Kaspersky Mail Gateway для чайников

[Stroga]

Добрый день.

Пытаюсь внедрить KSMG (пока в песочнице) в информационную структуру своей сети. Ранее использовали проприетарный продукт нероссийского производства, в качестве корпоративного почтовика, все было просто и понятно :). Но надо переезжать.
Скачала. Установила, пытаюсь конфигурировать. Коллеги, объясните мне собственно, что такое локальный домен (relay-domain), в понимании Касперского.

Я что-то ну никак не пойму что нужно рисовать в транспортную карту на странице Domain.

Предположим KSMG имеет белый адрес и FQDN-имя, в котором имя домена соответствует почтовому - mydomain.ru. В DMZ стоит некий сервер на серых адресах с именем mail-dmz.mydomain.local и на нем exim+dovecot. MX запись на DNS указывает на KSMG-сервер.

Как настраивать?

Это локальный домен или просто пересылка?

 

[andrew75]

@Stroga, есть такой мануал.

 

[Stroga]

@andrew75, стадия RFTM уже пройдена. И даже не только по версии 1.1.1.24, но и для версии 2.0.0.6478

Я прекрасно отдаю себе отчет, что мой вопрос в сфере общего понимания построения инфраструктуры пограничных и внутренних почтовых сервисов. Но если Вы такое делали, то Вам ничего бы не стоило объяснить как правильно настроить в описанной конфигурации, а если нет, то видимо - нет.

[andrew75]

@Stroga, я с этим не работаю и боюсь здесь вы пользователей этого продукта не найдете.

Попробуйте спросить на оф. форуме.

[Stroga]

@andrew75, судя по отсутствию ответов, например https://forum.kaspersky.com/topic/kaspersky-secure-mail-gateway-как-входящий-relay-25027/, там тоже глухо. Ну да ладно, разберемся самостоятельно, "метод тыка" еще никто не отменял.

[andrew75]

@Stroga, а relay_domain (судя по документации) это ваши локальные домены для которых KSMG принимает почту извне.

[sergei.grigorev]

Добрый день. Внедряем один шлюз KSMG. Почтовый домен один, а организаций несколько. Подход неизменяемый, сохраняется только одно имя домена, поддоменов не будет. Администратор организации по роду обязанностей должен "видеть" в консоли администратора только те письма, которые были адресованы на корпоративные п/я тех работников, которые работают в конкретной организации, то есть, другими словами, админ конкретной организации не должен иметь доступ ко всем письмам, проходящим через шлюз. Как достигается? Или кому и как адресовать вопрос?

[JIABP]

Я записал бесплатный обучающий курс по KSMG 2.0, где в деталях рассказываю и показываю по шагам установку, настройку и тюнинг. Пользуйтесь на здоровье = )
https://youtube.com/playlist?list=PLz72I44BN21bjMOb9ajT6iwFVBlGpUjtB

[volfger]

@Stroga не знаю, насколько это ещё актуально (всё-таки год прошёл), но смысл тут следующий.
Транспортная таблица KSMG позволяет задать маршрутизацию на директивные адреса "в обе стороны".
Настраивая поток "интернет->периметр" вы организуете маршрутизацию на почтовые сервера своей компании, а настраивая поток "периметр->интернет" можете принудительно задать какой-то внешний шлюз для какого-то домена получателей (т.е. KSMG будет при отправке на такой домен игнорировать настройки DNS и отправлять по заданной вами маршрутной таблице).

Просто в меню "домены" эти потоки никак не разграничены =)

Теперь про галочку "локальный домен (relay-domain)": она нужна для защиты самого KSMG на случай, если через него кто-то, помимо вас (какой-то злодей из интернета), попробует по вашей маршрутизации прокачивать почту на  шлюз внешнего домена.
Если вы настроите на KSMG для внешнего домена (не вашего) какой-то директивный маршрут, то потенциально, кто-то из интернета тоже может отправить письмо с этим доменом в поле From - но только на ваш KSMG. А следом уже KSMG это "плохое" письмо отправит на целевой шлюз - согласно вашей таблице маршрутизации.
Получится "отражённая атака", когда через ваш KSMG кто-то может атаковать другие ресурсы в интернете, через которые вы у себя прописали хотя бы 1 маршрут.
 

Собственно, отключение этой галочки подобную возможность для хакера в интернете и убирает.

 

Если вы не поставили галочку, то на такой домен могут слать только ваши собственные отправители, перечисленные в пункте "доверенные сети" основных настроек MTA (а значение по умолчанию тут "не определено", когда никто не может слать на внешние домены). Почта, полученная для данного домена из иных сетей (интернета, например), будет отбрасываться.

Надеюсь, кому-то ещё пригодится.