Перейти к содержанию

Kaspersky Mail Gateway для чайников


Рекомендуемые сообщения

Добрый день.

Пытаюсь внедрить KSMG (пока в песочнице) в информационную структуру своей сети. Ранее использовали проприетарный продукт нероссийского производства, в качестве корпоративного почтовика, все было просто и понятно :). Но надо переезжать.
Скачала. Установила, пытаюсь конфигурировать. Коллеги, объясните мне собственно, что такое локальный домен (relay-domain), в понимании Касперского.

Я что-то ну никак не пойму что нужно рисовать в транспортную карту на странице Domain.

Предположим KSMG имеет белый адрес и FQDN-имя, в котором имя домена соответствует почтовому - mydomain.ru. В DMZ стоит некий сервер на серых адресах с именем mail-dmz.mydomain.local и на нем exim+dovecot. MX запись на DNS указывает на KSMG-сервер.

Как настраивать?

Это локальный домен или просто пересылка?

 

Ссылка на сообщение
Поделиться на другие сайты

@andrew75, стадия RFTM уже пройдена. И даже не только по версии 1.1.1.24, но и для версии 2.0.0.6478

Я прекрасно отдаю себе отчет, что мой вопрос в сфере общего понимания построения инфраструктуры пограничных и внутренних почтовых сервисов. Но если Вы такое делали, то Вам ничего бы не стоило объяснить как правильно настроить в описанной конфигурации, а если нет, то видимо - нет.

Ссылка на сообщение
Поделиться на другие сайты

@Stroga, я с этим не работаю и боюсь здесь вы пользователей этого продукта не найдете.

Попробуйте спросить на оф. форуме.

Ссылка на сообщение
Поделиться на другие сайты

@andrew75судя по отсутствию ответов, например https://forum.kaspersky.com/topic/kaspersky-secure-mail-gateway-как-входящий-relay-25027/, там тоже глухо. Ну да ладно, разберемся самостоятельно, "метод тыка" еще никто не отменял.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...

Добрый день. Внедряем один шлюз KSMG. Почтовый домен один, а организаций несколько. Подход неизменяемый, сохраняется только одно имя домена, поддоменов не будет. Администратор организации по роду обязанностей должен "видеть" в консоли администратора только те письма, которые были адресованы на корпоративные п/я тех работников, которые работают в конкретной организации, то есть, другими словами, админ конкретной организации не должен иметь доступ ко всем письмам, проходящим через шлюз. Как достигается? Или кому и как адресовать вопрос?

Ссылка на сообщение
Поделиться на другие сайты
  • 5 months later...

Я записал бесплатный обучающий курс по KSMG 2.0, где в деталях рассказываю и показываю по шагам установку, настройку и тюнинг. Пользуйтесь на здоровье = )
https://youtube.com/playlist?list=PLz72I44BN21bjMOb9ajT6iwFVBlGpUjtB

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...

@Stroga не знаю, насколько это ещё актуально (всё-таки год прошёл), но смысл тут следующий.
Транспортная таблица KSMG позволяет задать маршрутизацию на директивные адреса "в обе стороны".
Настраивая поток "интернет->периметр" вы организуете маршрутизацию на почтовые сервера своей компании, а настраивая поток "периметр->интернет" можете принудительно задать какой-то внешний шлюз для какого-то домена получателей (т.е. KSMG будет при отправке на такой домен игнорировать настройки DNS и отправлять по заданной вами маршрутной таблице).

Просто в меню "домены" эти потоки никак не разграничены =)

Теперь про галочку "локальный домен (relay-domain)": она нужна для защиты самого KSMG на случай, если через него кто-то, помимо вас (какой-то злодей из интернета), попробует по вашей маршрутизации прокачивать почту на  шлюз внешнего домена.
Если вы настроите на KSMG для внешнего домена (не вашего) какой-то директивный маршрут, то потенциально, кто-то из интернета тоже может отправить письмо с этим доменом в поле From - но только на ваш KSMG. А следом уже KSMG это "плохое" письмо отправит на целевой шлюз - согласно вашей таблице маршрутизации.
Получится "отражённая атака", когда через ваш KSMG кто-то может атаковать другие ресурсы в интернете, через которые вы у себя прописали хотя бы 1 маршрут.

 

Собственно, отключение этой галочки подобную возможность для хакера в интернете и убирает.

 

Если вы не поставили галочку, то на такой домен могут слать только ваши собственные отправители, перечисленные в пункте "доверенные сети" основных настроек MTA (а значение по умолчанию тут "не определено", когда никто не может слать на внешние домены). Почта, полученная для данного домена из иных сетей (интернета, например), будет отбрасываться.

Надеюсь, кому-то ещё пригодится.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...