none
Teste SMTP Exchange 2010 RRS feed

  • Pergunta

  • Boa tarde amigos,

    estou com uma duvida... No exchange 2010 podemos fazer o teste do Receive Connector usando o telnet.

    A questão que quem quiser dentro da organização pode enviar um e-mail se passando por outra pessoa... seguindo o procedimento abaixo:

    http://technet.microsoft.com/en-us/library/bb123686.aspx

    Não podemos tirar o todos os usuarios da propriedades, do conector externo...

    tem alguma maneira de bloquearmos esse teste?

    Obrigado,


    Vinícius Santos MCTS, MCP https://www.mcpvirtualbusinesscard.com/VBCServer/vcosta/profile

    terça-feira, 19 de junho de 2012 18:01

Respostas

  • Vinícius, boa tarde!

    Eu aconselho á não editar as permissões padrão do Exchange.  Uma dica que eu uso no meu ambiente e que pode lhe auxiliar, para resolução deste problema.

    1 - Eu crio um Receive connector para rede Interna utilizando uma porta não-padrão (por exemplo "553"), configuro os clientes SMTP para utilizarem esta porta (eu ainda adiciono IPSec nesta porta para aumentar ainda mais a segurança, mas aí depende do seu ambiente e necessidade) dái os usuários iniciantes do "curso de hacker" terão uma difículdade á mais até descobrir que esta é a porta smtp utilizada para envio interno. Até mesmo Email-malwares (que utilizam as portas padrões 25, 587) terão dificuldades;

    2 - Configure autenticação integrada do Windows no Receive Connector / guia autenticação;

    3 - Na guia Permissões, marque somente usuários do Exchange;

    4 - Via PowerShell, use o seguinte comando... Set-receiveConnector -identity [nome do conector interno] -MaxProtocolsErrors com o valor 1. Explicando: dessa forma, se o possível hacker errar um comando telnet (caso ele descubra que é a porta 553) o servidor já dropa a conexão. Já o cliente de e-mail (Outlook, Thunderbird, etc), muito dificilmente errará os comando smtp para envio de e-mail.

    4 - Já no Receive connector para INTERNET, configure a lista de IP´s permitidos para envio de e-mails para seu exchange, somente dessas faixas 0.0.0.0 até 9.255.255.255; 11.0.0.0 até 172.15.255.255; 172.32.0.0 até 192.167.255.255; 192.169.0.0 até 255.255.255.255. dessa forma, somente servidores SMTP da internet é que efetivamente utilizaram este connector (excluindo as faixas de IPs internos). Dessa forma, qualquer "engraçadinho" na sua rede interna não conseguirá dar telnet na porta 25 do seu exchange.  

    Espero que tenha lhe auxiliado em alguma dica... Poste aki depois os resultados!


    Daniel Silva Matozinhos

    terça-feira, 19 de junho de 2012 19:28

Todas as Respostas

  • Vinícius, boa tarde!

    Eu aconselho á não editar as permissões padrão do Exchange.  Uma dica que eu uso no meu ambiente e que pode lhe auxiliar, para resolução deste problema.

    1 - Eu crio um Receive connector para rede Interna utilizando uma porta não-padrão (por exemplo "553"), configuro os clientes SMTP para utilizarem esta porta (eu ainda adiciono IPSec nesta porta para aumentar ainda mais a segurança, mas aí depende do seu ambiente e necessidade) dái os usuários iniciantes do "curso de hacker" terão uma difículdade á mais até descobrir que esta é a porta smtp utilizada para envio interno. Até mesmo Email-malwares (que utilizam as portas padrões 25, 587) terão dificuldades;

    2 - Configure autenticação integrada do Windows no Receive Connector / guia autenticação;

    3 - Na guia Permissões, marque somente usuários do Exchange;

    4 - Via PowerShell, use o seguinte comando... Set-receiveConnector -identity [nome do conector interno] -MaxProtocolsErrors com o valor 1. Explicando: dessa forma, se o possível hacker errar um comando telnet (caso ele descubra que é a porta 553) o servidor já dropa a conexão. Já o cliente de e-mail (Outlook, Thunderbird, etc), muito dificilmente errará os comando smtp para envio de e-mail.

    4 - Já no Receive connector para INTERNET, configure a lista de IP´s permitidos para envio de e-mails para seu exchange, somente dessas faixas 0.0.0.0 até 9.255.255.255; 11.0.0.0 até 172.15.255.255; 172.32.0.0 até 192.167.255.255; 192.169.0.0 até 255.255.255.255. dessa forma, somente servidores SMTP da internet é que efetivamente utilizaram este connector (excluindo as faixas de IPs internos). Dessa forma, qualquer "engraçadinho" na sua rede interna não conseguirá dar telnet na porta 25 do seu exchange.  

    Espero que tenha lhe auxiliado em alguma dica... Poste aki depois os resultados!


    Daniel Silva Matozinhos

    terça-feira, 19 de junho de 2012 19:28
  • Bom dia Daniel,

    muito obrigado pela ajuda !!!!

    vou fazer uns testes aqui e te falo !!

    Abraços,


    Vinícius Santos MCTS, MCP https://www.mcpvirtualbusinesscard.com/VBCServer/vcosta/profile

    quarta-feira, 20 de junho de 2012 13:48
  • Daniel,

    tem como bloquear sim, vou postar aqui depois como fazemos para fechar o relay externo e interno do exchange !

    abraços,


    Vinícius Santos MCTS, MCP https://www.mcpvirtualbusinesscard.com/VBCServer/vcosta/profile

    sexta-feira, 29 de junho de 2012 19:25