none
SMTP odesílá (přijímá) neautorizované zprávy pro obsaženou akceptovanou doménu.

    Dotaz

  • Dobrý den, mám dotaz na komunitu.

    Týká se Exchange Serveru 2013.
    Popis je velmi stručný, Vaše dotazy rád a rychle doplním.

    Jak jsem nedávno zjistil, zle poslat na server, pomocí neautorizovaného přístupu, libovolný mail. Lze jej poslat pouze příjemci, který je obsažen v Akceptovaných doménách. Takového lze vytipovat velmi snadno. Je jím například postmaster@nase_akceptovana_domena.cz  .
    Mail se poté zařadí příjemci do nevyžádané pošty. Testoval jsem jednotky mailů, co udělá server, kdybych jich poslal 50, to nevím.

    Poslat mail mimo prostor serveru – tedy na jinou doménu do internetu, takto není možné. To je samozřejmě v pořádku.

    Mail lze poslat například pomocí Telnetu:

    OPEN mail.exch_server.cz 25
    220 OPEN mail.exch_server.cz 25 Microsoft ESMTP MAIL Service ready 
    EHLO
    250- mail.exch_server.cz Hello [xxx.xxx.xxx.xxx]
    250-SIZE 104857600
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-AUTH
    250-8BITMIME
    250-BINARYMIME
    250 CHUNKING
    MAIL FROM: jakykoli@vymysleny.cz
    250 2.1.0 Sender OK
    RCPT TO: postmaster@nase_akceptovana_domena.cz
    250 2.1.5 Recipient OK
    DATA
    354 Start mail input; end with <CRLF>.<CRLF>
    To: postmaster@nase_akceptovana_domena.cz
    From: postmaster@nase_akceptovana_domena.cz
    Subject: mail test 5
    .
    250 2.6.0 <826@mail..exch_server.cz> [InternalId=963, Hostname=mail..exch_server.cz] Queued mail for delivery

    Nebo mnohem snadněji např. pomocí služby wormly ...

    Je toto chování SMTP v serveru standartní? 

    Pokoušel jsem se chování ovlivnit pomocí Get-ReceiveConnector a Add-ADPermission, pro NT AUTHORITY\ANONYMOUS LOGON,  ovšem,  bez úspěchu.

    Konektor pro odesílání máme nastavený na MX. Ale to s tím pravděpodobně nesouvisí. Děkuji.

    8. června 2017 10:40

Všechny reakce

  • No a co vlastně řešíš? To že SMTP server přijme jakýkoliv e-mail, kde doména příjemce souhlasí s některou z akceptovaných domén? To, že jde mail poslat pomocí například Telnetu? Ano, to všechno je normální.

    Zkus raději popsat, čeho vlastně chceš docílit.


    BB

    8. června 2017 10:53
  • Děkuji ti za odpověď .

    Je velmi logické, že je to tak jak píšeš.

    Jen se snažím důkladně zabezpečit server.  

    Tato situace se dá zneužít i tak, že v rámci akceptované domény,  se může kdokoli vydávat za postmastera (nebo šéfa) a poslat mail „kolegovi“ , který vypadá jako pravý, a ve zdroji zprávy je dokonce uvedeno:

    Received: from mail.exch_server.cz

    Dá se nějakým způsobem zabezpečit, aby k takovéto situaci nemohlo dojít ?

    8. června 2017 11:38
  • Této větě moc nerozumím: "Tato situace se dá zneužít i tak, že v rámci akceptované domény,  se může kdokoli vydávat za postmastera (nebo šéfa) a poslat mail „kolegovi“ , který vypadá jako pravý, a ve zdroji zprávy je dokonce uvedeno: "

    To jako že se kdokoliv připojí telnetem na Exchange a pošle e-mail se zdrojovou adresou z akceptované domény?

    Jinak obecně k zabezpečení:

    1. Udělej si test na open relay.

    2. Nasaď SPF.

    3. Doporučuji před Exchange předřadit nějaký mail security produkt, který bude dělat AV kontrolu, antispam, anti spoofing apod.


