结构并且使用相同的身份验证信息。(存在可以整合记录的第三方产品)。
将邮件网关配置为连接到冗余 LDAP 服务器时,可以配置 LDAP 配置以进行故障转移或负载均衡。
可以使用多个 LDAP 服务器以获得以下结果:
- 故障切换。当配置 LDAP 配置文件以进行故障转移时,如果邮件网关无法连接到第一台 LDAP 服务器,则会故障转移到列表中的下一台 LDAP 服务器。
- 负载均衡。配置 LDAP 配置文件以实现负载均衡时,邮件网关会在执行 LDAP 查询期间在列出的 LDAP 服务器之间分发连接。
服务器,AsyncOS 会测试每个服务器,并显示每个服务器的每个结果。AsyncOS 还将测试每个 LDAP 服务器上的查询,并显示每个结果。
要确保 LDAP 查询得到解决,可以配置 LDAP 配置文件以进行故障切换。如果与 LDAP 服务器的连接失败,或者查询返回特定的错误代码(例如,“不可用”或“忙”),则邮件网关将尝试查询列表中指定的下一台 LDAP 服务器。
邮件网关会在指定的时间段内尝试连接到 LDAP 服务器列表中的第一台服务器。如果邮件网关无法连接到列表中的第一台 LDAP 服务器,或者查询返回特定错误代码(例如,“不可用”或“忙”),则邮件网关将尝试连接到列表中的下一台 LDAP 服务器。默认情况下,邮件网关始终尝试连接到列表中的第一台服务器,而且,会尝试按照列出的顺序连接到后续每台服务器。为确保邮件网关在默认情况下连接到主 LDAP 服务器,请务必将其输入为 LDAP 服务器列表中的第一台服务器。
如果邮件网关连接到第二个或后续的 LDAP 服务器,它将保持连接到该服务器的状态,直到出现超时。出现超时后,它会尝试重新连接到列表中的第一台服务器。
|
只有查询指定 LDAP 服务器的尝试才会进行故障转移。尝试查询与未故障转移的指定的 LDAP 服务器关联的建议或后续服务器。 |
配置邮件网关进行 LDAP 故障转移
要配置邮件网关进行 LDAP 故障转移,请在 GUI 中完成以下步骤:
|
从 LDAP 服务器配置文件中,配置以下设置: |
|||
|
配置其他 LDAP 设置并确认更改。 |
要在一组 LDAP 服务器中分发 LDAP 连接,可以配置用于负载均衡的 LDAP 配置文件。
为负载均衡配置 LDAP 配置文件时,邮件网关会在列出的 LDAP 服务器之间分发连接。如果连接失败或超时,邮件网关会确定哪些 LDAP 服务器可用,并重新连接到可用的服务器。邮件网关根据您配置的最大连接数确定要建立的并发连接数。
如果其中一台所列的 LDAP 服务器未响应,邮件网关将在剩余的 LDAP 服务器之间分发的连接。
为邮件网关配置负载均衡
|
从 LDAP 服务器配置文件中,配置以下设置: |
|||
|
配置其他 LDAP 设置并确认更改。 |
