Ausgehendes Routing mit Cisco ESA



    In einigen Fällen muss das Mail-Routing auf der Basis des Absenders erfolgen. Der englische Begriff für diese Aufgabe lautet Sender Based Routing. Dieses Problem kann auf verschiedene Arten gelöst werden: verschiedene externe Relays für den Mail-Server, spezielle Agenten bei Verwendung von MS Exchange (z. B. Sender Based Routing Agent für Exchange Server) usw. In dieser Notiz wollte ich eine Lösung für das Problem mit der Cisco Email Security Appliance (im Folgenden: ESA), der früheren IronPort ESA, teilen.

    Die senderbasierte Routing-Aufgabe ist relevant, wenn mehrere Absender- / Empfängerdomänen auf demselben Mailserver verwendet werden müssen. Und es ist aus folgendem Grund relevant. Die überwiegende Mehrheit der Anti-Spam-Systeme sucht nach einem PTR-Datensatz für die IP-Adresse des Absenders. Es wird dringend davon abgeraten, für eine IP-Adresse mehrere PTR-Einträge zu haben. Daher müssen Briefe von jeder Domäne des Mailservers von ihrer eigenen IP-Adresse gesendet werden, für die es einen einzelnen PTR-Datensatz gibt. Andernfalls wird die Nachricht wahrscheinlich vom Anti-Spam-System auf der Empfängerseite gelöscht. Hier stellt sich die Frage, aber wie können Sie Briefe von einem Mail-Server an verschiedene IP-Adressen senden (insbesondere über verschiedene Internetanbieter), basierend auf der Domain des Absenders?

    In meinem speziellen Beispiel wurde die Aufgabe wie folgt festgelegt: Sie müssen Briefe von der IP-Adresse eines Drittanbieters an eine bestimmte MS Exchange-Domäne senden. Mit anderen Worten, es sollte eine neue zusätzliche Domäne von Absendern / Empfängern auf dem MS Exchange-Server verwendet werden, von der Briefe von der IP-Adresse einer in einem anderen Land befindlichen Außenstelle gesendet werden sollten.

    In der Zentrale, in der sich der MS Exchange-Server befindet, wird die Cisco ASA ITU für den Zugriff auf das Internet verwendet. In der Außenstelle gibt es auch einen Cisco ASA. Zwischen Büros konfigurierte VPN Site-to-Site-Technologie IPsec.

    Ein ungefähres Schema für das Versenden von Briefen ist unten dargestellt:

    Bild

    Briefe von der Domäne @ abc.ru sollten über den lokalen ISP gesendet werden. Haupt-ISP von 1.1.1.1. Briefe von der Domäne @ xyz.ru sollten über ein VPN an das Remote-Büro und über den lokalen Remote-ISP-Anbieter mit der Adresse 9.9.9.9 ins Internet gehen. In diesem Artikel werden der Aufbau eines VPN Site-to-Site auf dem Cisco ASA und die Organisation des Internetzugriffs über einen Remoteanbieter nicht erläutert, da dieses Thema sowohl in der offiziellen Dokumentation auf cisco.com als auch in zahlreichen Foren ausführlich beschrieben wird.

    Anfänglich wurde Cisco ESA ausschließlich als Anti-Spam-Lösung im Netzwerk dieses Kunden verwendet. Nur eingehende E-Mails wurden durch die Cisco ESA geleitet. Nachrichten werden unter Umgehung des Cisco ESA gesendet: MS Exchange-Server hat Nachrichten direkt an das Standardgateway gesendet, d. H. auf Cisco ASA in unserem Fall.

    Ich möchte gleich bemerken, dass es keinen Trick gibt, eingehende E-Mails für @ abc- und @ xyz-Domains zu organisieren. Es reicht aus, den MX-Eintrag für @ abc unter der Adresse des Hauptanbieters (Haupt-ISP) und den MX-Eintrag für @ xyz unter der Adresse des Remote-Anbieters (Remote-ISP) zu veröffentlichen und das Routing und die Veröffentlichung von Cisco ESA korrekt zu konfigurieren.

    Im beschriebenen Beispiel wurde bereits ein Cisco ESA in der Infrastruktur des Kunden bereitgestellt, der als externes Relay für ausgehende E-Mails verwendet werden kann. Daher habe ich mich zuallererst gefragt, ob es helfen würde, das Problem des senderbasierten Routings zu lösen. Wie sich herausstellte, ja. Dieses Problem kann mit ausgehenden Filtern im ESA - Outgoing Content Filter behoben werden:

    Bild


    Mit Cisco ESA können Sie den Filter so konfigurieren, dass bestimmte E-Mails von einer anderen IP-Adresse gesendet werden. Die folgenden Screenshots zeigen die Einstellung "Filter für ausgehende Inhalte":

