我正在尝试配置我的 ESA C170,一切按预期运行。但现在我想为经过身份验证的外部用户添加中继功能支持。我添加了一个针对 LDAP 的 SMTP 身份验证配置文件。下一步是配置 HAT 和发件人组。如果我将邮件流策略添加到 HAT 中继并将我自己的 IP 添加到发件人组,那么它就可以工作,但我需要所有互联网。我正在寻找的规则是只允许经过身份验证的用户从 0.0.0.0/0 进行中继,如果地址在传输部分中列出,则所有其他用户都应匹配以接受。在 ASYNC OS 手册中,我找到了“为 SMTP 身份验证配置 AsyncOS”部分
SMTP 身份验证和 HAT 策略设置
由于在 SMTP 身份验证协商开始之前,发件人就被分组到适当的发件人组中,因此主机访问表 (HAT) 设置不会受到影响。当远程邮件主机连接时,设备首先确定哪个发件人组适用,并对该发件人组实施邮件策略。例如,如果远程 MTA“suspicious.com”位于您的 SUSPECTLIST 发件人组中,则无论“suspicious.com”的 SMTPAUTH 协商结果如何,都将应用 THROTTLE 策略。
但是,使用 SMTPAUTH 进行身份验证的发件人与“普通”发件人受到不同的对待。成功的 SMTPAUTH 会话的连接行为将更改为“中继”,从而有效地绕过收件人访问表 (RAT) 和 LDAPACCEPT。这允许发件人通过设备中继消息。如前所述,任何适用的速率限制或节流仍将有效。
我正在搜索“使用 SMTPAUTH 进行身份验证的发件人将受到不同对待”的配置路径,但没有类似的东西。
这是我现在的 HAT
如果我将自己的 IP 添加到发送者组 RELAYLIST 的发送者列表中,那么我就可以在 SMTP 对话框中看到 AUTHMECH。
我如何更改发件人组以显示 SMTP AUTH
Connected to 192.168.100.3.
Escape character is '^]'.
220 ironport.domain.tld ESMTP
ehlo test
250-ironport.domain.tld
250-8BITMIME
250 SIZE 10485760
250-AUTH PLAIN LOGIN
250 AUTH=PLAIN LOGIN
供所有外部用户登录。如果我将发件人列表更改为 0.0.0.0/0,则每个人都必须通过 iron 端口进行身份验证,因此我无法接受自己收件人的消息。