Jump to content
Kaspersky Support Forum

Kaspersky Secure Mail Gateway - несколько внешних адресов для разных почтовых доменов

EvgK
 Share

Recommended Posts

EvgK

EvgK

Posted
Posted

Здравствуйте. 
KSMG (версия 2) обслуживает несколько почтовых доменов. 
Существует ли возможность создать в KSMG несколько сетевых интерфейсов с разными IP-адресами и в правилах для исходящей почты указать что-то типа: "почта домена dom1.com должна идти с IP1, домен dom2 с IP2 и т.п"? И тот же вопрос и для входящих: можно ли сделать так, что бы MX-записи разных доменов смотрели на разные белые IP-адреса, при  этом сам сервер KSMG - один

Link to comment
Share on other sites
ElvinE5

ElvinE5

Posted
Posted

Добрый день

кейс конечно интересный ..но полностью реализовать вашу задумку наверно не выйдет.

Несколько интерфейсов указать можно, но в этом не всегда есть смысл, и KSMG при наличии нескольких внешних интерфейсов, не может отправлять почту с конкретного IP (насколько мне известно)

если позволите, я бы рассматривал систему следующим образом

 

1. входящая почта

к примеру, у меня есть некий FW который будет принимать входящие почтовые соединения на 3х белых IP, соответственно он будет перенаправлять все эти запросы внутрь сети на один KSMG сервер

в сети у меня есть три почтовых сервера (Ecxhange) обслуживающие каждый свой домен (aa.a, bb.bb, cc.cс) с адресами 192.168.1.1, 2 и 3.

в настройке KSMG - МТА -  Домены, необходимо описать куда нужно пересылать почту для каждого из обслуживаемых доменов.

Спойлер

image.thumb.png.3f9dc4fd50a531348fd0e9850e9c66a3.png

соответственно во внешнем мире почта по МХ для каждого домена будет отправятся на свой IP, где FW  будет перенаправлять ее на KSMG, а тот в свою очередь ...на соответствующий почтовый сервер внутри вашей организации.

 

2. отправка

тут сложнее, отправку почты можно будет настроить напрямую с каждого Exchange сервера через FW, и сделать соответствующие правила доступа в интернет через определенных белый IP для каждого из этих серверов.

 

при этом прием почты и ее очистка будет выполнятся KSMG, а вот отправка ... мимо него ...

возможно я сильно ошибаюсь ... и посмотрел бы на другие варианты реализации ...

Link to comment
Share on other sites
EvgK

EvgK

Posted
  • Author
Posted
1 час назад, ElvinE5 сказал:

Добрый день

кейс конечно интересный ..но полностью реализовать вашу задумку наверно не выйдет.

Несколько интерфейсов указать можно, но в этом не всегда есть смысл, и KSMG при наличии нескольких внешних интерфейсов, не может отправлять почту с конкретного IP (насколько мне известно)

если позволите, я бы рассматривал систему следующим образом

 

1. входящая почта

к примеру, у меня есть некий FW который будет принимать входящие почтовые соединения на 3х белых IP, соответственно он будет перенаправлять все эти запросы внутрь сети на один KSMG сервер

в сети у меня есть три почтовых сервера (Ecxhange) обслуживающие каждый свой домен (aa.a, bb.bb, cc.cс) с адресами 192.168.1.1, 2 и 3.

в настройке KSMG - МТА -  Домены, необходимо описать куда нужно пересылать почту для каждого из обслуживаемых доменов.

  Показать контент

image.thumb.png.3f9dc4fd50a531348fd0e9850e9c66a3.png

соответственно во внешнем мире почта по МХ для каждого домена будет отправятся на свой IP, где FW  будет перенаправлять ее на KSMG, а тот в свою очередь ...на соответствующий почтовый сервер внутри вашей организации.

 

2. отправка

тут сложнее, отправку почты можно будет настроить напрямую с каждого Exchange сервера через FW, и сделать соответствующие правила доступа в интернет через определенных белый IP для каждого из этих серверов.

 

при этом прием почты и ее очистка будет выполнятся KSMG, а вот отправка ... мимо него ...

возможно я сильно ошибаюсь ... и посмотрел бы на другие варианты реализации ...

Спасибо за ваш подробный ответ.
По п.2 из вашего ответа, как вы правильно заметили, исходящая почта будет идти мимо KSMG, а этого очень хотелось бы избежать. Я все таки считаю, что исходящую почту надо тоже проверять, дабы не залететь в черные списки, если в сети появится какой-то зловред.
По п.1 тоже не все радужно. SMTP-доменов у нас дофига, и городить под каждый из них свой почтарь слишком накладно. Это ведь все надо будет администрировать как-то, да и ресурсы не резиновые. 

Единственное, что мне пришло в голову, это собирать такую цепочку: почтарь - KSMG - некий релей (или несколько - один под каждый IP адрес), в задачу которого будет входить только маршутизация почта по разным IP адресам... 
А может быть цепочку можно вообще упростить: почтарь - несколько KSMG (по одному под каждый белый IP адрес). По этой схеме есть вопрос: если при такой схеме собрать все KSMG в кластер, сможем ли мы видеть единую очередь, единый лог отправки/приема? 

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...