none
работа SenderId Agent RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Добрый день

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    При проверке телнетом на 25 порт обнаружили, что спокойно без проверки можно вбить даже выдуманный адрес в нашем домене как отправителя, и отправить существующему ящику на сервере.

    настройки Агента и фильтра ниже

    RunspaceId                   : 03a22ac7-af5f-4278-b6e7-1afd3006d011
Name                         : SenderFilterConfig
BlockedSenders               : {}
BlockedDomains               : {}
BlockedDomainsAndSubdomains  : {}
Action                       : Reject
BlankSenderBlockingEnabled   : True
RecipientBlockedSenderAction : Reject
Enabled                      : True
ExternalMailEnabled          : True
InternalMailEnabled          : True
AdminDisplayName             :
ExchangeVersion              : 0.1 (8.0.535.0)
DistinguishedName            : CN=SenderFilterConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
Identity                     : SenderFilterConfig
Guid                         : b9ed395e-06f4-4fca-8462-c753aa180717
ObjectCategory               : ********/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-Filter-Config
ObjectClass                  : {top, msExchAgent, msExchMessageHygieneSenderFilterConfig}
WhenChanged                  : 31.10.2018 13:36:55
WhenCreated                  : 31.03.2013 20:57:43
WhenChangedUTC               : 31.10.2018 10:36:55
WhenCreatedUTC               : 31.03.2013 16:57:43
OrganizationId               :
Id                           : SenderFilterConfig
OriginatingServer            : *********
IsValid                      : True
ObjectState                  : Unchanged



[PS] C:\Windows\system32>Get-SenderIdConfig


RunspaceId            : 03a22ac7-af5f-4278-b6e7-1afd3006d011
SpoofedDomainAction   : Reject
TempErrorAction       : StampStatus
BypassedRecipients    : {}
BypassedSenderDomains : {}
Name                  : SenderIdConfig
Enabled               : True
ExternalMailEnabled   : True
InternalMailEnabled   : True
AdminDisplayName      :
ExchangeVersion       : 0.1 (8.0.535.0)
DistinguishedName     : CN=SenderIdConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
Identity              : SenderIdConfig
Guid                  : 72025bd2-4b0d-4d9d-be52-a4c22ee39ecd
ObjectCategory        : *****/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-ID-Config
ObjectClass           : {top, msExchAgent, msExchMessageHygieneSenderIDConfig}
WhenChanged           : 31.10.2018 15:11:58
WhenCreated           : 31.03.2013 20:57:43
WhenChangedUTC        : 31.10.2018 12:11:58
WhenCreatedUTC        : 31.03.2013 16:57:43
OrganizationId        :
Id                    : SenderIdConfig
OriginatingServer     : ********
IsValid               : True
ObjectState           : Unchanged

    при этом на 2010 эксче такая отправка отбивается как и должна с ответом

    550 5.7.1 Sender ID (PRA) Not Permitted

    на 2016 эксе соединитель по умолчанию на 25 порт как и должно настроен для анонимных пользователей и пользователей эксча, но почему не выполняется проверка по senderid не ясно 

    в логе агента по таким оправкам идет такая запись

    2018-10-31T12:18:50.099Z	08D6350888E4F041	10.6.2.80:2525	109.252.61.57:10409	109.252.61.57	<4587d4b0-cdf2-4126-afc9-233fd4571e35@********>	fm@***.ru	fm@***.ru;	it@***.ru	1	Content Filter Agent	OnEndOfData	AcceptMessage		SCL	not available: content filtering was bypassed.		80a26e97-ed64-4f6a-8523-08d63f2b03e2		Incoming

    ну и соответственно письмо валится в ящик.

    Оба эксча в одном домене AD но обслуживают разные почтовые домены ( исторически так сложилось при слиянии 2 компаний ) 

    Вообщем не ясно куда бежать чтоб спама избежать.


    • Изменено Alex Shanin 31 октября 2018 г. 13:55
    31 октября 2018 г. 12:45
    |

Ответы

  • Question
    Нужно войти
    1
    Нужно войти

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    Добрый день.

    В соседнюю ветку за ответом загляните. 

    Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    7 ноября 2018 г. 5:33
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Добрый день!

    Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender здесь при том, что это разрешение, присутствующее по умолчанию  администраторы убирают с коннектора, дабы предотвратить отправку анонимами от своего домена. И это действие просто игнорируется новым механизмом транспорта в 2013. (и выше, как понятно). Я ссылки все предоставил, можете посмотреть. Вот тут был первоисточник этого кейса, если не хочется гулять по ссылкам.

    На десятке убирая эти разрешения с коннектора,  мы получим  отбойник, и письмо подделать не получится: есть определенная уверенность, что ТС решил принимать почту на 2016, отсюда и удивился поддельным письмам (только на 2016, как он и подчеркивает). Как я понимаю ситуацию, до агента SenderID здесь дело не доходит даже.

