none
Usuarios anónimos pueden enviar correos usando mi servidor Exchange RRS feed

  • Pregunta

  • Hola.

    Tengo una instalación sencilla de Exchange 2013 con un solo servidor. El caso es que estamos sufriendo spam desde cuentas de correo falsas con nuestro dominio. He podido comprobar con telenet que si intento enviar un correo desde una cuenta con mi dominio (loquesea@midominio.com) se envía sin problema, sin usar ningún tipo de autentificación.

    Resolving hostname...
    Connecting...
    Connection: opening to mail.midominio.com:25, timeout=300, options=array (
          	         )
    Connection: opened
    SERVER -> CLIENT: 220 mail.midominio.com
    CLIENT -> SERVER: EHLO tools.wormly.com
    SERVER -> CLIENT: 250-miservidor Hello [***.***.***.***]
          	         250-SIZE 37748736
          	         250-PIPELINING
          	         250-DSN
          	         250-ENHANCEDSTATUSCODES
          	         250-STARTTLS
          	         250-X-ANONYMOUSTLS
          	         250-AUTH NTLM
          	         250-X-EXPS GSSAPI NTLM
          	         250-8BITMIME
          	         250-BINARYMIME
          	         250-CHUNKING
          	         250 XRDST
    CLIENT -> SERVER: STARTTLS
    SERVER -> CLIENT: 220 2.0.0 SMTP server ready
    CLIENT -> SERVER: EHLO tools.wormly.com
    SERVER -> CLIENT: 250-miservidor Hello [***.***.***.****]
          	         250-SIZE 37748736
          	         250-PIPELINING
          	         250-DSN
          	         250-ENHANCEDSTATUSCODES
          	         250-AUTH NTLM LOGIN
          	         250-X-EXPS GSSAPI NTLM
          	         250-8BITMIME
          	         250-BINARYMIME
          	         250-CHUNKING
          	         250 XRDST
    CLIENT -> SERVER: MAIL FROM:
    SERVER -> CLIENT: 250 2.1.0 Sender OK
    CLIENT -> SERVER: RCPT TO:
    SERVER -> CLIENT: 250 2.1.5 Recipient OK
    CLIENT -> SERVER: DATA
    SERVER -> CLIENT: 354 Start mail input; end with .
    CLIENT -> SERVER: Date: Sat, 13 Aug 2016 15:09:29 +0000
    CLIENT -> SERVER: To: loquesea@midominio.com
    CLIENT -> SERVER: From: Wormly SMTP Test 
    CLIENT -> SERVER: Subject: Wormly SMTP Test Message
    CLIENT -> SERVER: Message-ID: <724096509f8715ff5ac9a9088418541412@blog.wormly.com>
    CLIENT -> SERVER: MIME-Version: 1.0
    CLIENT -> SERVER: Content-Type: text/plain; charset=iso-8859-1
    CLIENT -> SERVER:
    CLIENT -> SERVER: This message was sent using the Wormly SMTP testing tool by this user:
    CLIENT -> SERVER: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
    CLIENT -> SERVER: 81.61.251.135
    CLIENT -> SERVER:
    CLIENT -> SERVER: .
    SERVER -> CLIENT: 250 2.6.0 <724096509f8715ff5ac9a90884181412@blog.wormly.com> [InternalId=85109071937543, Hostname=miservidor] Queued mail for delivery
    CLIENT -> SERVER: QUIT
    SERVER -> CLIENT: 221 2.0.0 Service closing transmission channel
    Connection: closed
    Message completed successfully.

    ¿Sabéis cómo hacer para evitar esto?


    MCSA: Windows Server 2008

    sábado, 13 de agosto de 2016 15:13

Respuestas

Todas las respuestas

  • Tienes que revisar la configuración de tus conectores de recepción y no permitir la autenticación anónima.

    https://technet.microsoft.com/es-es/library/aa996395(v=exchg.150).aspx


    sábado, 13 de agosto de 2016 17:35
  • Hola.