    BB

    8. června 2017 12:06
  • Opět děkuji za reakci !

    1. Open Relay je v pořádku. Testoval jsem ho na všech dostupných testovacích místech. 

    2. Předřadíme ZYWALL s podporou AV a Antispam atd ..

    3. SPF  a podobné postupy nainstalovány.

    Jádro problému je jinde. Prostě zcela jednoduše, i přes tyto předřazené filtry, lze nakonfigurovat jakéhokoli klienta (např. Outlook) tak, aby posílal do serveru maily, které se tváří, jako že jsou od odesilatel1@akceptovana_domena.xx a pošlu je vesele příjemcel1@akceptovana_domena.xx, pokud mail pošlu ( bez autorizace  k SMTP konektoru) - který je na mail.mujsetver.exchange2013.xx

    Tomu chci zabránit. Nebo Vám to snad nejde poslat ? Mám to někde blbě?

    Lze použít  Telnet, kde je to exaktně vidět a otestovat si to. Tam je to že postmaster posílá postmasterovi, ale lze to uplatnit i jako odesilatel1 příjemci1. Vše POUZE v oblasti "akceptovaných domén".

    8. června 2017 12:33
  • Aha, už tomu začínám rozumět. A ten problém řešíš jen v rámci LAN nebo i z internetu?

    BB

    8. června 2017 12:35
  • Jedná se o následující situaci, uvedu příklad.

     

    připojím se např. přes telnet k smtp serveru mail.mujserver.cz 25 (je jedno zda z lokální sítě nebo z internetu)

    ohlásím se mu (EHLO bez identifikace) a server odpoví HELLO.

     

    pokračuju MAIL FROM: uzivatel1@mujserver.cz RCPT TO: uzivatel2@mujserver.cz.

     

    Mail se normálně odešle a uživatel2 vidí, že mu uzivatel1 posílá email. Nicméně uzivatel1 nic neposlal, ale poslala to 3 osoba např. telnetem.

     

    Můj dotaz je následující, je toto standardní chování a pokud ne, jak se tomu dá zamezit.

    Pro doplnění pokud se připojím k telnetu a chci MAIL FROM: uzivatel11@mujserver.cz a RCPT TO: uživatel@gmail.com, relay se neotevře.

     


    8. června 2017 12:55
  • A na t SPF nereaguje!? Vzdyt odesilatel je urcite z adresy, která není v SPF povolena.

    MP

    8. června 2017 13:33
    Moderátor
  • na doméně v DNS je záznam:

    v=spf1 include:mail.mujserver.cz ~all

    a jak je v textu nahoře:

    připojím se např. přes telnet k smtp serveru mail.mujserver.cz 25 (je jedno zda z lokální sítě nebo z internetu)

    to by mělo být OK ne ?

    8. června 2017 13:42
  • Přesně tak, z internetu to musí řešit SPF. Máš u své domény SPF záznamy doufám.

    Abych to shrnul:

    1. Z internetu tento problém řeší SPRÁVNĚ NAKONFIGUROVANÉ SPF

    2. V LAN je to možné řešit, ale . . . Pokud používáš jen nativní klienty (Outlook, OWA), nemusíš z LAN vůbec povolit přístup na SMTP server. Pokud ale potřebuješ odesílat v rámci LAN e-maily i z jiných klientů (typicky skenery, různí management agenti apod.), pak přístup k SMTP serveru povolit musíš. Můžeš omezit jen na některé zdrojové IP adresy nebo požadovat autentizaci. To problém řeší jen částečně. Pokud někdo zná autentizační údaje a dokáže se připojit z povolené IP adresy, pošle e-mail s libovolnou zdrojovou adresou.


    BB

    8. června 2017 13:47
  • proc není:

    v=spf1 include:mail.mujserver.cz -all ???

    MP

    8. června 2017 13:53
    Moderátor
  • Díky za ohlasy.

