Найти тему
Лаборатория сисадмина
7001 подписчик

ESA Incoming Relay — входящий релей

11
2 мин
Оглавление

Иногда Email Security Appliance (ESA) может неверно определять IP адрес отправителя, когда письмо проходит через ретранслятор или цепочку ретрансляторов. Вместо IP адреса отправителя берётся адрес последнего ретранслятора. В результате письмо не получает верные баллы SenderBase Reputation Scores (SBRS) и отправляется в спам.

Рассмотрим простейший случай.

-2
  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо проходит через Firewall, попадает в ретранслятор IP: 10.2.3.4.
  • Ретранслятор пересылает письмо на ESA IP: 10.2.3.5.
  • ESA определяет IP адрес отправителя: 10.2.3.4.

Рассмотрим более сложные случаи.

-3

Вариант A:

  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо проходит через Firewall, попадает в ретранслятор с IP: 10.2.3.4 (Hop 2).
  • Ретранслятор пересылает письмо на следующий ретранслятор с IP: 10.2.3.5 (Hop 1).
  • Ретранслятор пересылает письмо на ESA с IP: 10.2.3.6.
  • ESA определяет IP адрес отправителя: 10.2.3.5.

Вариант B:

  • Сервер с IP: 7.8.9.1 отправляет письмо.
  • Письмо попадает в балансировщик, у которого может быть несколько разных IP: 10.2.5.1-n (Hop 2).
  • Балансировщик пересылает письмо на ретранслятор IP: 10.2.6.1 (Hop 1).
  • Ретранслятор пересылает письмо на ESA IP: 10.2.3.6.
  • ESA определяет IP адрес отправителя: 10.2.6.1.

Во всех этих случаях ESA может определить верный IP отправителя, если ретрансляторы дописывают в заголовок IP адрес отправителя. Обычно это заголовок "Received" (может использоваться и другой заголовок), который выглядит так:

Received: from mail-pl1-f180.google.com ([209.85.214.180])
by mx1.example.com; Mon, 28 Feb 2022 19:30:10 +0000

Если ретрансляторов в цепочке несколько, то заголовков "Received" тоже несколько. Для верного определения IP адреса отправителя нужно знать, сколько ретрансляторов в цепочке, т.е. сколько хопов выполнять (Hop 1, Hop 2).

Включение Incoming Relay в ESA

Включим поддержку входящих релеев.

Network → Incoming Relays. Нажимаем Enable.

-4

Применяем настройки. Commit Changes.

-5

Добавление Incoming Relay в ESA

С помощью кнопки Add Relay... добавляем свои релеи. Указываем:

  • Название релея.
  • IP адрес релея. Это может быть IPv4, IPv6, диапазон 10.2.3.1-10 или подсеть 10.2.3.1/8.
  • Заголовок релея: по умолчанию "Received" или какой-то другой.
  • Количество хопов.
  • Слово, после которого ESA будет искать первый IP адрес (в данном заголовке), по умолчанию "from".
-6

В данном случае у меня только Hop 1, т.е. один релей в цепочке. Submit.

Добавляем ещё один релей.

-7

Во втором случае у меня Hop 2, за релеем есть ещё один релей. IP адрес отправителя ищем после символа "[". Submit.

Применяем настройки. Commit Changes.

-8

Если вы будете отслеживать сообщение через Message Tracking, то в качестве IP адреса отправителя отображается IP релея, реальный IP адрес отправителя можно найти ниже. Там же можно посмотреть SBRS.

-9

Ссылки

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01100.html

Источник:
https://internet-lab.ru/esa_incoming_relay

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.