    7 ноября 2018 г. 11:01
    |

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Добрый день

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    При проверке телнетом на 25 порт обнаружили, что спокойно без проверки можно вбить даже выдуманный адрес в нашем домене как отправителя, и отправить существующему ящику на сервере.

    настройки Агента и фильтра ниже

    RunspaceId                   : 03a22ac7-af5f-4278-b6e7-1afd3006d011
Name                         : SenderFilterConfig
BlockedSenders               : {}
BlockedDomains               : {}
BlockedDomainsAndSubdomains  : {}
Action                       : Reject
BlankSenderBlockingEnabled   : True
RecipientBlockedSenderAction : Reject
Enabled                      : True
ExternalMailEnabled          : True
InternalMailEnabled          : True
AdminDisplayName             :
ExchangeVersion              : 0.1 (8.0.535.0)
DistinguishedName            : CN=SenderFilterConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
Identity                     : SenderFilterConfig
Guid                         : b9ed395e-06f4-4fca-8462-c753aa180717
ObjectCategory               : ********/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-Filter-Config
ObjectClass                  : {top, msExchAgent, msExchMessageHygieneSenderFilterConfig}
WhenChanged                  : 31.10.2018 13:36:55
WhenCreated                  : 31.03.2013 20:57:43
WhenChangedUTC               : 31.10.2018 10:36:55
WhenCreatedUTC               : 31.03.2013 16:57:43
OrganizationId               :
Id                           : SenderFilterConfig
OriginatingServer            : *********
IsValid                      : True
ObjectState                  : Unchanged



[PS] C:\Windows\system32>Get-SenderIdConfig


RunspaceId            : 03a22ac7-af5f-4278-b6e7-1afd3006d011
SpoofedDomainAction   : Reject
TempErrorAction       : StampStatus
BypassedRecipients    : {}
BypassedSenderDomains : {}
Name                  : SenderIdConfig
Enabled               : True
ExternalMailEnabled   : True
InternalMailEnabled   : True
AdminDisplayName      :
ExchangeVersion       : 0.1 (8.0.535.0)
DistinguishedName     : CN=SenderIdConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
Identity              : SenderIdConfig
Guid                  : 72025bd2-4b0d-4d9d-be52-a4c22ee39ecd
ObjectCategory        : *****/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-ID-Config
ObjectClass           : {top, msExchAgent, msExchMessageHygieneSenderIDConfig}
WhenChanged           : 31.10.2018 15:11:58
WhenCreated           : 31.03.2013 20:57:43
WhenChangedUTC        : 31.10.2018 12:11:58
WhenCreatedUTC        : 31.03.2013 16:57:43
OrganizationId        :
Id                    : SenderIdConfig
OriginatingServer     : ********
IsValid               : True
ObjectState           : Unchanged

    при этом на 2010 эксче такая отправка отбивается как и должна с ответом

    550 5.7.1 Sender ID (PRA) Not Permitted

    на 2016 эксе соединитель по умолчанию на 25 порт как и должно настроен для анонимных пользователей и пользователей эксча, но почему не выполняется проверка по senderid не ясно 

    в логе агента по таким оправкам идет такая запись

    2018-10-31T12:18:50.099Z	08D6350888E4F041	10.6.2.80:2525	109.252.61.57:10409	109.252.61.57	<4587d4b0-cdf2-4126-afc9-233fd4571e35@********>	fm@***.ru	fm@***.ru;	it@***.ru	1	Content Filter Agent	OnEndOfData	AcceptMessage		SCL	not available: content filtering was bypassed.		80a26e97-ed64-4f6a-8523-08d63f2b03e2		Incoming

    ну и соответственно письмо валится в ящик.

    Оба эксча в одном домене AD но обслуживают разные почтовые домены ( исторически так сложилось при слиянии 2 компаний ) 

    Вообщем не ясно куда бежать чтоб спама избежать.


    А что неясного-то? Разные домены - разные настройки SPF (они нажодятся в записях TXT, с именем, совпадающем с именем домена) Проверяйте настройки обоих доменов в DNS

    Слава России!

    31 октября 2018 г. 14:43
    |
  • Question
    Нужно войти
    0
    Нужно войти

    в spf для обоих доменов прописано все нормально

    Для каждого почтовика выход в инет организован через свой внешний адрес
    В  DNS каждого домена указано четко нужный IP адрес, все остальные в отстойник

    v=spf1 ip4:***** -all

    2 ноября 2018 г. 11:51
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Ну, раз всё настроено, но не работает, продолжаем проверку по списку.

    Сервер, Exch2016 который принимает сообщения из Интернета - это сервер п/я, не пограничный транспортный сервер?

