In meiner privaten Umgebung mit einer Sophos UTM 9.508-10 hatte ich bisher immer das Problem, dass die Empfängerverifizierung der Email Protection mittels Active Directory nicht funktioniert hat. Im Live Log der Email Protection war immer nur die folgende Warnung zu finden:
Warning: ACL „warn“ statement skipped: condition test deferred: failed to bind the LDAP connection to server 192.168.5.1:636 – ldap_bind() returned –1
Die normale Authentitifizierung gegenüber dem Active Directory von Benutzern lief problemlos, auch der Test der Authentifizierungsdienste war möglich. Nur die Email Protection weigerte sich beharrlich die E-Mail Adressen anhand von Active Directory zu verifizieren.
In den Authentifizierungsdiensten der UTM hatte konfiguriert, dass die Verbindung zum Domain Controller mittels SSL verschlüsselt sein soll. Scheinbar macht dies aber Probleme mit der Email Protection der UTM und sorgt zumindest in meinem Fall zu dem oben genannten Fehler.
Das Importieren des Zertifikats des Domain Controller hat ebenfalls nicht geholfen, so blieb mir nur noch übrig eine unverschlüsselte Verbindung zu nutzen.
Hier also einmal die Konfiguration die in meiner Umgebung funktioniert:
Damit die Empfängerverifizierung funktioniert, musste ich die Einstellung “Domänencontroller: Signaturanforderungen für LDAP-Server” auf den Wert “Keine” ändern. Die Einstellung lässt sich entweder in der Gruppenrichtlinie “Default Domain Controllers Policy” festlegen oder über eine neue zusätzliche Richtlinie für die Domain Controller festlegen. Ich bin ein Freund der unveränderten Default Richtlinien, daher würde ich hier empfehlen eine neue Gruppenrichtlinie zu erstellen, hier muss dann auf die Reihenfolge der GPOs geachtet werden, damit die Default Richtlinie den Wert nicht überschreibt:
Zur Verifizierung von E-Mail Adressen und Benutzern benötigt die UTM einen Benutzer im ActiveDirectory. Der Benutzer muss nur der Gruppe “Domänen Benutzer” angehören. Das Passwort des Benutzers darf nicht ablaufen:
Aus den Attributen des Benutzers wird der Distinguished Name (DN) benötigt, dieser kann schon einmal kopiert werden:
Ausserdem wird auch noch der Distinguished Name (DN) der Active Directory Domain benötigt:
In den Authentifizierungsdiensten der UTM wird nun ein neuer Server mit de Typ “Active Directory” angelegt. SSL wird deaktiviert und als Port 389 gewählt. Der Wert “Bind-DN” entspricht dem Distinguished Name (DN) des Benutzerkontos. Der Wer für BaseDN entspricht dem DN der Domain:
Die Einstellungen können mit “Servereinstellungen testen” und einer beliebigen Benutzer/Passwort Kombination getestet werden.
In den Einstellungen der Email Protection kann nun unter dem Menüpunkt Routing die Empfängerauthentifizierung mittels Active Directory aktiviert werden. Als “Alternativer BaseDN” kann wieder der DN der Domain angegeben werden:
Mit diesen Einstellungen funktioniert zumindest in meiner Umgebung die Empfängerverifizierung mittels Active Directory. Wenn es jemand mit SSL hinbekommen hat, dann würd ich mich über Rückmeldung freuen.