Перейти к содержанию

Kaspersky Mail Gateway для чайников


Рекомендуемые сообщения

Добрый день.

Пытаюсь внедрить KSMG (пока в песочнице) в информационную структуру своей сети. Ранее использовали проприетарный продукт нероссийского производства, в качестве корпоративного почтовика, все было просто и понятно :). Но надо переезжать.
Скачала. Установила, пытаюсь конфигурировать. Коллеги, объясните мне собственно, что такое локальный домен (relay-domain), в понимании Касперского.

Я что-то ну никак не пойму что нужно рисовать в транспортную карту на странице Domain.

Предположим KSMG имеет белый адрес и FQDN-имя, в котором имя домена соответствует почтовому - mydomain.ru. В DMZ стоит некий сервер на серых адресах с именем mail-dmz.mydomain.local и на нем exim+dovecot. MX запись на DNS указывает на KSMG-сервер.

Как настраивать?

Это локальный домен или просто пересылка?

 

Ссылка на комментарий
Поделиться на другие сайты

@andrew75, стадия RFTM уже пройдена. И даже не только по версии 1.1.1.24, но и для версии 2.0.0.6478

Я прекрасно отдаю себе отчет, что мой вопрос в сфере общего понимания построения инфраструктуры пограничных и внутренних почтовых сервисов. Но если Вы такое делали, то Вам ничего бы не стоило объяснить как правильно настроить в описанной конфигурации, а если нет, то видимо - нет.

Ссылка на комментарий
Поделиться на другие сайты

@andrew75судя по отсутствию ответов, например https://forum.kaspersky.com/topic/kaspersky-secure-mail-gateway-как-входящий-relay-25027/, там тоже глухо. Ну да ладно, разберемся самостоятельно, "метод тыка" еще никто не отменял.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

Добрый день. Внедряем один шлюз KSMG. Почтовый домен один, а организаций несколько. Подход неизменяемый, сохраняется только одно имя домена, поддоменов не будет. Администратор организации по роду обязанностей должен "видеть" в консоли администратора только те письма, которые были адресованы на корпоративные п/я тех работников, которые работают в конкретной организации, то есть, другими словами, админ конкретной организации не должен иметь доступ ко всем письмам, проходящим через шлюз. Как достигается? Или кому и как адресовать вопрос?

Ссылка на комментарий
Поделиться на другие сайты

  • 5 месяцев спустя...

Я записал бесплатный обучающий курс по KSMG 2.0, где в деталях рассказываю и показываю по шагам установку, настройку и тюнинг. Пользуйтесь на здоровье = )
https://youtube.com/playlist?list=PLz72I44BN21bjMOb9ajT6iwFVBlGpUjtB

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

@Stroga не знаю, насколько это ещё актуально (всё-таки год прошёл), но смысл тут следующий.
Транспортная таблица KSMG позволяет задать маршрутизацию на директивные адреса "в обе стороны".
Настраивая поток "интернет->периметр" вы организуете маршрутизацию на почтовые сервера своей компании, а настраивая поток "периметр->интернет" можете принудительно задать какой-то внешний шлюз для какого-то домена получателей (т.е. KSMG будет при отправке на такой домен игнорировать настройки DNS и отправлять по заданной вами маршрутной таблице).

Просто в меню "домены" эти потоки никак не разграничены =)

Теперь про галочку "локальный домен (relay-domain)": она нужна для защиты самого KSMG на случай, если через него кто-то, помимо вас (какой-то злодей из интернета), попробует по вашей маршрутизации прокачивать почту на  шлюз внешнего домена.
Если вы настроите на KSMG для внешнего домена (не вашего) какой-то директивный маршрут, то потенциально, кто-то из интернета тоже может отправить письмо с этим доменом в поле From - но только на ваш KSMG. А следом уже KSMG это "плохое" письмо отправит на целевой шлюз - согласно вашей таблице маршрутизации.
Получится "отражённая атака", когда через ваш KSMG кто-то может атаковать другие ресурсы в интернете, через которые вы у себя прописали хотя бы 1 маршрут.

 

Собственно, отключение этой галочки подобную возможность для хакера в интернете и убирает.

 

Если вы не поставили галочку, то на такой домен могут слать только ваши собственные отправители, перечисленные в пункте "доверенные сети" основных настроек MTA (а значение по умолчанию тут "не определено", когда никто не может слать на внешние домены). Почта, полученная для данного домена из иных сетей (интернета, например), будет отбрасываться.

Надеюсь, кому-то ещё пригодится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • andrew75
      Автор andrew75
      На сайте выложили дистрибутивы.
      Даже раньше обещанного
    • Полислава
      Автор Полислава
      Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
      Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
      Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
      Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
      Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

       
      Search.txt
      Так же прикрепляю результаты сканирования FarBar
      FRST.txt
    • decadannce
      Автор decadannce
      Пытаюсь установить Kaspersky, но из раза в раз установка закрывается примерно на 95%, никаких ошибок, просто закрывается и больше не открывается
    • dima_kor
      Автор dima_kor
      Уважаемый Евгений Валентинович. Предполагается ли разработка роутеров для домашних пользователей с прошивкой от Kaspersky? Что-то по аналогии Kaspersky SD-WAN Edge Service Router (KESR).
    • BAXON
      Автор BAXON
      Имеется подписка на KIS. Установил обновление до Kaspersky standart. Всё работает, лицензия подхватилась. Имеется новый код активации для KIS. Лицензия скоро закончится, при вводе его и нажатии кнопки "Сохранить код активации" выдаёт ошибку "ошибка активации. В ответе от сервера активации не найден тип приложения". Я как понимаю, в лицензии не прописан Kaspersky standart? Хотя в кабинете при нажатии в лицензии на совместимость приложения выдаёт совместимость с KIS и Kaspersky, то есть должна лицензия подходить. 
      Теперь мне ждать, пока лицензия истекёт и пытаться просто активировать новой лицензией? Там то, надеюсь, примет нормально её. Или KIS снова ставить, как раньше был?
×
×
  • Создать...