    Если так, то установлены ли на нем агенты антиспама? В частности - Sender ID agent. А если установлен - включен ли.

    Проверить можно командой в EMS: Get-TransportAgent "Sender Id Agent"

    Слава России!


    • Изменено M.V.V. _ 3 ноября 2018 г. 6:55
    3 ноября 2018 г. 6:54
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Да, это сервер почтовых ящиков

    SenderID agent установлен и запущен

    Identity                                           Enabled         Priority
--------                                           -------         --------
Transport Rule Agent                               True            1
DLP Policy Agent                                   True            2
Retention Policy Agent                             True            3
Supervisory Review Agent                           True            4
Malware Agent                                      True            5
Text Messaging Routing Agent                       True            6
Text Messaging Delivery Agent                      True            7
System Probe Drop Smtp Agent                       True            8
System Probe Drop Routing Agent                    True            9
Content Filter Agent                               True            10
Sender Id Agent                                    True            11
Sender Filter Agent                                True            12
Recipient Filter Agent                             True            13
Protocol Analysis Agent                            True            14

    6 ноября 2018 г. 14:48
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Тогда проверяем дальше.

    Проверяем работу SenderID Filter для разных адресов:

    Test-SenderId -IPAddress <IPAddress> -PurportedResponsibleDomain <YourSmtpDomain>

    И ещё: этот ваш сервер п/я - он напрямую принимает почту из Интернета, или между ним стоит шлюз SMTP? Или - хитро(читай -криво) настроенный NAT или межсетевой экран. Проверьте по заголовку Received: или логу протокола (SmtpReceive) с каким именно IP источника ваш сервер видит соединение.

    Слава России!

    6 ноября 2018 г. 19:41
    |
  • Question
    Нужно войти
    1
    Нужно войти

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    Добрый день.

    В соседнюю ветку за ответом загляните. 

    Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    7 ноября 2018 г. 5:33
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    А можно поинтересоваться, коллега, причем тут Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender в разрешениях на Receive Connector - если он во всех версиях Exchange входит в состав группы разрешений  Anonimous, которую как правило добавляют при настройке коннектора по умолчанию (который на 25 порту) для приема почты из Интернета, а потому это разрешение обычно у анонимных отправителей есть вне зависимости от версии. 

    Кстати, неплохо было бы проверить настройку Receve Connector на Exch2010 на предмет настройки разрешений - вдруг тм стоит нечто нестандартное.

    А пока речь идет, насколько я понимаю, о работе транспортного агента SenderID- который вступает в действие уже после проверки разрешений на коннекторе. В связи с этим к автору есть вопрос: агенты антиспама на MBX активировались штатно - скриптом Install-AntispamAgents.ps1 - или как-то ещё? И если второй, нештатный, вариант - не были ли забыты какие-либо действия, которые дополнительно выполняет этот скрипт (у меня его перед глазами нет, поэтому точнее сказать не могу)?

    Слава России!


    • Изменено M.V.V. _ 7 ноября 2018 г. 10:45
    7 ноября 2018 г. 10:44
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Добрый день!

    Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender здесь при том, что это разрешение, присутствующее по умолчанию  администраторы убирают с коннектора, дабы предотвратить отправку анонимами от своего домена. И это действие просто игнорируется новым механизмом транспорта в 2013. (и выше, как понятно). Я ссылки все предоставил, можете посмотреть. Вот тут был первоисточник этого кейса, если не хочется гулять по ссылкам.

    На десятке убирая эти разрешения с коннектора,  мы получим  отбойник, и письмо подделать не получится: есть определенная уверенность, что ТС решил принимать почту на 2016, отсюда и удивился поддельным письмам (только на 2016, как он и подчеркивает). Как я понимаю ситуацию, до агента SenderID здесь дело не доходит даже.

    7 ноября 2018 г. 11:01
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Ну собственно все верно, почитал приведенные выше статьи, нашел ответ на свой вопрос.

    2016 принимает почту напрямую с 25 порта из интернета, между ним и инетом ничего кроме маршрутизатора натящего 25 порт не стоит
    на 2010 так же напрямую, но там механизм проверки домена работает.

    почитав написанное выше, стало понятно, что в 2016 эксче по сути этот инструментарий и не работает для самостоятельной роли, и надо ставить что то в промежуток между инетом и почтовиком

    Будем втыкать посредника , например мутить мостик с postfix, с простой ролью, серые списки и проверка отправителя.

    Через 2010 не могу пустить поток писем, по определенным внутренним ограничениям, и приходится жить на 2 стульях

    Дмитрий, спасибо за подсказку

    7 ноября 2018 г. 11:24
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Ну вот о чем и речь. Не за что, приходите еще.

    Не работает для самостоятельной роли, но можете обойтись простым транспортным правилом: если снаружи организации и домен ваш- то в сад.

    7 ноября 2018 г. 11:27
    |