Barracuda反垃圾邮件访问dmz中的活动目录:打开端口还是不打开？

Question

我有一个Barracuda反垃圾邮件单元，并希望使用接收者验证与活动目录停止发送NDRs (非交付报告)时，我们是垃圾邮件。

我在网上看到的是人们在DMZ中的梭鱼单元IP地址和LAN中的活动目录域控制器之间打开端口。

因为这是只允许梭鱼单位，我是偏执狂吗？你觉得我能做到吗，还是有更好的办法？

Answer 1

像大多数这样的解决方案一样，Barracuda反垃圾邮件提供目录查找(LDAP/LDAPS)、SMTP“前瞻性”，在下一个SMTP跳转中每个接收者在被接受之前被验证，以及一个手动收件人列表(参见解决方案#00003521 )。只有目录查找方法需要一个额外的端口，您需要允许LDAP/LDAPS (389/636)，或者更常见的是允许从Barracuda到合适的AD服务器的GC端口(3268/3269)。

域>管理域>用户> LDAP配置

您可以配置一个低权限的AD用户，它只需要搜索您的AD树中的用户电子邮件属性(然后在“有效收件人”选项卡下为Barracuda上的域启用它)。假设您不允许匿名搜索访问您的目录(不推荐)，您应该使用专用搜索用户和LDAPS，这将需要AD服务器上的证书。

SMTP展望-只有当下一跳能够权威地回答时才有效，即它必须拒绝无效的收件人(使用SMTP 550)，否则它将无效。您可能需要对其进行配置(有些SMTP服务器莫名其妙地默认接受任何内容，然后为无效的收件人生成反弹)。展望未来，如果不使用LDAP，则是隐式启用。如果您使用的是MS，这很可能是阻止默认的前瞻性有效的原因，请先看看这种方法。

否则，使用LDAP是第二个最好的方法，虽然不是没有风险，因为您允许一个设备从互联网接受不受信任的连接建立连接到您的AD。更偏执的替代方案是DMZ中的LDAP代理(以OpenLDAP作为代理相当直截了当)；或DMZ中的过滤副本(我认为这对AD来说并不容易，尽管在OpenLDAP环境中很容易)。

(而且，如果您还没有使用它，请尝试梭子鱼RBL，它可以非常有效地阻止不必要的连接，尽管期望出现少量的误报)。

Answer 2

我想知道如何保护类似的体系结构。在我的网站上，我决定选择以下两种选择：

1)在DMZ中使用RODC dc (从而将任何写入风险限制在活动目录中) 2)，使用ADAM作为反向LDAP代理(请参阅本文http://technet.microsoft.com/en-us/magazine/2008.12.proxy.aspx )

希望它能帮上忙