locked
Evitar envios mails anonimos por telnet RRS feed

  • Pregunta

  • Hola,

    De qué manera puedo evitar que alguien desde una red exterior o interior se conecte por telnet al puerto 25 a mi exchange 2007 y envie un mail a una persona desde un mail que no es el suyo?

    Cómo puedo bloquear los telnets al puerto 25?

    Si quito la autentificación anónima de mi "Receive Connector" no podré recibir emails de nadie.

     

    Gracias anticipadas.

    viernes, 19 de marzo de 2010 20:44

Respuestas

  • viernes, 19 de marzo de 2010 22:51
  • Adicionalmente asegurate de configurar el bloqueo por Sender ID o Sender Policy Framework - los administradores de red responsables deberían crear en sus zonas DNS un registro de tipo TXT indicando cuales son los servidores de envío autoritativos para su dominio. De esta forma, al realizar el control de Sender ID, estás ayudando a esos administradores a que no les utilicen el dominio de forma fraudulenta o para envíar spam.  Lamentablemente muchos mail admin hacen caso omiso a las mejores prácticas de como configurar un servidor de correo.

    Si querés ver como configurar sender id = http://technet.microsoft.com/en-us/library/bb123557(EXCHG.80).aspx - y si querés más info de SPF http://www.openspf.org

    Adicionalmente, me dio muy buenos resultados configurar que el receive connector que está expuesto a internet (el que tiene marcado Anonymous Users) modificarle manualmente los permisos de ms-Exch-SMTP-Accept-Authoritative-Domain-Sender denegandole el permiso a Anonymous.  De esta manera, desde internet no pueden enviarte un mail con origen de tu dominio (si lo pensas, es lógico evitar esto, dado que tus correos con tu dominio deberían provenir DESDE el exchange!) - te paso el link que me paso Daniel Seveso en el GLUE (www.msglue.org) que es de mucha utilidad. http://technet.microsoft.com/en-us/library/aa997170.aspx

    Espero que te sirva



    Saludos

    Rodrigo de los Santos
    rodrigo.delossantos at mug.org.ar
    rodrigo at dlssolutions.net
    ------------------------------------------------
    MCSE - MCTS - MCT - FCNSA
    Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
    ------------------------------------------------
    Url: http://www.dlssolutions.net
    Blog: http://www.nerdsupport.com.ar
    ------------------------------------------------
    • Marcado como respuesta Atilla Arruda lunes, 22 de marzo de 2010 20:21
    sábado, 20 de marzo de 2010 0:35
  • Bloquea el protocolo de Telnet de todo lo que venga de fuera de tu LAN
    Saludos, Marc
    • Marcado como respuesta Atilla Arruda lunes, 22 de marzo de 2010 20:21
    domingo, 21 de marzo de 2010 20:27

Todas las respuestas

  • viernes, 19 de marzo de 2010 22:51
  • Adicionalmente asegurate de configurar el bloqueo por Sender ID o Sender Policy Framework - los administradores de red responsables deberían crear en sus zonas DNS un registro de tipo TXT indicando cuales son los servidores de envío autoritativos para su dominio. De esta forma, al realizar el control de Sender ID, estás ayudando a esos administradores a que no les utilicen el dominio de forma fraudulenta o para envíar spam.  Lamentablemente muchos mail admin hacen caso omiso a las mejores prácticas de como configurar un servidor de correo.

    Si querés ver como configurar sender id = http://technet.microsoft.com/en-us/library/bb123557(EXCHG.80).aspx - y si querés más info de SPF http://www.openspf.org

    Adicionalmente, me dio muy buenos resultados configurar que el receive connector que está expuesto a internet (el que tiene marcado Anonymous Users) modificarle manualmente los permisos de ms-Exch-SMTP-Accept-Authoritative-Domain-Sender denegandole el permiso a Anonymous.  De esta manera, desde internet no pueden enviarte un mail con origen de tu dominio (si lo pensas, es lógico evitar esto, dado que tus correos con tu dominio deberían provenir DESDE el exchange!) - te paso el link que me paso Daniel Seveso en el GLUE (www.msglue.org) que es de mucha utilidad. http://technet.microsoft.com/en-us/library/aa997170.aspx

    Espero que te sirva



    Saludos

    Rodrigo de los Santos
    rodrigo.delossantos at mug.org.ar
    rodrigo at dlssolutions.net
    ------------------------------------------------
    MCSE - MCTS - MCT - FCNSA
    Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
    ------------------------------------------------
    Url: http://www.dlssolutions.net
    Blog: http://www.nerdsupport.com.ar
    ------------------------------------------------
    • Marcado como respuesta Atilla Arruda lunes, 22 de marzo de 2010 20:21
    sábado, 20 de marzo de 2010 0:35
  • Hola,

    Lo que no quiero es que se puedan conectar al servidor de mail, es decir:

    telnet mail.host.com 25
    Connecting To mail.host.com...Could not open connection to the host, on port
     25: Connect failed

     

     

    domingo, 21 de marzo de 2010 13:51
  • Bloquea el protocolo de Telnet de todo lo que venga de fuera de tu LAN
    Saludos, Marc
    • Marcado como respuesta Atilla Arruda lunes, 22 de marzo de 2010 20:21
    domingo, 21 de marzo de 2010 20:27
  • Eso que planteas es imposible, ya que si no tenes abierto el puerto 25 no recibirás correo (el programa telnet te permite emular lo que hace un servidor de correos, yo podría mandar mails masivos sin hacer telnet simplemente instalandome un servidor de correos o intentando por outlook express)

    Por eso de la importancia de aplicar soluciones de antispam y bloqueo mediante RBLs para evitar que CUALQUIERA te pueda mandar un mail.



    Saludos

    Rodrigo de los Santos
    rodrigo.delossantos at mug.org.ar
    rodrigo at dlssolutions.net
    ------------------------------------------------
    MCSE - MCTS - MCT - FCNSA
    Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
    ------------------------------------------------
    Url: http://www.dlssolutions.net
    Blog: http://www.nerdsupport.com.ar
    ------------------------------------------------
    lunes, 22 de marzo de 2010 22:01
  • Se puede hacer desde el propio firewall de windows?

    jueves, 25 de marzo de 2010 13:07