none
Configurazione corretta ed adattamenti Exchange POST Hafnium RRS feed

  • Domanda

  • Salve a tutti,
    nell'ottica di migliorare la configurazione dei server Exchange, chiedo se devo adottare qualcosa in più o se notate misconfigurazioni.

    - Exchange all'ultima CU (20 su 2016) (9 su 2019) su macchina non DC quindi dedicata
    - Due zone di ricerca diretta di terzo livello in split brain con mail.azienda.com e autodiscover.azienda.com con dentro
    - record A che punta ad ip privato del server
    - MX Costo 10 in mail.azienda.com che punta all'ip privato
    - server con all'interno negli accepted domain solamente il dominio esterno azienda.com come autoritativo
    - configurazione in internal relay mode
    - connettore di invio configurato come "send using mx records of the domain" con l'HELO return il nome esterno mail.azienda.com
    - tutte le virtual dir allineate interno\esterno con mail.azienda.com
    - certificato pubblico terze parti con mail.azienda.com come primario e autodiscover.azienda.com come SAN
    - Record SPF sul DNS Esterno che contiene l'ip pubblico d'uscita del server e mail.azienda.com in modalità softfail finale (con la ~)
    - Record A ed Alias rispettivamente di mail.azienda.com ed autodiscover.azienda.com che puntano all'ip pubblico d'uscita del server
    - antispam attivi (quelli di exchange)
    - antivirus Exchange Aware sul server
    - IPS sul firewall attivo sulla 443 

    Vedete qualcosa che non va? Ha senso? Ho sentito parlare del DKIM, ma non ho capito se è solo per le connessioni criptate quindi TLS.
    Grazie...
    martedì 6 aprile 2021 20:39

Tutte le risposte

  • Sembra tutto ok (anche se configurazione corretta non sappiamo come era prima e cosa sia stato modificato), DKIM non aiuta con Hafnium, nel senso che serve a "certificare" le mail che partono dal tuo server e garantirne attendibilità, qualora il server ricevente "capisca" DKIM.

    Quando scrivi "POST hafnium", vorresti dire che hai subito l'attacco?

    Se è così, l'approccio giusto sarebbe ripristinare a prima dell'attacco (e ovviamente ripatchare) o ripartire da 0, è molto facile che siano state lasciate delle backdoor.

    Se vuoi mantene l'installazione attuale, devi fare dell'analisi forense e capire esattamente le azioni fatte, andando a guardare i log di exchange.

    DEVI esser certo di che cosa hanno fatto e se non sono rimaste backdoor...

    If activity is detected, the logs specific to the application specified in the AnchorMailbox path can be used to help determine what actions were taken.
    • These logs are located in the %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging directory.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here



    martedì 6 aprile 2021 22:27
    Moderatore
  • Grazie Gastone,

    NON ho subito attacco per fortuna, patchato subito e preventivamente chiuso la 443. unica cosa che ho notato è un alto inflazionamento delle mail ricevute con la dicitura spam, credo che i provider siano stati sotto stress o siano aumentati un po' le tarature dei filti.

    Per questo chiedevo "DKIM" ero al corrente che non fosse legato ad Hafnium, chiedevo se poteva essere un'implementazione corretta per aumentare (diminuire) lo score eventuale del server in modo da dargli un plus e se fino ad ora li avevo configurati bene o mancava qualcosa di macroscopico.

    Capisco Dkim è un plus ma solo se dall'altra parte lo riconoscono quindi, lo metterò comunque ,male non fa.

    Per ora grazie.

    WW

    mercoledì 7 aprile 2021 10:36
  • Visto che stai lavorando di fino, cambierei il softfail in hardfail, ma solo tu puoi valutare se tale modifica ha senso nel tuo contesto... (perchè softfail?), Oltre a DKIM, ragiona anche su DMARC.

    Di solito, su installazioni on-premises espongo un computer linux con antivirus e antispam, mentre la porta 25 di exchange rimane nella rete interna (ne  ho ancora alcuni), una volta mettevo anche un reverse proxy sulla 443, per evitare i buchi di ISS, ma non avrebbe evitato Hafnium, chissa se il tuo IPS sarà all'altezza


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    mercoledì 7 aprile 2021 19:22
    Moderatore