    Solo la tengo permitida en el Default Frontend (HubTransport). Si lo desmarco, no puedo recibir emails desde otros dominios.

    Saludos.


    MCSA: Windows Server 2008

    lunes, 15 de agosto de 2016 11:07
  • Hola, en que Service Pack está tu Exchange?
    viernes, 26 de agosto de 2016 14:52
  • Cumulative Update 13

    Saludos.


    MCSA: Windows Server 2008

    viernes, 26 de agosto de 2016 15:23
  • Ya intentastes cambiar el puerto de smtp?

    viernes, 26 de agosto de 2016 16:16
  • Ya intentastes cambiar el puerto de smtp?

    No se a qué te refieres exactamente con eso. Cuéntame.

    MCSA: Windows Server 2008

    viernes, 26 de agosto de 2016 16:27
  • Hola Cimmerio, el conector expuesto a Internet debe tener marcado el permiso de anónimo de lo contrario como ya viste no vas a poder recibir correo externo.

    Que al probar con telnet te permita enviar correo a otros destinatarios internos es el comportamiento predeterminado, esto no indica que tengas el relay "abierto", si al intentar hacia un destinatario externo no te devuelve un error tipo "550 unable to relay" ahí si habría un problema en la configuración.

    Si queres chequearlo de un modo sencillo podes utilizar el siguiente script del repositorio de scripts de Microsoft:

    https://gallery.technet.microsoft.com/scriptcenter/Turn-Exchange-Anonymous-5bed81a4

    Este script te resalta en un color diferente si tenes un conector con relay anónimo y te permite deshabilitarlo.

    De cualquier modo, en general al recibir SPAM aparentemente de nuestro propio dominio el tema esta relacionado a spoofing. Para evitar esta situación podes utilizar registros SPF en DNS.

    A continuación te dejo un artículo que si bien trata el caso de Exchange Online los conceptos te van a ser de utilidad para aplicarlo a tu escenario específico:

    Configurar SPF en Office 365 para ayudar a evitar la suplantación de identidad

    <font color="blue">Consultor IT | MCT - MCSE - MCSA - MCITP - MCTS <br/> <b><a href="http://aprendiendoexchange.com">AprendiendoExchange.com</a></b></font>

    • Propuesto como respuesta Moderador M lunes, 29 de agosto de 2016 16:27
    domingo, 28 de agosto de 2016 19:23
  • Hola danielnb.

    Gracias por tu respuesta. Tengo claro el concepto del relay y efectivamente, no lo tengo abierto.

    En cuanto al registro SPF ya lo tengo configurado y normalmente funciona. El caso es que de algún modo los spoofed emails que recibe uno de mis usuarios alcanzan una marca "X-MS-Exchange-Organization-SCL: 0", por lo que saltan el filtro anti-spam.

    Mira, esta es la cabecera de uno de estos correos.

    Received: from EX.MIDOMINIO.LOCAL (192.168.10.55) by EX.MIDOMINIO.LOCAL (192.168.10.55)
     with Microsoft SMTP Server (TLS) id 15.0.1210.3 via Mailbox Transport; Thu,
     25 Aug 2016 16:30:14 +0400
    Received: from [43.248.237.68] (43.248.237.68) by mail.midominiopublico.com
     (192.168.10.55) with Microsoft SMTP Server id 15.0.1210.3; Thu, 25 Aug 2016
     16:30:13 +0400
    MIME-Version: 1.0
    From: Jacqueline <Jacqueline1@midominiopublico.com>
    Date: Thu, 25 Aug 2016 18:00:10 +0530
    Message-ID: <f63d37c572-5ebea2-8664abda88b4962=51f4c6bc+0333864e@midominiopublico.com>
    Subject: FW: Documents Requested
    To: usuario.real <usuario.real@midominiopublico.com>
    Content-Type: multipart/mixed; boundary="c0a594cdbb968521f8a1744914db8"
    Return-Path: Jacqueline1@midominiopublico.com
    X-MS-Exchange-Organization-PRD: midominiopublico.com
    X-MS-Exchange-Organization-SenderIdResult: Fail
    Received-SPF: Fail (EX.MIDOMINIO.LOCAL: domain of Jacqueline1@midominiopublico.com does
     not designate 43.248.237.68 as permitted sender) receiver=EX.MIDOMINIO.LOCAL;
     client-ip=43.248.237.68; helo=[43.248.237.68];
    X-MS-Exchange-Organization-Network-Message-Id: f6a135a4-566c-412e-f834-08d3cce3906e
    X-MS-Exchange-Organization-SCL: 0
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-Antispam-Report: DV:3.3.16313.857;SID:SenderIDStatus Fail;OrigIP:43.248.237.68
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-MS-Exchange-Organization-AuthSource: EX.MIDOMINIO.LOCAL
    X-MS-Exchange-Organization-AuthAs: Anonymous

