none
povolení open-relay (anonymního odesílání mailů) z konkrétního stroje (IP) a konkrétní odesílací adresy / exchange 2007/2010 / SBS

    Dotaz

  • ahoj,

    potřebuju pro několik aplikací povolit anonymní odesílání mailů. pro tento účel mohu povolit openrelay z nějaké povolené IP. to se mi ale zdá pořád celkem nebezpečné, je možné přidat pravidlo aby povolil kromě IP i jen konkrétní odchozí SMTP adresu (nebo alespoň nouzově povolit jen doručování v lokální síti)?

    díky za tipy.

    Michal


    michal zobec | www.michalzobec.cz | www.virtualnipc.cz

    pondělí 2. dubna 2012 11:08

Odpovědi

  • Ahoj

    Na Receive Connectoru je možné nastavit několik omezení - jedno z nich je dle odesílací IP adresy, nebo podle oprávnění. Dle IP je to asi jasné, s právy je to složitější, protože nejsou standardně v EMC konzoli vidět a musí se do PowerShellu (Add-ADPermission), nebo ADSI edit.

    Kdyžtak to můžeme dořešit přes email, ale pro představu, tady je to popsáno: http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/managing-receive-connectors-part3.html

    V podstatě jde o to, že v tomto cmdletu musíš zaměnit Anonymous za nějakého uživatele. Pokud se ti uživatelé autentizují. Pokud ne, nejde to jinak, než podle IP adresy..

    Get-ReceiveConnector "connector name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"


    Martin Pavlis | Senior IT Key Account Manager KPCS CZ | http://www.kpcs.cz | http://www.exchange4u.cz

    • Označen jako odpověď Michal Zobec pátek 13. dubna 2012 15:16
    pátek 13. dubna 2012 9:31
    Moderátor

Všechny reakce

  • Ahoj Michale

    Na Ex2007/2010 je potřeba relay vyřešit pomocí nového Receive Connectoru. Mohl bys to teoreticky povolit na těch výchozích, ale to asi není dobrý nápad. Takže postup je většinou následující:

    • vytvoříš si nový Receive Connector
    • v jeho vlastnostech nastavíš ze kterých IP a za jakých podmínek a kdo jej může využívat
    • povolíš relaying na tento nový connector pomocí EMS

    Více najdeš zde: http://technet.microsoft.com/en-us/library/bb232021.aspx


    Martin Pavlis | Senior IT Key Account Manager KPCS CZ | http://www.kpcs.cz | http://www.exchange4u.cz

    středa 4. dubna 2012 17:58
    Moderátor
  • ahoj Martine,

    díky moc vyzkouším :)


    michal zobec | www.michalzobec.cz | www.virtualnipc.cz

    sobota 7. dubna 2012 20:18
  • ahoj Martine,

    tak jsem na to koukal ale ono vytvoření samotného Receive Connectoru neobsahuje moc mechanizmů pro zabezpečení. v podstatě nijak nemohu ošetřit resp. zamezit odesílání jen z konkrétního emailu nebo alespoň pouze místní doručování.

    pak mne napadlo zkusit to přes Transport Rules ale tam se mi zas nepodařilo objevit ideální kombinaci pravidel.

    šlo mi o to zamezit zneužití rozesílání spamu v případě napadení/zneužití odesílacího stroje. tím že povolím IP tak z toho stroje může kdokoli odesílat emaily. nepříjemné je že nemohu spoléhat jen na autentizaci protože některé stroje nepočítají s autentizací při odesílání emailů.


    michal zobec | www.michalzobec.cz | www.virtualnipc.cz

    pátek 13. dubna 2012 7:01
  • Ahoj

    Na Receive Connectoru je možné nastavit několik omezení - jedno z nich je dle odesílací IP adresy, nebo podle oprávnění. Dle IP je to asi jasné, s právy je to složitější, protože nejsou standardně v EMC konzoli vidět a musí se do PowerShellu (Add-ADPermission), nebo ADSI edit.

    Kdyžtak to můžeme dořešit přes email, ale pro představu, tady je to popsáno: http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/managing-receive-connectors-part3.html

    V podstatě jde o to, že v tomto cmdletu musíš zaměnit Anonymous za nějakého uživatele. Pokud se ti uživatelé autentizují. Pokud ne, nejde to jinak, než podle IP adresy..

    Get-ReceiveConnector "connector name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"


    Martin Pavlis | Senior IT Key Account Manager KPCS CZ | http://www.kpcs.cz | http://www.exchange4u.cz

    • Označen jako odpověď Michal Zobec pátek 13. dubna 2012 15:16
    pátek 13. dubna 2012 9:31
    Moderátor
  • V podstatě jde o to, že v tomto cmdletu musíš zaměnit Anonymous za nějakého uživatele. Pokud se ti uživatelé autentizují. Pokud ne, nejde to jinak, než podle IP adresy..


    ahoj ok v tomto případě mne zajímá verze bez autentizace, tzn. jak píšeš že to nejde ... :(

    Michal Zobec | IT Consultant, Lightning Group Company | www.michalzobec.cz | www.virtualnipc.cz

    pátek 13. dubna 2012 15:16