На прошлой неделе я начал тестировать аппаратный брандмауэр Barracuda Spam Firewall. Завершив процесс установки, в течение следующего часа я производил настройку базовой конфигурации устройства, после чего решил испытать его в деле, перенаправив входящий трафик через шлюз Barracuda. Результат порадовал, однако перед полноценным запуском этого брандмауэра в эксплуатацию, я решил проверить несколько дополнительных параметров.
Одиночный вход (Single Sign-on)
Начиная с версии Model 400 и дальше, в брандмауэре предусмотрена опция одиночного входа (single sign-on), которая позволяет Barracuda задействовать службы LDAP (включая Активные директории), Radius или POP3 с целью авторизации пользователей для доступа к самостоятельному управления политикой спама. Эта функция существенно облегчает работу, как пользователям, так и администраторам.
Настроить опцию single sign-on совсем несложно. Сперва переключите опцию ‘Login Realm Selector’ в режим ‘Enabled’ и назначьте имя регистрационной области (realm name) для местных подключений. Я не смог придумать ничего лучше, чем оставить предложенное по умолчанию. Для того чтобы шлюз Barracuda задействовал для идентификации службу Active Directory, следуйте приведённым ниже указаниям, заменяя имя регистрационного каталога и авторизационного хоста (auth host) на относящиеся к вашему домену:
Из-за того, что тип карантина установлен в пользовательский режим управления (per-user), ваш домен будет отображаться на загрузочной странице Barracuda как заданная по умолчанию регистрационная область, благодаря чему пользователи смогут осуществлять вход в соответствии с данными своих учётных записей.
Акселератор MS Exchange (MS Exchange Accelerator)
Другой дополнительной особенностью является ускоритель MS Exchange, который подключается к Активной директории и проверяет на достоверность адрес электронной почты перед принятием письма. Это необходимо, поскольку Exchange принимает послания для всех адресатов вне зависимости от того, существуют ли они на самом деле или нет. Если письмо будет отклонено из-за несуществующего получателя, «словарные спамеры» могут проверить почтовые серверы на наличие действующих адресов электронной почты. Проблема заключается в том, что транспортировка и обработка почты, предназначенной для несуществующих пользователей, создаёт дополнительную нагрузку на сервер и оказывает негативное воздействие на работу служб. Если фильтр спама работает надлежащим образом, не имеет значения смогут «словарные спамеры» проанализировать список действующих адресов электронной почты ваших пользователей, или нет. К тому же, как известно, большинство пользователей подписываются на новости и рассылки с различных серверов, базы данных которых нередко циркулируют в кругах спамеров.
Здесь используется сравнительно продвинутый алгоритм установки:
LDAP Server: dc1.mydomain.local dc2.mydomain.local LDAP Port: 389 Exchange Accelerator/LDAP Verification: Yes Unify Email Aliases: Yes (uses a single account for all aliases a user may have) SSL/TLS Mode: StartTLS Require SSL/TLS: No Bind DN: rouser (user that has read access to all user information in AD) Bind Password: password123 LDAP Filter: (|(othermailbox=smtp$${recipient_email})(othermailbox=smtp:${recipient_email})(proxyaddresses=smtp$${recipient_email})(proxyaddresses=smtp:${recipient_email})(mail=${recipient_email})(userPrincipalName=${recipient_email})) LDAP Search Base: ${defaultNamingContext} LDAP UID: sAMAccountName LDAP Primary Email Attribute: mail Canary Email: canary@mydomain.com Valid Email (for testing): myaddress@mydomain.com
Лучший способ проверить ускоритель в деле — открыть командное окно и ввести:
C:> telnet smtp.mydomain.com 25 220 barracuda.mydomain.com ESMTP # HELO mydomain.com 250 barracuda.mydomain.com Hello host82-164-212-144.range82-164.btcentralplus.com [82.164.212.144], pleased to meet you # MAIL FROM: joe.bloggs@aol.com 250 OK# RCPT TO: doesntexist@mydomain.com 550 No such user (doesnotexist@mydomain.com) # QUIT 221 Bye
Письмо для несуществующего адресата было отклонено.
Настроив все необходимые функции, протестировав их и установив сертификат SSL, я убедился, что могу применять брандмауэр Barracuda Spam Firewall, не ожидая возникновения серьёзных проблем. После того, как пользователи научатся работать с карантином и специальным модулем для Outlook, время на обработку спама и связанных с этим проблем должно существенно сократится.
За прошедшую неделю я нашёл в сети много положительных отзывов об этом устройстве. Если вы используете Barracuda Spam Firewall, то я с удовольствием рассмотрю ваши советы по работе с системой карантина и расширением для Outlook.
Автор: Джастин Филдинг (Justin Fielding ) Версия на английском: techrepublic.com.com Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.