Jump to content
Kaspersky Support Forum

Kaspersky Secure Mail Gateway - несколько внешних адресов для разных почтовых доменов

EvgK
 Share

Recommended Posts

EvgK

EvgK

Posted
Posted

Здравствуйте. 
KSMG (версия 2) обслуживает несколько почтовых доменов. 
Существует ли возможность создать в KSMG несколько сетевых интерфейсов с разными IP-адресами и в правилах для исходящей почты указать что-то типа: "почта домена dom1.com должна идти с IP1, домен dom2 с IP2 и т.п"? И тот же вопрос и для входящих: можно ли сделать так, что бы MX-записи разных доменов смотрели на разные белые IP-адреса, при  этом сам сервер KSMG - один

ElvinE5

ElvinE5

Posted
Posted

Добрый день

кейс конечно интересный ..но полностью реализовать вашу задумку наверно не выйдет.

Несколько интерфейсов указать можно, но в этом не всегда есть смысл, и KSMG при наличии нескольких внешних интерфейсов, не может отправлять почту с конкретного IP (насколько мне известно)

если позволите, я бы рассматривал систему следующим образом

 

1. входящая почта

к примеру, у меня есть некий FW который будет принимать входящие почтовые соединения на 3х белых IP, соответственно он будет перенаправлять все эти запросы внутрь сети на один KSMG сервер

в сети у меня есть три почтовых сервера (Ecxhange) обслуживающие каждый свой домен (aa.a, bb.bb, cc.cс) с адресами 192.168.1.1, 2 и 3.

в настройке KSMG - МТА -  Домены, необходимо описать куда нужно пересылать почту для каждого из обслуживаемых доменов.

  Reveal hidden contents

соответственно во внешнем мире почта по МХ для каждого домена будет отправятся на свой IP, где FW  будет перенаправлять ее на KSMG, а тот в свою очередь ...на соответствующий почтовый сервер внутри вашей организации.

 

2. отправка

тут сложнее, отправку почты можно будет настроить напрямую с каждого Exchange сервера через FW, и сделать соответствующие правила доступа в интернет через определенных белый IP для каждого из этих серверов.

 

при этом прием почты и ее очистка будет выполнятся KSMG, а вот отправка ... мимо него ...

возможно я сильно ошибаюсь ... и посмотрел бы на другие варианты реализации ...

EvgK

EvgK

Posted
  • Author
Posted
  On 6/5/2023 at 4:43 AM, ElvinE5 said:

Добрый день

кейс конечно интересный ..но полностью реализовать вашу задумку наверно не выйдет.

Несколько интерфейсов указать можно, но в этом не всегда есть смысл, и KSMG при наличии нескольких внешних интерфейсов, не может отправлять почту с конкретного IP (насколько мне известно)

если позволите, я бы рассматривал систему следующим образом

 

1. входящая почта

к примеру, у меня есть некий FW который будет принимать входящие почтовые соединения на 3х белых IP, соответственно он будет перенаправлять все эти запросы внутрь сети на один KSMG сервер

в сети у меня есть три почтовых сервера (Ecxhange) обслуживающие каждый свой домен (aa.a, bb.bb, cc.cс) с адресами 192.168.1.1, 2 и 3.

в настройке KSMG - МТА -  Домены, необходимо описать куда нужно пересылать почту для каждого из обслуживаемых доменов.

  Reveal hidden contents

соответственно во внешнем мире почта по МХ для каждого домена будет отправятся на свой IP, где FW  будет перенаправлять ее на KSMG, а тот в свою очередь ...на соответствующий почтовый сервер внутри вашей организации.

 

2. отправка

тут сложнее, отправку почты можно будет настроить напрямую с каждого Exchange сервера через FW, и сделать соответствующие правила доступа в интернет через определенных белый IP для каждого из этих серверов.

 

при этом прием почты и ее очистка будет выполнятся KSMG, а вот отправка ... мимо него ...

возможно я сильно ошибаюсь ... и посмотрел бы на другие варианты реализации ...

Expand  

Спасибо за ваш подробный ответ.
По п.2 из вашего ответа, как вы правильно заметили, исходящая почта будет идти мимо KSMG, а этого очень хотелось бы избежать. Я все таки считаю, что исходящую почту надо тоже проверять, дабы не залететь в черные списки, если в сети появится какой-то зловред.
По п.1 тоже не все радужно. SMTP-доменов у нас дофига, и городить под каждый из них свой почтарь слишком накладно. Это ведь все надо будет администрировать как-то, да и ресурсы не резиновые. 

Единственное, что мне пришло в голову, это собирать такую цепочку: почтарь - KSMG - некий релей (или несколько - один под каждый IP адрес), в задачу которого будет входить только маршутизация почта по разным IP адресам... 
А может быть цепочку можно вообще упростить: почтарь - несколько KSMG (по одному под каждый белый IP адрес). По этой схеме есть вопрос: если при такой схеме собрать все KSMG в кластер, сможем ли мы видеть единую очередь, единый лог отправки/приема? 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...