Установите несколько серверов за ASA 5505, все в порядке, за исключением того факта, что ASA отправляет только правильный исходящий IP-адрес smtp для самого домена почтового сервера.
Любой другой домен, который отправляет исходящую электронную почту, показывает внешний IP-адрес ASA как адрес отправителя, что вызывает тревогу у почтовых серверов получателя, поскольку у нас нет настройки обратного DNS на этом IP.
Мы бы хотели, чтобы произошло следующее:
1) Сделайте исходящий IP-адрес smtp тем же как входящий IP (предпочтительно)
-или
2) Укажите IP-адрес нашего почтового сервера в качестве адреса отправителя для ВСЕГО исходящего SMTP-трафика, а затем настройте записи SPF DNS для наших доменов, в которых домен почтового сервера указан в качестве авторизованного отправителя.
Применимые строки конфигурации:
object-group network web-services
network-object host xx.xxx.xx.101
network-object host xx.xxx.xx.102
...
object-group service open-tcp tcp
port-object eq smtp
...
access-list out_in extended permit tcp any object-group web-services object-group open-tcp
...
global (outside) 1 interface
global (dmz) 1 interface
nat (dmz) 0 access-list nonat
nat (dmz) 1 0.0.0.0 0.0.0.0 # perhaps here some magic can be worked
Есть ли способ получить только исходящий SMTP-трафик, привязанный к IP-адресу почтового сервера? Я бы предпочел, чтобы все исходящие сообщения перенаправлялись на IP-адрес почтового сервера. решение в этой теме кажется, делает.
Идеи оценены, спасибо
Получил помощь на форумах Cisco, вот решение, которое подходит для моей установки:
global (outside) 25 xx.xxx.xx.101
access-list Dmz-Smtp-PolicyPAT
access-list Dmz-Smtp-PolicyPAT extended permit tcp 172.16.0.0 255.255.0.0 any eq smtp
nat (dmz) 25 access-list Dmz-Smtp-PolicyPAT
Это направляет весь исходящий трафик smtp через внешний IP-адрес xx.xxx.xx.101, общедоступный IP-адрес моего почтового сервера.
Я бы предпочел, чтобы входящий smtp выходил на тот же общедоступный IP, но Qmail, мой почтовый сервер, не поддерживает несколько исходящих IP-адресов в версии, которую я установил (v1.03).
В любом случае это работает, весь исходящий трафик кажется внешнему миру исходящим с моего почтового сервера, а не с внешнего IP-адреса самого ASA. Теперь просто нужно настроить записи SPF для клиентских доменов и авторизовать mycompany.com в качестве авторизованного отправителя почты.
что-то вроде static (inside,outside) tcp mail.server.ip.here smtp your.internal.subnet.here smtp netmask
net.mask.for.the.internal.subnet.here должен сделать свое дело.