У нас в компании используется сервер Exchange для обмена почтовыми сообщениями.
Но для отправки сообщений во "вне" используем Communigate Pro.
Communigate (CGP for Linux) используется только как прослойка и письма
отправленные на известные домены пересылаются на  Exchange.
 
схема
 
   Internet
      |
      |
   Communigate Pro
      |
      |
   Exchange
      |
      |
   Users
 
Но если просмотреть логи, то можно увидеть, что есть огромные очереди на
адреса, которых не существует и соответственно куча DNR.
Значит нужно как-то отсеивать эти настырные подключения.
 
Пришел к выводу, что можно сделать External Authentication + скрипт на perl +
запретить пересылку писем на exchange (это будет делать скрипт)
 
Что было сделано.

1. На communigate включил External Authentication (В helpers) с параметрами:

   Program Path: /var/CommuniGate/adrelay.pl
   Time-out: 20s
   Auto-Restart: 30s

Не забыть поставить галку External Authentication
 
2. Так же на communigate в разделе Users - Domain Defaults - Unknown Names:

   Consult External for Unknown: Yes
   Mail to Unknown: Rejected
 
Теперь напишем скрипт в /var/CommuniGate/adrelay.pl
  
   #!/usr/bin/perl
   use Net::LDAP;
   my  $searchBase = 'dc=DOMAIN,dc=local';
   my @ldap_servers=(
   { address=>'XXX.XXX.XXX.XXX',     # the address or IP of LDAP server
     port=>389,                # LDAP port, 389 by default
     timeout=>5,               # timeout in seconds, 20 by default
     adminDN=>'LDAPUSER@DOMAIN.local',  # the DN for admin bind
     adminPassword=>'Password', # the DN PASSWORD for admin bind
   },
   { address=>'XXX.XXX.XXX.XXX',     # the address or IP of LDAP    server2
     port=>389,                # LDAP port, 389 by default
     timeout=>5,               # timeout in seconds, 20 by default
     adminDN=>'LDAPUSER@DOMAIN.local',  # the DN for admin bind
     adminPassword=>'Password', # the DN PASSWORD for admin bind
   },
   { address=>'XXX.XXX.XXX.XXX',     # the address or IP of LDAP  server3
     port=>389,                # LDAP port, 389 by default
     timeout=>5,               # timeout in seconds, 20 by default
     adminDN=>'LDAPUSER@DOMAIN.local',  # the DN for admin bind
     adminPassword=>'Password', # the DN PASSWORD for admin bind
   },
   );

   $| = 1;
   print "* MegaScript started\n";
   my ($ldapServerID,$ldapServerTried)=(0,0);
   while(<STDIN>) {
     chomp;    # remove \n from the end of line
     my ($prefix,$method,@eargs) = split(/ /);
     if($method eq 'NEW') {
       unless($prefix && $method && $eargs[0]) {
         print "$prefix ERROR Expected: nnn NEW user\@domain\n";
       } else {
         my $errorMsg=new_command($prefix,$eargs[0]);
   
       if(defined $errorMsg) {
         print "$prefix ERROR $errorMsg\n";
       }
     }
   }
   elsif ($method eq 'INTF' ) {
       if($eargs[0] < 3) {
         print "* This script requires CGPro version 4.1b7 or newer\n";
         exit;
       }

         exit;
       }
       print "$prefix INTF 3\n";
     }
     elsif($method eq 'QUIT') {
       print "$prefix OK\n";
       last;
     } else {
       print "$prefix ERROR Only NEW, INTF and QUIT commands  supported\n";
     }
   }
   print "* Megascript done\n";
   exit(0);
  
   sub tryConnectServer {
     my $theServer=$ldap_servers[$ldapServerID];
     print "* trying to connect to $theServer->{address}\n";
     my $ldap = Net::LDAP->new($theServer->{address},port=>($theServer->{port} || 389),timeout=>($theServer->{timeout} || 20) )
      || return undef;
     return $ldap;
   }
  sub tryConnect {
     my $nServers=scalar(@ldap_servers);
     for(my $nTried=0;$nTried<$nServers;$nTried++) {
       if($ldapServerID>=$nServers) { $ldapServerID=0;}
       my $ldap=tryConnectServer();
       return $ldap if($ldap);
       ++$ldapServerID;
     }
     return undef;
   }

   sub new_command {
     my ($prefix,$user)=@_;
     my ($name,$domain)=("","");
     if($user =~ /(.+)\@(.+)/) {
       $name=$1;
       $domain=$2;
     } else {
       return "Full account name with \@ and domain part expected";
     }
     my $ldap = tryConnect();
     unless($ldap) {
       return "Failed to connect to all LDAP servers";
     }
     my $adminDN=$ldap_servers[$ldapServerID]->{adminDN};
     my $adminPassword=$ldap_servers[$ldapServerID]->{adminPassword};
     my $result=$ldap->bind($adminDN,password=>$adminPassword)
       || return "Can't bind as admin: ".$result->error;
     $result->code && return "Can't bind as admin: ".$result->error;
    
   
        my $mesg = $ldap->search (  # perform a search
                base   => $searchBase,
                scope  => "subtree",
                filter => "(&(proxyAddresses=smtp:$name\@$domain) (objectclass=*))"
        );

     $ldap->unbind();  
     unless(defined $mesg) {
       return "LDAP search failed";
     }
     if($mesg->all_entries() eq 0) {
       return "address $name\@$domain NOT exists";
     } else {
       print "$prefix ROUTED $name\%$domain\@[IPEXCHANGE]\n";   
       # Pomenyai IPEXCHANGE!!!!!!!!!!!!
       return undef;
     }
  };

 
Что делает скрипт.
При получении адреса e-mail в RCPT TO ищет его в AD в атрибутах пользователей.
Если не находит, то сообщение игнорируется.

Проверить работоспособность скрипта можно запустив его и набрать 1 NEW email@domain.ru
Если выдаст ROUTED email%domain.ru@IPEXCHANGE - то значит все ОК!!!