梭子鱼邮件网关禁用AD账号过滤配置

概述

本文档介绍如何在梭子鱼邮件网关中配置LDAP查询，用于禁用Active Directory中的用户账号，防止邮件发送到已禁用的账户。

LDAP查询配置

主要查询条件

用于检查用户账号是否被禁用的LDAP查询：

(&(|(userAccountControl=512)(userAccountControl=66048)(objectClass=group))(|(proxyaddresses=smtp$${recipient_email})(proxyaddresses=smtp:${recipient_email})(mail=${recipient_email})(userPrincipalName=${recipient_email})))

备用查询条件

备用查询条件，用于更精确地检查账号状态：

(&(&(!(userAccountControl=514))(!(userAccountControl=66050)))(|(proxyaddresses=smtp:${recipient_email})(mail=${recipient_email})(userPrincipalName=${recipient_email})))

详细说明

userAccountControl 值说明

• 512 - 正常启用的用户账号
• 514 - 禁用的用户账号 (512 + 2)
• 66048 - 正常启用的用户账号 (启用邮箱)
• 66050 - 禁用的用户账号 (66048 + 2)

查询逻辑分析

第一个查询

• 检查账号是否为正常状态 (512 或 66048)
• 或者检查是否为组对象 (objectClass=group)
• 匹配收件人的各种邮件地址格式

第二个查询

• 确保账号不是禁用状态 (排除514和66050)
• 匹配收件人的邮件地址

配置步骤

1. 登录梭子鱼邮件网关管理界面
2. 导航到LDAP设置
3. 添加新的LDAP查询
4. 粘贴上述查询条件
5. 设置查询参数
   • Base DN: 您的AD域的Base DN
   • Bind DN: 具有查询权限的账号
   • Bind Password: 对应密码

注意事项

1. 测试查询：配置前先在AD管理工具中测试查询
2. 权限设置：确保LDAP账号有足够的查询权限
3. 性能考虑：复杂的LDAP查询可能影响性能
4. 定期维护：定期检查和更新查询条件

故障排除

常见问题

1. 查询无结果

   • 检查Base DN是否正确
   • 确认账号权限
   • 验证查询语法

2. 性能问题

   • 优化查询条件
   • 添加适当的索引
   • 考虑分页查询

调试建议

使用AD管理工具或LDAP浏览器工具预先测试查询，确保返回预期的结果。