    (He reemplazado los datos de los dominios por ficticios).

    ¿Se os ocurre cómo evitar estos emails?

    Saludos.


    MCSA: Windows Server 2008

    martes, 30 de agosto de 2016 21:48
  • Hola Cimmerio, se puede ver que el chequeo de SPF falla.

    Configuraste Sender ID en 2013?

    Te dejo un link donde se indica como configurarlo para que rechace o elimine correos si el servidor que envía no coincide con los incluidos en el SPF:

    https://technet.microsoft.com/en-us/library/aa997136(v=exchg.150).aspx


    Saludos,

    Daniel Núñez Banega

    Consultor IT | MCT - MCSE - MCSA - MCITP - MCTS

    Blog: http://AprendiendoExchange.com

    • Propuesto como respuesta Moderador M miércoles, 31 de agosto de 2016 16:19
    • Marcado como respuesta Cimmerio sábado, 3 de septiembre de 2016 14:25
    miércoles, 31 de agosto de 2016 0:27
  • Vale, ya tengo localizada la causa del problema

    Tengo configurado el filtro Sender-id de la siguiente manera:

    Set-SenderIDConfig -SpoofedDomainAction Reject

    Set-SenderIDConfig -TempErrorAction StampStatus

    También tengo creado mi registro DNSpúblico txt,"v=spf1 mx a ip4:94.197.6.10 -all". También lo tengo creado en mis servidores DNS locales.

    El registro spf funciona correctamente cuando la consulta se hace al DNS público desde cualquier cliente de correo. En cambio, cuando recibo emails con mi dominio suplantado exchange no realiza correctamente la consulta y devuelve siempre este error:

    X-MS-Exchange-Organization-SenderIdResult: TempError
    Received-SPF: TempError (EX.DOMINIO.LOCAL: error in processing during lookup of
     loquesea@midominiopublico.com: DNS timeout)

    Si elimino el registro spf en mis DNS locales el resultado, como es de esperar, es: 

    X-MS-Exchange-Organization-SenderIdResult: None

    ¿Estoy haciendo algo mal? He visto que en versiones más antiguas de Exchange también ocurría esto, pero me inclino a pensar que el error es por algún fallo por mi parte. 

    ¿Se os ocurre qué puede ser?

    ACTUALIZO.

    He observado, que si envío un correo falso desde una cuenta con @midominio.local sí que funciona. 

    Received-SPF: None (EX.DOMINIO.LOCAL: loquesea@dominio.local does not designate
     permitted sender hosts)
    

    • Editado Cimmerio viernes, 2 de septiembre de 2016 22:32 + info
    viernes, 2 de septiembre de 2016 21:07
  • Ya está resuelto. El problema lo causaba la referencia al registro MX en la configuración del SPF v=spf1 mx a ip4:94.197.6.10 -all. Al quitarlo funciona perfectamente.

    Saludos.


    MCSA: Windows Server 2008

    • Propuesto como respuesta Moderador M lunes, 5 de septiembre de 2016 16:50
    • Marcado como respuesta Moderador M martes, 6 de septiembre de 2016 14:48
    sábado, 3 de septiembre de 2016 14:24