O Cisco Secure Email (anteriormente conhecido como Email Security Appliance, ou Cloud Email Security, e muito anteriormente conhecido como Ironport Secure Email), tem uma opção para verificar se o destinatário existe, antes de fazer a entrega para o servidor de e-mail da organização.
Para isso é necessário configurar um profile LDAP e associá-lo ao Listener utilizado para recebimento de e-mails.
Esta é uma configuração simples, e agrega um bom nível de proteção para o servidor, já que e-mails destinados a contas inexistentes nem são enviadas para ele.
Configuração
1) Crie uma conta no AD para Secure Email utilizar para fazer as consultas LDAP.
2) Abra o Secure Email e vá em System Administration > LDAP, e clique em Add LDAP Server Profile.
3) Preencha as informações necessárias: nome do profile, hostname (servidor LDAP), Base DN, usuário e senha (criado no passo 1). Selecione o tipo de servidor, a porta (3268 ou 636 para LDAPS) e marque a opção para usar SSL.
4) Clique em Test Servers. Esse deve ser o output.
Connecting to server (IP do seu servidor1) at port 3269
Connected to port: 3269 – Success
Bound successfully with DN ces@brainwork.com.br
Result: succeeded
Connecting to server (IP do seu servidor2) at port 3269
Connected to port: 3269 – Success
Bound successfully with DN ces@brainwork.com.br
Result: succeeded
5) Selecione Accept Query (o nome e a string devem preencher automaticamente, e a string normalmente é proxyAddresses=smtp:{a}). Clique Test Query e informe um endereço de e-mail válido.
O resultado deve ser:
Query results for host:(IP do seu servidor1)
Query (proxyAddresses=smtp:andre.ortega@brainwork.com.br) to server Brainwork-LDAPS (SERVIDOR1:3269)
Query (proxyAddresses=smtp:andre.ortega@brainwork.com.br) lookup success, (SERVIDOR1:3269) returned 1 results
Success: Action: Pass
Query results for host:(IP do seu servidor2)
Query (proxyAddresses=smtp:andre.ortega@brainwork.com.br) to server Brainwork-LDAPS (SERVIDOR2:3269)
Query (proxyAddresses=smtp:andre.ortega@brainwork.com.br) lookup success, (SERVIDOR2:3269) returned 1 results
Success: Action: Pass
6) Com o profile criado e testes com sucesso, clique em Submit e faça o Commit das alterações.
7) Vá para Network > Listeners, selecione o listener utilizado para recebimento de e-mails, e na opção LDAP Queries, no campo Accept Query selecione o profile que acabou de criar (neste exemplo Brainwork-LDAPS).
Clique em Submit, Commit, e pronto.
Note que se você usa a solução em nuvem, precisará fazer NAT e liberar no Firewall o acesso do Secure Email para seus servidores LDAP.
E importante: a partir de 30 de abril de 2022, a solução em cloud não aceita mais a opção LDAP. É preciso utilizar LDAPS.
Se quiser um exemplo desta configuração via linha de comando, acesse este link.
E outras informações sobre Query LDAP podem ser encontradas no User Guide.
Até a próxima.
