Kaspersky Secure Mail Gateway как входящий relay

[AVL]

Добрый день!

Прошу подсказать, может ли KSMG 2.0 (2.0.0.6478) использоваться в качестве внешнего почтового сервера для приема сообщений (в качестве релея на внутренние почтовые сервера)?
Вопрос возник из-за пункта настроек "Список доверенных сетей и узлов сети, которым разрешено пересылать сообщения электронной почты через Kaspersky Secure Mail Gateway (mynetworks)" - если указать только внутренние адреса, то прием почты с внешних источников не работает, ошибка "554 5.7.1 Relay access denied"

У кого-нибудь уже был опыт?

[pavel.yashin]

столкнулись с аналогичной проблемой - не подскажете, как было решено?

[Omich_paladin]

Здравствуйте.

Та же проблема.

[SlavaJ]

У меня работает так, всё норм.
В параметрах - встроенный MTA - домены должны быть добавлены ваши домены и установлен флажок "локальный".

[volfger]

Не знаю, насколько это ещё актуально (всё-таки год прошёл), но смысл тут следующий.

Скорее всего ошибки, описанные тс, связаны с конфликтом двух настроек - отсутствующей галочки "локальный домен" в настройках внутренних доменов (что ошибочно) и перечня только локальных адресов в "доверенных сетях" (что верно, но при отсутствии галочки "локальный домен" запрещает на них получать и передавать почту).
Далее - по порядку.

Транспортная таблица KSMG позволяет задать маршрутизацию на директивные адреса "в обе стороны".
Настраивая поток "интернет->периметр" вы организуете маршрутизацию на почтовые сервера своей компании, а настраивая поток "периметр->интернет" можете принудительно задать какой-то внешний шлюз для какого-то домена получателей (т.е. KSMG будет при отправке на такой домен игнорировать настройки DNS и отправлять по заданной вами маршрутной таблице).

Просто в меню "домены" эти потоки никак не разграничены 😃

Теперь про галочку "локальный домен (relay-domain)": она нужна для защиты самого KSMG на случай, если через него кто-то, помимо вас (какой-то злодей из интернета), попробует по вашей маршрутизации прокачивать почту на  шлюз внешнего домена.
Если вы настроите на KSMG для внешнего домена (не вашего) какой-то директивный маршрут, то потенциально, кто-то из интернета тоже может отправить письмо с этим доменом в поле From - но только на ваш KSMG. А следом уже KSMG это "плохое" письмо отправит на целевой шлюз - согласно вашей таблице маршрутизации.
Получится "отражённая атака", когда через ваш KSMG кто-то может атаковать другие ресурсы в интернете, через которые вы у себя прописали хотя бы 1 маршрут.

Собственно, отключение этой галочки подобную возможность для хакера в интернете и убирает.
Но вместе с тем запрещает для этих доменов любой приём писем извне (что и выглядит как описанная в начале ошибка).

 

Если вы в настройках домена не поставили галочку, то на такой домен могут слать только ваши собственные отправители, перечисленные в пункте "доверенные сети" основных настроек MTA (а значение по умолчанию тут "не определено", когда никто не может слать на внешние домены). Почта, полученная для данного домена из иных сетей (интернета, например), будет отбрасываться.

Ну а чтобы для домена получать почту из Интернета, галочку следует поставить - тогда на него могут слать все (а не только "доверенные сети"), и вы сможете получать входящие письма из Интернета.

Надеюсь, кому-то ещё пригодится.