Einrichten der SMTP-Authentifizierung unter Anwendung von LDAPS in Kaspersky Secure Mail Gateway
Der Artikel bezieht sich auf Kaspersky Secure Mail Gateway 1.1 (Version 1.1.2.30).
Die Anleitung passt zur Verwendung auf mehreren LDAP-Servern. Wenn diese Server verschiedene Optionen search_base oder Benutzerkonten haben, dann müssen Sie für jeden einzelnen Server eine eigene Konfigurationsdatei erstellen. Dann zählen Sie alle erstellten Dateien in der Option relay_recipient_maps auflisten.
So aktivieren Sie die SMTP-Authentifizierung unter Anwendung des LDAPS:
- Öffnen Sie die Konsole von Kaspersky Secure Mail Gateway auf der virtuellen Maschine oder stellen Sie eine Remote-Verbindung zur Konsole via SSH her.
- Wechseln Sie zu Technical Support Mode.
- Erstellen Sie eine Kopie der Datei /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
- In der ursprünglichen Datei finden Sie relay_recipient_maps
- Löschen Sie die folgenden Zeilen:
{%- endif %}
- Fügen Sie die Zeile unten ein:
- Prüfen Sie, dass die folgenden Parameter enthalten sind:
smtpd_reject_unlisted_recipient = yes
- Speichern Sie die Datei.
- Erstellen Sie die Datei /etc/postfix/ldap_relay_recipients.cf
- Öffnen Sie die erstellte Datei und füllen Sie sie nach folgendem Muster aus:
SSL wird unterstützt. Dabei soll ein Link mit ldaps:// beginnen.
- Wenn Sie einen einzigen LDAP-Server verwenden:
-
server_host = ldaps://192.168.0.1
server_port = 389
search_base = DC=domain,DC=com
query_filter = mail=%s
result_attribute = mail
bind = yes
version = 3
debuglevel = 0
bind_dn = CN=admin,OU=tech,DC=domain,DC=com - Wenn Sie mehr als einen LDAP-Server verwenden:
-
server_host = ldaps://192.168.0.1, ldaps://192.168.0.2
timeout = 5
server_port = 389
search_base = DC=domain,DC=com
query_filter = mail=%s
result_attribute = mail
bind = yes
version = 3
debuglevel = 0
bind_dn = CN=admin,OU=tech,DC=domain,DC=com -
Sollte der erste LDAP-Server nicht verfügbar sein, versucht das Programm die Verbindung zum zweiten aufzubauen.
- bind-Parameter können nicht angegeben werden, wenn ein anonymer Zugriff aufs LDAP besteht.
- Die Beschreibung aller Parameter können auf der offiziellen Website von Postfix finden.
- Prüfen Sie, ob die Suche von Benutzern über E-Mail-Adressen funktioniert:
- Aktualisieren Sie die Konfiguration von postfix:
Wenn alle Einstellungen richtig angepasst sind, dann wird der folgende Fehler angezeigt, wenn versucht wird, eine Meldung an einen Benutzer außerhalb der LDAP-Gruppe zu senden:
Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 <test111111@test.mail.com>: Recipient address rejected: User unknown in relay recipient table; from=<root@adagsd.test.local> to=<test111111@test.mail.com> proto=ESMTP helo=<adagsd.test.local>
Diese Einstellungen werden nicht angewendet, wenn Trusted Networks verwendet werden. Detaillierte Informationen finden auf der Website Postfix.