IronPort读取实际发送者IP

Question

目前，我们的客户之一必须满足他们的审计师需要在他们的环境中有多层安全设备，包括安全电子邮件网关(SEG)。他们目前的环境是使用思科IronPort，经过一些讨论后，他们计划购买Proofpoint作为他们的第二个SEG。

他们的计划是把Proofpoint放在他们的IronPort前面。现在，这会不会成为IronPort的一个问题，因为Proofpoint会将电子邮件转发给IronPort，因为Proofpoint IP是内部的，内部IP总是可信的？当我们将Proofpoint放在IronPort之后时，我们也遇到了同样的问题，但是我们将Proofpoint配置为检查一个IP跳(跳过IronPort)来查看发送者公共IP。在IronPort上有类似的配置吗？

谢谢。

Answer 1

如果您将另一个网关设备放置在您的Ironport和Internet之间，那么您唯一的选择就是禁用SenderBase和其他基于IP的授权。您不能告诉Ironport从任何其他方法获得上一跳IP地址，而不是从incoing连接本身(出于明显的原因--否则它太容易伪造)。

一种选择是扭转设备的顺序-- IE，将Ironport放在Internet和ProofPoint框之间，并设置Ironport具有固定的SMTP路由，通过Proofpoint发送所有传入的电子邮件。否则，您将失去Ironport的Senderbase规则，这些规则(IMHO)是Ironport的主要优点之一。