Ironport邮件策略过滤一Group成员向外发信

 

Ironport做为我们公司的邮件网关设备，用于处理来自Internet及发往Internet的邮件。后端的服务器由Exchange服务器组成，之前限制向Internet发送邮件的设定通过在＊的SMTP Connector的设置，详细请看之前的文档（http://sting.blog.51cto.com/1686695/329779）。

同时上海公司寄往总部的信件（上海与总部拥有不同邮件后缀）也都通过在Exchange内设定SMTP Connector，透过T3线路直接投递到总部的Exchange服务器。所以往总部的信件不会被应用到外发邮件限制的策略。

由于某些因素，我们取消了往总部的SMTP Connector，即往总部的信件（假设后缀为@contoso.com)也都会走SMTP Connector为＊的默认internet邮件路由，信件会被投递到Ironport邮件网关。同时在Ironport上我们有设定邮件路由，将寄往Contoso.com域的邮件也指定到总部的SMTP主机，不会通过Internet投到总部，而是直接走原有的Ｔ3线路。

当我们这样设定后，有一个问题出现了，那些受限向Internet发信的用户，之前可以向总部的同事发信，但现在没有权限了。原因很明显，往总部的信件在离开Exchange时，也都是经过有设定限制的SMTP Connector  (*)。因为我说过总部的邮件域和本地不一样，所以在取消了原有的SＭTP Connector后，邮件只会被投递到默认的Internet邮件网关上。

下面是我的解决方法，就是取消Exchange上的投递限制，由Ironport管理。即Ironport查询AD上某个Group成员是否为禁止向Internet发邮件。

具体实现步骤如下：

1.查询group成员，需开启Group Query功能。登录Ironport Ｗeb管理界面，进入LDAP设定。

 

2.如果之前没有添加过LDAP查询，需建立一个新的profile，（LDAP服务器设定不在此介绍，各位可查看Online Help). 在一个Profile内启用Group Query，输入查询字符

(&(memberOf={g})(proxyAddresses=smtp:{a}))

 

3.新建Outgoing Content Filters，受限用户的邮件将直接被Drop.

建立查询条件，如下图：

 

Matches LDAP Group一定要输入在AD上的LDAP路径，如restricted_senderer在域(假设域为Contosocn.com)的Group下面，正确的表示方式为：cn＝restricted_sender,ou＝group,dc＝contosocn,dc＝com

Action中直接选择Drop，并保存设置。

4.建立两条外发策略，第一条为如果收件为总部的邮件将不做处理，直接放行。第二条为发件为如果为受限组的成员将使用Outgoing Content Filter直接将邮件Drop.

两条策略设置如下：

 

 

5.建立后的外发策略如下：

 

 

6.最后一步，要在Listeners内要启用Group Query

 

 

刚写文档时，忘了添加这一步：（

至此设定已经全部完成。