    SPF Záznam jsem nastavil na tvrdší  -all 

    9. června 2017 6:13
  • No hlavne dej vedet, zda zabralo !

    MP

    9. června 2017 7:09
    Moderátor
  • Jo určitě dám. Nejsem nevděčný :) :) naopak

    Mám tu teď nějaký frkot ...

    Jo a ještě prosimtě, jak zjistím, zda mám Exchange nastavený správně, aby on sám kontroloval SPF.

    (klidně i nepřímou kontrolou)

    9. června 2017 7:32
  • Test pomocí TELNETU, tak jak je popsán nahoře mě projde, a z internetu si pošlu mail. :(

    Změna záznamu - all nepomohla. Testoval jsem to mxtoolbox com a ten praví že OK.

    Jediné co mě napadá je, že mě fakt vlastní server nekontroluje SPF.

    Ale ta logika je obsedantní:

    připojím se např. přes telnet k smtp serveru mail.mujserver.cz 25 (je jedno zda z lokální sítě nebo z internetu)

    Připojím se telnetem na server, který je uvedený v SPF jako právě ten správný, autorizovaný SPF a z něj pošlu mail sám sobě.

    Na wormly com je tester, a ten když patřičně vyplním, tak ten mail pošlu sám sobě do autorizované domény jak nic.

    Mohl by jsi prosím otestovat a napsat mě, zda tobě ten mail z té služby wormly do tvého serveru nepříjde ?

    Prostě tam podvrhneš adresu odesílatele. Myslím že to wormly není nic nebezpečného. 

    Chci prostě jen mít co nejlépe zabezpečený Exchange :(

    9. června 2017 8:19
  • Ověření nastavení (a případné zapnutí) kontroly SPF záznamů: https://technet.microsoft.com/cs-cz/library/aa997136(v=exchg.150).aspx


    BB

    9. června 2017 8:28
  • Děkuji za link!

    A ještě prosím o konkretní a vyzkoušenou radu.

    jak mají být správně nastavený záznamy SPF na doménách v DNSku ??


    Exchange server se jmenuje          mail.nasserver.cz       

    a obsahuje autor. doménu zákazníka          zakaznik.cz   

    a obsahuje autor. doménu zákazníka          zakaznik2.cz   atd

    (Těch informací je tolik a liší se ... )

    9. června 2017 12:58
  • no udelej SPF pro domenu nasserver.cz a v zákaznických doménách pak hotovou spf includni

    v=spf1 include:nasserver.cz -all

    MP

    9. června 2017 13:06
    Moderátor
  • Díky za info

    A zápis pro server mail.nasserver.cz  :

    nasserver.cz   TXT    v=spf1 mx a include:mail.nasserver.cz - all

    je to OK ?



    9. června 2017 13:19
  • MX záznamy vedou na IP adresu, ze které se zároveň odesílá? Pokud ano, pak:

    nasserver.cz   TXT    v=spf1 mx - all


    BB

    10. června 2017 9:30
  • Děkuji za odpověď.

    Stran hlavního problému tohoto vlákna se nic nezměnilo. Pokusím se posbírat další indicie, a napíšu.

    12. června 2017 10:12
  • A jak je nastaven celkově Receive Connector a TransportConfig? Neposlouchá on náhodou jakékoliv IP adrese a komukoliv?

    Jaká verze Exchange 2013 to je? Kdysi dávno byl v pár CU bug, kdy přes ADPermission nešlo oprávnění odebrat korektně.

    Co třeba i transportní pravidlo, které ověří: Pokud doména odesílatele je nase_akceptovana_domena.cz a odesílatel je External, příjemce Internal a doména příjemce nase_akceptovana_domena.cz, tak ten e-mail zahoď.

    14. června 2017 18:11
    Moderátor
  • Díky za tipy !

    Právě řeším nastavení ZyWALLu, a mám toho plnou makovici. :) Takže moc děkuji za tipy ke kontrole!

    Prověřím a napíšu. A udělám i testy za tím firewallem.

    15. června 2017 7:35