Cisco ESAを使用したアウトバウンドルーティング

場合によっては、送信者に基づいてメールルーティングを行う必要があります。 このタスクの英語の用語は、送信者ベースのルーティングです。 この問題はさまざまな方法で解決できます。メールサーバーのさまざまな外部リレー、MS Exchangeを使用する場合の特別なエージェント（たとえば、Exchange ServerのSender Based Routing Agent）など。 このメモでは、Cisco Email Security Appliance（以降、ESA）を使用した問題の解決策（以前のIronPort ESA）を共有したかったのです。



送信者ベースのルーティングタスクは、同じメールサーバーで複数の送信者/受信者ドメインを使用する必要がある場合に関連します。 そして、それは次の理由に関連しています。 スパム対策システムの大部分は、送信者のIPアドレスのPTRレコードをチェックします。 1つのIPアドレスに対して、複数のPTRレコードを作成することは強く推奨されません。 したがって、メールサーバーの各ドメインからの手紙は、単一のPTRレコードがある独自のIPアドレスから送信する必要があります。 そうしないと、受信者側のスパム対策システムがメッセージをドロップする可能性があります。 ここで問題が発生しますが、送信者のドメインに基づいて、1つのメールサーバーから別のIPアドレスに（特に、異なるインターネットプロバイダーを介して送信する）手紙をどのように分散できますか？



私の特定の例では、タスクは次のように設定されました。サードパーティプロバイダーのIPアドレスから特定のMS Exchangeドメインにレターを送信する必要があります。 言い換えると、MS Exchangeサーバー上の送信者/受信者の新しい追加ドメインを使用することになっており、その送信元は別の国にあるリモートオフィスのIPアドレスから送信される必要があります。



MS Exchangeサーバーが配置されているセントラルオフィスでは、Cisco ASA ITUを使用してインターネットにアクセスします。 リモートオフィスには、Cisco ASAもあります。 VPNサイト間テクノロジーIPsecを構成したオフィス間。



手紙を送るおおよそのスキームを以下に示します。









@ abc.ruドメインからの手紙は、1.1.1.1からローカルISPメインISPを介して送信され、@ xyz.ruドメインからの手紙は、VPNを介してリモートオフィスに送信され、アドレス9.9.9.9のローカルリモートISPプロバイダーを介してインターネットに送信されます。 この記事では、Cisco ASAでのVPN Site-to-Siteの構築およびリモートプロバイダーを介したインターネットアクセスの組織については説明しません。このトピックについては、cisco.comの公式ドキュメントと多数のフォーラムの両方で詳しく説明しています。



当初、Cisco ESAはこの顧客のネットワークでスパム対策ソリューションとしてのみ使用されていました。 着信メールのみがCisco ESAを通過しました。 メッセージは、Cisco ESAをバイパスして送信されます。MSExchangeサーバーは、デフォルトゲートウェイに直接メッセージを送信しました。 この場合、Cisco ASAで。



@ abcおよび@ xyzドメインの受信メールを整理するのにトリックはありません。 @ abcのMXレコードをメインプロバイダー（メインISP）のアドレスで公開し、@ xyzのMXレコードをリモートプロバイダー（リモートISP）のアドレスで公開し、Cisco ESAのルーティングと公開を正しく構成するだけで十分です。



説明した例では、Cisco ESAがすでに顧客のインフラストラクチャに展開されており、送信メールの外部リレーとして使用できます。 したがって、まず、送信者ベースのルーティングの問題を解決するのに役立つかどうか疑問に思いました。 結局のところ、はい。 この問題はESAの発信フィルタを使用して解決することができます-発信コンテンツフィルタ：











Cisco ESAを使用すると、特定の電子メールが異なるIPアドレスから送信されるようにフィルターを設定できます。 以下のスクリーンショットは、発信コンテンツフィルターの設定を示しています。











「条件の追加」の最初のスクリーンショットからわかるように、Cisco ESAは、必要なアクションを適用する文字を選択する十分な機会を提供します（「アクションの追加」から）。 さらに、条件のセットを作成し、それらに論理ANDまたはORを適用できます。 この問題を解決するには、レターのMAIL FROMフィールドに@ xyzというフレーズが含まれていれば、指定するだけで十分です。 アクション（「アクションの追加」）として、Deliver from IP Interfaceを指定し、異なるIPアドレスを持つ2番目の（まだ使用されていない）Cisco ESAインターフェイスを選択する必要があります。 このインターフェイスはデータ2と呼ばれます。作成されたフィルターをRedirect-Filterなどの名前で保存し、作成されたフィルターを[送信メールポリシー]セクションの送信メールの既定のポリシーに適用するだけです。







したがって、ドメイン@ xyzドメインからの文字がデータ2インターフェイスのIPアドレスから送信され、@ abcドメインからの文字が最初のインターフェイス-データ1のIPアドレスに送信されるように、Cisco ESAを設定できました。 Cisco ESA経由でレターを送信する必要があった場合、HATテーブル（ホストアクセステーブル）のRELAYLISTでMS ExchangeのIPアドレスを指定することを忘れないでください。







すべてのメッセージをCisco ESA経由で送信するようにMS Exchangeを構成し（スマートホストとしてCisco ESAを指定）、オフィス間のVPNを構成して、Cisco ESA Data 2インターフェイス（@ xyzドメインメッセージの送信元）のIPアドレスとインターネット間のトラフィックを暗号化することは残ります。 実際、Cisco ASAの設定では、Data 2インターフェイスのIPアドレスを対応する暗号化アクセスリストに追加し、必要に応じてNATルールを修正する必要があります。



したがって、このノートでは、Cisco ESAを使用して送信者ベースのルーティングタスクを解決する方法の具体例を検討しました。 提案されたソリューションの主なアイデアは、最初のドメインの文字をCisco ESA Data 1インターフェイスのIPアドレスから送信し、2番目のドメインの文字をData 2インターフェイスのIPアドレスから送信することです。異なるIPアドレスに文字を割り当てた後、便利で手頃な価格でそのような文字をネットワーク機器にルーティングすることが可能になります方法。 記載されているケースでは、トラフィックは暗号化アクセスリストを使用してCisco ASAにルーティングされ、パケットはVPNトンネルでラップされました。 ルーターでは、これらの目的でポリシーベースルーティングまたはVRFを使用できます。



結論として、説明した機能をCisco ESAに実装するために追加のライセンスは必要ありません。 必要なのは、スパム対策機能を提供するために必要な最も一般的なCisco Email Security Inboundライセンスだけです。