Tengo una unidad Barracuda Antispam y busco usar la validación de destinatarios con el directorio activo para detener el envío de NDR (informes de no entrega) cuando se nos envía correo no deseado.
Lo que veo en la web es gente que abre el puerto entre la dirección IP de la unidad barracuda en la DMZ y el controlador de dominio de directorio activo en la LAN.
Como solo está permitido para la unidad de la barracuda, ¿soy paranoico? ¿Crees que podría hacerlo o hay una mejor manera?
Como la mayoría de estas soluciones, el Barracuda Antispam ofrece búsqueda en el directorio (LDAP / LDAPS), un "look-ahead" SMTP donde cada destinatario se valida en el próximo salto SMTP antes de ser aceptado, y un manual lista de destinatarios: consulte Solución # 00003521 . Solo el método de búsqueda de directorio requiere un puerto adicional, debe permitir LDAP / LDAPS (389/636) o más comúnmente el GC puertos (3268/3269) desde Barracuda a un servidor AD adecuado.
Dominios > administrar el dominio > Usuarios > Configuración LDAP
Puede configurar un usuario de AD de bajo privilegio que solo necesita acceso de búsqueda a los atributos de correo electrónico del usuario en su árbol de AD (luego habilítelo para el dominio en Barracuda en la pestaña '' Destinatarios válidos ''). Suponiendo que no permita el acceso de búsqueda anónima a su directorio (no recomendado), debe usar un usuario de búsqueda dedicado y LDAPS , esto requerirá un certificado en el servidor de AD.
La vista previa de SMTP solo funciona si el próximo salto es capaz de responder con autoridad, es decir, debe rechazar a los destinatarios no válidos (con un SMTP 550) o no será efectivo. Es posible que deba configurarlo para hacer eso ( algunos servidores SMTP están predeterminados de forma inexplicable para aceptar cualquier cosa y luego generan un rebote para los destinatarios no válidos ). Mirar hacia adelante es habilitado implícitamente si no se usa LDAP. Si está utilizando MS-Exchange, es muy probable que lo que impide que el avance por defecto sea efectivo, primero observe este enfoque.
De lo contrario, usar LDAP es el siguiente mejor método, aunque no sin ningún riesgo ya que está permitiendo que un dispositivo que acepta conexiones no confiables desde Internet establezca conexiones a su AD. Las alternativas más paranoicas son un proxy LDAP en una DMZ (razonablemente sencillo con OpenLDAP como proxy); o una réplica filtrada en una DMZ (creo que esto puede no ser fácil de hacer con AD, aunque es fácil en un entorno OpenLDAP).
(Además, si aún no lo está utilizando, pruebe el Barracuda RBL , es muy efectivo para bloquear conexiones no deseadas, aunque espere un número bajo de falsos positivos).
Me pregunto cómo asegurar una arquitectura similar. En mi sitio he decidido optar por una de las dos opciones siguientes:
1) use un CD de RODC en DMZ (limitando así cualquier riesgo de ESCRITURA al directorio activo) 2) utilizando ADAM como Proxy LDAP inverso (consulte este artículo enlace )
Espero que ayude
Lea otras preguntas en las etiquetas firewalls spam active-directory