Назад | Перейти на главную страницу

Как разрешить аутентифицированному пользователю выполнять ретрансляцию на Cisco ESA C170 (железный порт)

Я пытаюсь настроить свой ESA C170, и все работает, как ожидалось. Но теперь я хочу добавить поддержку функции ретрансляции для авторизованного внешнего пользователя. Я добавляю профиль аутентификации SMTP для LDAP, который работает. Следующим шагом является настройка HAT и группы отправителей. Если я добавлю политику потока почты в HAT Relay и добавлю свой собственный IP-адрес в Sendergroup, это будет работать, но мне нужно для всего Интернета. Я ищу правило, которое позволяет ретранслировать только авторизованного пользователя с 0.0.0.0/0, а все остальные должны соответствовать принятому, если адрес указан в транспортном разделе. В руководстве по ASYNC OS я нашел раздел «Настройка AsyncOS для SMTP-аутентификации»

Параметры проверки подлинности SMTP и политики HAT

Поскольку отправители группируются в соответствующую группу отправителей до начала согласования аутентификации SMTP, параметры таблицы доступа к хосту (HAT) не затрагиваются. Когда подключается удаленный почтовый узел, устройство сначала определяет, какая группа отправителей применяется, и применяет политику почты для этой группы отправителей. Например, если удаленный MTA «suspicious.com» находится в вашей группе отправителей SUSPECTLIST, политика THROTTLE будет применяться независимо от результатов согласования SMTPAUTH «suspicious.com».

Однако отправители, которые аутентифицируются с помощью SMTPAUTH, обрабатываются иначе, чем «нормальные» отправители. Поведение соединения для успешных сеансов SMTPAUTH изменяется на «RELAY», эффективно обходя таблицу доступа получателей (RAT) и LDAPACCEPT. Это позволяет отправителю ретранслировать сообщения через устройство. Как указано, любое применяемое ограничение скорости или дросселирование останется в силе.

Я ищу путь конфигурации «отправители, которые аутентифицируются с помощью SMTPAUTH, обрабатываются по-разному», но ничего подобного нет.

Вот моя нынешняя шляпа если я добавлю свой собственный IP-адрес в список отправителей RELAYLIST группы отправителей, я смогу увидеть AUTHMECH в диалоговом окне SMTP. Как я могу изменить группы отправителей, чтобы отображать SMTP AUTH следующим образом

Connected to 192.168.100.3.
Escape character is '^]'.
220 ironport.domain.tld ESMTP
ehlo test
250-ironport.domain.tld
250-8BITMIME
250 SIZE 10485760
250-AUTH PLAIN LOGIN
250 AUTH=PLAIN LOGIN

Для всех внешних пользователей для входа. Если я изменю список отправителей на 0.0.0.0/0, то каждый должен будет пройти аутентификацию по железному порту, поэтому я не могу принимать сообщения для собственных получателей.