Ironport做为我们公司的邮件网关设备,用于处理来自Internet及发往Internet的邮件。后端的服务器由Exchange服务器组成,之前限制向Internet发送邮件的设定通过在*的SMTP Connector的设置,详细请看之前的文档(http://sting.blog.51cto.com/1686695/329779)。
同时上海公司寄往总部的信件(上海与总部拥有不同邮件后缀)也都通过在Exchange内设定SMTP Connector,透过T3线路直接投递到总部的Exchange服务器。所以往总部的信件不会被应用到外发邮件限制的策略。
由于某些因素,我们取消了往总部的SMTP Connector,即往总部的信件(假设后缀为@contoso.com)也都会走SMTP Connector为*的默认internet邮件路由,信件会被投递到Ironport邮件网关。同时在Ironport上我们有设定邮件路由,将寄往Contoso.com域的邮件也指定到总部的SMTP主机,不会通过Internet投到总部,而是直接走原有的T3线路。
当我们这样设定后,有一个问题出现了,那些受限向Internet发信的用户,之前可以向总部的同事发信,但现在没有权限了。原因很明显,往总部的信件在离开Exchange时,也都是经过有设定限制的SMTP Connector (*)。因为我说过总部的邮件域和本地不一样,所以在取消了原有的SMTP Connector后,邮件只会被投递到默认的Internet邮件网关上。
下面是我的解决方法,就是取消Exchange上的投递限制,由Ironport管理。即Ironport查询AD上某个Group成员是否为禁止向Internet发邮件。
具体实现步骤如下:
1. 查询group成员,需开启Group Query功能。登录Ironport Web管理界面,进入LDAP设定。
2.如果之前没有添加过LDAP查询,需建立一个新的profile,(LDAP服务器设定不在此介绍,各位可查看Online Help). 在一个Profile内启用Group Query,输入查询字符
(&(memberOf={g})(proxyAddresses=smtp:{a}))
3.新建Outgoing Content Filters,受限用户的邮件将直接被Drop.
建立查询条件,如下图:
Matches LDAP Group一定要输入在AD上的LDAP路径,如restricted_senderer在域(假设域为Contosocn.com)的Group下面,正确的表示方式为:cn=restricted_sender,ou=group,dc=contosocn,dc=com
Action中直接选择Drop,并保存设置。
4.建立两条外发策略,第一条为如果收件为总部的邮件将不做处理,直接放行。第二条为发件为如果为受限组的成员将使用Outgoing Content Filter直接将邮件Drop.
两条策略设置如下:
5.建立后的外发策略如下:
6.最后一步,要在Listeners内要启用Group Query
刚写文档时,忘了添加这一步:(
至此设定已经全部完成。
