none
Interne User Spooft den from Feld

    Frage

  • Hallo zusammen,

    habe in meine Firma ein User der enteckt hat, das er den From Feld manipulieren kann.

    Habe 3 Exchanges 2016 CU 9 im DAG. Connectoren sind für anonymous abgeschaltet.

    Er authentifiziert sich, und dann manipuliert er den From Feld. (Ich kann auch mit powershell (send-mailmessage) mit meinem account ein beliebigen from Feld eingeben und die Email geht durch.)

    Wie unterbinde ich das?

    Danke in Voraus.

    Marius

    Freitag, 1. Juni 2018 14:00

Alle Antworten

  • Wie unterbinde ich das?

    SMTP von Clients nicht zulassen wäre eine Idee :-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 1. Juni 2018 14:15
  • Oder die Sicherheitsbrechtigung auf dem Connector prüfen, Stichwort ms-exch-accept-any-sender. Darf nicht für authentifizierte User gesetzt sein.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 1. Juni 2018 15:17
  • Oder die Sicherheitsbrechtigung auf dem Connector prüfen, Stichwort ms-exch-accept-any-sender. Darf nicht für authentifizierte User gesetzt sein.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    ...und auf dem Default Frontend ist es im Standard sogar für Anonymous gesetzt!

    Hier Einzeiler zum Prüfen:

    Get-ReceiveConnector | Get-ADPermission | where {!$_.Deny -and ($_.ExtendedRights -like "*Accept-any-sender")} | ft Identity, User -AutoSize


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 1. Juni 2018 19:34
  • Ja ich hab folgende resultat bekommen:

    MAIL01\Client Proxy MAIL01            divae\Exchange Servers
    MAIL01\Client Proxy MAIL01            MS Exchange\Hub Transport Servers
    MAIL01\Client Proxy MAIL01            MS Exchange\Edge Transport Servers
    MAIL01\Client Proxy MAIL01            MS Exchange\Externally Secured Servers
    MAIL01\Default Frontend MAIL01        NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL01\Default Frontend MAIL01        divae\Exchange Servers
    MAIL01\Default Frontend MAIL01        divae\ExchangeLegacyInterop
    MAIL01\Default Frontend MAIL01        MS Exchange\Hub Transport Servers
    MAIL01\Default Frontend MAIL01        MS Exchange\Edge Transport Servers
    MAIL01\Default Frontend MAIL01        MS Exchange\Externally Secured Servers
    MAIL01\Outbound Proxy Frontend MAIL01 divae\Exchange Servers
    MAIL01\Outbound Proxy Frontend MAIL01 MS Exchange\Hub Transport Servers
    MAIL01\Outbound Proxy Frontend MAIL01 MS Exchange\Edge Transport Servers
    MAIL01\Outbound Proxy Frontend MAIL01 MS Exchange\Externally Secured Servers
    MAIL02\Client Proxy MAIL02            divae\Exchange Servers
    MAIL02\Client Proxy MAIL02            MS Exchange\Hub Transport Servers
    MAIL02\Client Proxy MAIL02            MS Exchange\Edge Transport Servers
    MAIL02\Client Proxy MAIL02            MS Exchange\Externally Secured Servers
    MAIL02\Default Frontend MAIL02        NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL02\Default Frontend MAIL02        divae\Exchange Servers
    MAIL02\Default Frontend MAIL02        divae\ExchangeLegacyInterop
    MAIL02\Default Frontend MAIL02        MS Exchange\Hub Transport Servers
    MAIL02\Default Frontend MAIL02        MS Exchange\Edge Transport Servers
    MAIL02\Default Frontend MAIL02        MS Exchange\Externally Secured Servers
    MAIL02\Outbound Proxy Frontend MAIL02 divae\Exchange Servers
    MAIL02\Outbound Proxy Frontend MAIL02 MS Exchange\Hub Transport Servers
    MAIL02\Outbound Proxy Frontend MAIL02 MS Exchange\Edge Transport Servers
    MAIL02\Outbound Proxy Frontend MAIL02 MS Exchange\Externally Secured Servers
    MAIL03\Client Proxy MAIL03            divae\Exchange Servers
    MAIL03\Client Proxy MAIL03            MS Exchange\Hub Transport Servers
    MAIL03\Client Proxy MAIL03            MS Exchange\Edge Transport Servers
    MAIL03\Client Proxy MAIL03            MS Exchange\Externally Secured Servers
    MAIL03\Default Frontend MAIL03        NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL03\Default Frontend MAIL03        divae\Exchange Servers
    MAIL03\Default Frontend MAIL03        divae\ExchangeLegacyInterop
    MAIL03\Default Frontend MAIL03        MS Exchange\Hub Transport Servers
    MAIL03\Default Frontend MAIL03        MS Exchange\Edge Transport Servers
    MAIL03\Default Frontend MAIL03        MS Exchange\Externally Secured Servers
    MAIL03\Outbound Proxy Frontend MAIL03 divae\Exchange Servers
    MAIL03\Outbound Proxy Frontend MAIL03 MS Exchange\Hub Transport Servers
    MAIL03\Outbound Proxy Frontend MAIL03 MS Exchange\Edge Transport Servers
    MAIL03\Outbound Proxy Frontend MAIL03 MS Exchange\Externally Secured Servers
    MAIL03\Default MAIL03                 NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL03\Default MAIL03                 divae\Exchange Servers
    MAIL03\Default MAIL03                 divae\ExchangeLegacyInterop
    MAIL03\Default MAIL03                 MS Exchange\Hub Transport Servers
    MAIL03\Default MAIL03                 MS Exchange\Edge Transport Servers
    MAIL03\Default MAIL03                 MS Exchange\Externally Secured Servers
    MAIL02\Default MAIL02                 NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL02\Default MAIL02                 divae\Exchange Servers
    MAIL02\Default MAIL02                 divae\ExchangeLegacyInterop
    MAIL02\Default MAIL02                 MS Exchange\Hub Transport Servers
    MAIL02\Default MAIL02                 MS Exchange\Edge Transport Servers
    MAIL02\Default MAIL02                 MS Exchange\Externally Secured Servers
    MAIL01\Default MAIL01                 NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    MAIL01\Default MAIL01                 divae\Exchange Servers
    MAIL01\Default MAIL01                 divae\ExchangeLegacyInterop
    MAIL01\Default MAIL01                 MS Exchange\Hub Transport Servers
    MAIL01\Default MAIL01                 MS Exchange\Edge Transport Servers
    MAIL01\Default MAIL01                 MS Exchange\Externally Secured Server

    beim "Client Proxy mail0x" war noch "authentifierte benutzer" drin. Da habe ich das Recht entfernt.

    Muss ich noch was machen? wie gesagt hab ein connector für port 25 der anonymous aus userem Netz nicht zuläst.  (telenet auf port 25 geht nicht). Nur authentifizierte nutzer können das noch. (powershell send-mailmessage)

    Dienstag, 5. Juni 2018 15:45