目前,我们的一位客户必须满足审计人员的需求,即在其环境中配备多层安全设备,包括安全电子邮件网关 (SEG)。他们当前的环境正在使用 Cisco IronPort,经过一番讨论后,他们计划购买 Proofpoint 作为他们的第二个 SEG。
他们的计划是将 Proofpoint 放在 IronPort 前面。现在这会给 IronPort 带来问题吗?因为 Proofpoint 会将电子邮件转发到 IronPort,因为 Proofpoint IP 是内部的,而内部 IP 始终受信任。当我们将 Proofpoint 放在 IronPort 后面时,我们遇到了同样的问题,但我们配置了 Proofpoint 来检查一个 IP 跳转(跳过 IronPort)以查看发件人的公共 IP。IronPort 上是否有类似的配置?
谢谢。
答案1
如果您在 Ironport 和 Internet 之间放置了另一个网关设备,那么您唯一的选择就是在 HAT 中的传入策略定义中禁用 SenderBase 和任何其他基于 IP 的授权。您不能告诉 Ironport 通过传入 TCP 连接本身以外的任何其他方法获取上一跳 IP 地址(原因很明显 - 否则伪造起来太容易了)。
一个选项是颠倒设备的顺序——例如,将 Ironport 放在 Internet 和 Proofpoint 框之间,并将 Ironport 设置为具有固定的 SMTP 路由,以便通过 ProofPoint 发送所有传入电子邮件。否则,您将失去 Ironport 的 Senderbase 规则,而这(在我看来)是 Ironport 的主要优势之一。