Configuration de la vérification SMTP via LDAPS dans Kaspersky Secure Mail Gateway

 

Kaspersky Secure Mail Gateway

 
 
 

Configuration de la vérification SMTP via LDAPS dans Kaspersky Secure Mail Gateway

Retour vers la section "Configuration"
Dernière mise à jour : 11 juin 2020 Article ID : 12300
 
 
 
 

Le guide s'applique également aux cas où plusieurs serveurs LDAP sont utilisés. Si les serveurs ont des search_base ou comptes différents, créez un fichier de configuration pour chaque serveur. Ensuite énumérez tous les fichiers créés dans l'option relay_recipient_maps.

 
 
 
 

Pour activer la vérification SMTP via LDAPS :

  1. Ouvrez la console Kaspersky Secure Mail Gateway sur la machine virtuelle ou connectez-vous à elle via SSH.
  2. Entrez en mode Technical Support.
  3. Créez une copie du fichier /opt/kaspersky/klms-appliance/share/postfix/main.cf.template
  4. Dans le fichier d'origine trouvez relay_recipient_maps.
  5. Supprimez les lignes suivantes :
{% if rejectRecipient == "unlisted" -%}
{%- endif %}
  1. Ajoutez la ligne suivante au-dessous :
relay_recipient_maps = ldap:$config_directory/ldap_relay_recipients.cf
  1. Assurez-vous que le fichier contient les paramètres suivants :
smtpd_recipient_restrictions = reject_unlisted_recipient,  reject_non_fqdn_recipient,  reject_unknown_recipient_domain,  permit_mynetworks,  reject_unauth_destination,  reject_unverified_recipient
smtpd_reject_unlisted_recipient = yes
  1. Enregistrez le fichier.
Une fois le fichier main.cf.template enregistré, il sera impossible de modifier les paramètres relatifs à reject_unlisted_recipient via l'interface Web.
  1. Créez le fichier /etc/postfix/ldap_relay_recipients.cf
  2. Ouvrez-le et remplissez-le selon le modèle suivant :
L'utilisation des connexions SSL est prise en charge. Le lien doit commencer par ldaps:// 
  • Si vous utilisez un seul serveur LDAP :
  • server_host = ldaps://192.168.0.1
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Si vous utilisez plus d'un serveur LDAP :
  • server_host = ldaps://192.168.0.1, ldaps://192.168.0.2
    timeout = 5
    server_port = 389
    search_base = DC=domain,DC=com
    query_filter = mail=%s
    result_attribute = mail
    bind = yes
    version = 3
    debuglevel = 0
    bind_dn = CN=admin,OU=tech,DC=domain,DC=com
  • Si le premier serveur LDAP est inaccessible, l'application essayera de se connecter au deuxième.
Les paramètres bind ne sont pas obligatoires s'il y a un accès anonyme à LDAP. 
Vous trouverez la description de tous les paramètres sur le site officiel de Postfix.
  1. Assurez-vous que la recherche des utilisateurs par adresse de courrier électronique fonctionne :
postmap -q test10@test.mail.com ldap:/etc/postfix/ldap_relay_recipients.cf  
Si l'adresse existe et la recherche fonctionne, les informations relatives à l'utilisateur seront affichées.
  1. Mettez à jour la configuration de postfix :
/opt/kaspersky/klms-appliance/bin/update_postfix_config.sh

Si tous les paramètres sont correctement configurés, un message d'erreur s'affichera à une tentative d'envoyer un message à l'utilisateur en dehors de LDAP :

Non existing user:
Feb 26 17:53:50 adagsd postfix/smtpd[10029]: NOQUEUE: reject: RCPT from adagsd.test.local[::1]: 550 5.1.1 <test111111@test.mail.com>: Recipient address rejected: User unknown in relay recipient table; from=<root@adagsd.test.local> to=<test111111@test.mail.com> proto=ESMTP helo=<adagsd.test.local>

 
 
 
 

Les paramètres ne fonctionneront pas si Trusted Networks est utilisé. Pour en savoir plus, consultez le site de Postfix.

 
 
 
 
Ces informations vous ont-elles été utiles ?
Oui Non
Merci
 
 
 

Liens utiles

Description de tous les paramètres sur le site officiel de Postfix

Retour vers la section "Configuration"
 
 

 
 

Dites-nous ce que nous pouvons faire pour améliorer l'article :

Les commentaires laissés ci-dessous ne sont utilisés qu’à des fins d’amélioration de l’article. Pour obtenir de l’aide avec nos produits, contactez le support technique de Kaspersky.

Envoyer Envoyer

Merci pour vos commentaires !

Vos suggestions nous sont précieuses et nous aideront à améliorer l'article.

Fermer