    Bild

    Bild

    Wie Sie auf dem ersten Screenshot der "Add Condition" sehen können, bietet der Cisco ESA ausreichend Gelegenheit, Buchstaben auszuwählen, um die erforderliche Aktion auf sie anzuwenden (aus der "Add Action"). Darüber hinaus können Sie Bedingungssätze erstellen und die Logik AND oder OR auf diese anwenden. Um mein Problem zu lösen, genügte es, anzugeben, dass der Ausdruck @ xyz im Feld MAIL FROM des Buchstabens enthalten war. Als Aktion ("Aktion hinzufügen") müssen Sie "Über IP-Schnittstelle zustellen" angeben und die zweite (noch nicht verwendete) Cisco ESA-Schnittstelle mit einer anderen IP-Adresse auswählen. Diese Schnittstelle wird als Daten 2 bezeichnet. Sie muss lediglich den erstellten Filter unter dem Namen "Redirect-Filter" speichern und den erstellten Filter auf die Standardrichtlinie für ausgehende E-Mails im Abschnitt "Richtlinien für ausgehende E-Mails" anwenden:

    Bild

    So ist es uns gelungen, Cisco ESA so zu konfigurieren, dass Briefe von der Domain @ xyz-Domain von der IP-Adresse der Data 2-Schnittstelle gesendet werden, während Briefe von der Domain @ abc an die IP-Adressen der ersten Schnittstelle - Data 1 - gesendet werden Um Briefe über Cisco ESA zu senden, müssen Sie die IP-Adressen von MS Exchange in der RELAYLIST der HAT-Tabelle (Host Access Table)

    Bild

    angeben : Sie müssen MS Exchange so konfigurieren, dass alle Briefe über Cisco ESA gesendet werden (Cisco ESA als Smart Host angeben) und das VPN zwischen konfigurieren Büros zum Verschlüsseln des Datenverkehrs zwischen der IP - Adresse der Cisco ESA Data 2 - Schnittstelle (von der aus domain @ xyz) und das Internet. Tatsächlich müssen Sie in den Cisco ASA-Einstellungen die IP-Adresse der Data 2-Schnittstelle zur entsprechenden Kryptozugriffsliste hinzufügen und gegebenenfalls die NAT-Regeln ändern.

    In diesem Hinweis wurde daher ein bestimmtes Beispiel für die Verwendung von Cisco ESA zur Lösung der senderbasierten Routing-Aufgabe untersucht. Die Hauptidee der vorgeschlagenen Lösung besteht darin, Briefe der ersten Domäne von der IP-Adresse der Cisco ESA Data 1-Schnittstelle und Briefe der zweiten Domäne von der IP-Adresse der Data 2-Schnittstelle zu senden Weg. Im beschriebenen Fall wurde der Datenverkehr mithilfe von Krypto-Zugriffslisten an den Cisco ASA weitergeleitet und die Pakete in einen VPN-Tunnel eingepackt. Auf Routern können Sie für diese Zwecke Policy Based Routing oder VRF verwenden.

    Abschließend möchte ich darauf hinweisen, dass keine zusätzliche Lizenz erforderlich ist, um die beschriebene Funktionalität auf der Cisco ESA zu implementieren. Sie benötigen lediglich die häufigste Lizenz für Cisco Email Security Inbound, die für die Bereitstellung von Antispamfunktionen erforderlich ist.

    Das Cisco ESA-Lizenzierungsschema wird hier ausführlicher beschrieben:
    Das Cisco ESA-Lizenzierungsschema bietet drei Arten von Lizenzen: Inbound, Outbound und Premium (Inbound + Outbound) sowie eine Reihe von A-la-Carte-Lizenzen zum Öffnen zusätzlicher Funktionen (Image Analyzer, zusätzlicher McAfee-Virenschutz, zusätzlicher Datei-Virenschutz von SoureFIRE - AMP und usw.). Für die Bereitstellung von Anti-Spam-Funktionen ist eine Inbound-Lizenz erforderlich. Genauer gesagt, mit dieser Lizenz werden die Funktionen von Antispam-, Antiviren- (Sophos) und Zero-Day-Bedrohungsfiltern (Outbreak-Filtern) geöffnet. Nach dem Namen der Lizenzen zu urteilen, könnte man denken, dass eine Outbound-Lizenz erforderlich ist, um Briefe über die Cisco ESA zu senden. Aber das ist nicht so. Zum Senden von Briefen über Cisco ESA und Verwenden der Filter für ausgehende E-Mails (Filter für ausgehende Inhalte) ist eine Inbound-Lizenz ausreichend. Eine Outbound-Lizenz ist nur erforderlich, um die Verschlüsselungsfunktionalität von Briefen zu öffnen und vor Informationslecks zu schützen (Verschlüsselung und Verhinderung von Datenverlust). Darüber hinaus fällt die Outbound-Lizenz und folglich die Premium-Lizenz in die Kategorie C3, da diese Lizenzen eine starke Verschlüsselung enthalten. Die Einfuhr solcher Produkte in die Russische Föderation bedarf der Zustimmung des FSB, daher verlängert sich in der Regel die Lieferzeit solcher Lizenzen.


    Jetzt auch beliebt: