none
работа SenderId Agent RRS feed

  • Вопрос

  • Добрый день

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    При проверке телнетом на 25 порт обнаружили, что спокойно без проверки можно вбить даже выдуманный адрес в нашем домене как отправителя, и отправить существующему ящику на сервере.

    настройки Агента и фильтра ниже

    RunspaceId                   : 03a22ac7-af5f-4278-b6e7-1afd3006d011
    Name                         : SenderFilterConfig
    BlockedSenders               : {}
    BlockedDomains               : {}
    BlockedDomainsAndSubdomains  : {}
    Action                       : Reject
    BlankSenderBlockingEnabled   : True
    RecipientBlockedSenderAction : Reject
    Enabled                      : True
    ExternalMailEnabled          : True
    InternalMailEnabled          : True
    AdminDisplayName             :
    ExchangeVersion              : 0.1 (8.0.535.0)
    DistinguishedName            : CN=SenderFilterConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
    Identity                     : SenderFilterConfig
    Guid                         : b9ed395e-06f4-4fca-8462-c753aa180717
    ObjectCategory               : ********/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-Filter-Config
    ObjectClass                  : {top, msExchAgent, msExchMessageHygieneSenderFilterConfig}
    WhenChanged                  : 31.10.2018 13:36:55
    WhenCreated                  : 31.03.2013 20:57:43
    WhenChangedUTC               : 31.10.2018 10:36:55
    WhenCreatedUTC               : 31.03.2013 16:57:43
    OrganizationId               :
    Id                           : SenderFilterConfig
    OriginatingServer            : *********
    IsValid                      : True
    ObjectState                  : Unchanged
    
    
    
    [PS] C:\Windows\system32>Get-SenderIdConfig
    
    
    RunspaceId            : 03a22ac7-af5f-4278-b6e7-1afd3006d011
    SpoofedDomainAction   : Reject
    TempErrorAction       : StampStatus
    BypassedRecipients    : {}
    BypassedSenderDomains : {}
    Name                  : SenderIdConfig
    Enabled               : True
    ExternalMailEnabled   : True
    InternalMailEnabled   : True
    AdminDisplayName      :
    ExchangeVersion       : 0.1 (8.0.535.0)
    DistinguishedName     : CN=SenderIdConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
    Identity              : SenderIdConfig
    Guid                  : 72025bd2-4b0d-4d9d-be52-a4c22ee39ecd
    ObjectCategory        : *****/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-ID-Config
    ObjectClass           : {top, msExchAgent, msExchMessageHygieneSenderIDConfig}
    WhenChanged           : 31.10.2018 15:11:58
    WhenCreated           : 31.03.2013 20:57:43
    WhenChangedUTC        : 31.10.2018 12:11:58
    WhenCreatedUTC        : 31.03.2013 16:57:43
    OrganizationId        :
    Id                    : SenderIdConfig
    OriginatingServer     : ********
    IsValid               : True
    ObjectState           : Unchanged

    при этом на 2010 эксче такая отправка отбивается как и должна с ответом

    550 5.7.1 Sender ID (PRA) Not Permitted

    на 2016 эксе соединитель по умолчанию на 25 порт как и должно настроен для анонимных пользователей и пользователей эксча, но почему не выполняется проверка по senderid не ясно 

    в логе агента по таким оправкам идет такая запись

    2018-10-31T12:18:50.099Z	08D6350888E4F041	10.6.2.80:2525	109.252.61.57:10409	109.252.61.57	<4587d4b0-cdf2-4126-afc9-233fd4571e35@********>	fm@***.ru	fm@***.ru;	it@***.ru	1	Content Filter Agent	OnEndOfData	AcceptMessage		SCL	not available: content filtering was bypassed.		80a26e97-ed64-4f6a-8523-08d63f2b03e2		Incoming

    ну и соответственно письмо валится в ящик.

    Оба эксча в одном домене AD но обслуживают разные почтовые домены ( исторически так сложилось при слиянии 2 компаний ) 

    Вообщем не ясно куда бежать чтоб спама избежать.


    • Изменено Alex Shanin 31 октября 2018 г. 13:55
    31 октября 2018 г. 12:45

Ответы

  • в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    Добрый день.

    В соседнюю ветку за ответом загляните. 

    Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    7 ноября 2018 г. 5:33
  • Добрый день!

    Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender здесь при том, что это разрешение, присутствующее по умолчанию  администраторы убирают с коннектора, дабы предотвратить отправку анонимами от своего домена. И это действие просто игнорируется новым механизмом транспорта в 2013. (и выше, как понятно). Я ссылки все предоставил, можете посмотреть. Вот тут был первоисточник этого кейса, если не хочется гулять по ссылкам.

    На десятке убирая эти разрешения с коннектора,  мы получим  отбойник, и письмо подделать не получится: есть определенная уверенность, что ТС решил принимать почту на 2016, отсюда и удивился поддельным письмам (только на 2016, как он и подчеркивает). Как я понимаю ситуацию, до агента SenderID здесь дело не доходит даже.

    7 ноября 2018 г. 11:01

Все ответы

  • Добрый день

    в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    При проверке телнетом на 25 порт обнаружили, что спокойно без проверки можно вбить даже выдуманный адрес в нашем домене как отправителя, и отправить существующему ящику на сервере.

    настройки Агента и фильтра ниже

    RunspaceId                   : 03a22ac7-af5f-4278-b6e7-1afd3006d011
    Name                         : SenderFilterConfig
    BlockedSenders               : {}
    BlockedDomains               : {}
    BlockedDomainsAndSubdomains  : {}
    Action                       : Reject
    BlankSenderBlockingEnabled   : True
    RecipientBlockedSenderAction : Reject
    Enabled                      : True
    ExternalMailEnabled          : True
    InternalMailEnabled          : True
    AdminDisplayName             :
    ExchangeVersion              : 0.1 (8.0.535.0)
    DistinguishedName            : CN=SenderFilterConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
    Identity                     : SenderFilterConfig
    Guid                         : b9ed395e-06f4-4fca-8462-c753aa180717
    ObjectCategory               : ********/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-Filter-Config
    ObjectClass                  : {top, msExchAgent, msExchMessageHygieneSenderFilterConfig}
    WhenChanged                  : 31.10.2018 13:36:55
    WhenCreated                  : 31.03.2013 20:57:43
    WhenChangedUTC               : 31.10.2018 10:36:55
    WhenCreatedUTC               : 31.03.2013 16:57:43
    OrganizationId               :
    Id                           : SenderFilterConfig
    OriginatingServer            : *********
    IsValid                      : True
    ObjectState                  : Unchanged
    
    
    
    [PS] C:\Windows\system32>Get-SenderIdConfig
    
    
    RunspaceId            : 03a22ac7-af5f-4278-b6e7-1afd3006d011
    SpoofedDomainAction   : Reject
    TempErrorAction       : StampStatus
    BypassedRecipients    : {}
    BypassedSenderDomains : {}
    Name                  : SenderIdConfig
    Enabled               : True
    ExternalMailEnabled   : True
    InternalMailEnabled   : True
    AdminDisplayName      :
    ExchangeVersion       : 0.1 (8.0.535.0)
    DistinguishedName     : CN=SenderIdConfig,CN=Message Hygiene,CN=Transport Settings,CN=***,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=***,DC=***,DC=ru
    Identity              : SenderIdConfig
    Guid                  : 72025bd2-4b0d-4d9d-be52-a4c22ee39ecd
    ObjectCategory        : *****/Configuration/Schema/ms-Exch-Message-Hygiene-Sender-ID-Config
    ObjectClass           : {top, msExchAgent, msExchMessageHygieneSenderIDConfig}
    WhenChanged           : 31.10.2018 15:11:58
    WhenCreated           : 31.03.2013 20:57:43
    WhenChangedUTC        : 31.10.2018 12:11:58
    WhenCreatedUTC        : 31.03.2013 16:57:43
    OrganizationId        :
    Id                    : SenderIdConfig
    OriginatingServer     : ********
    IsValid               : True
    ObjectState           : Unchanged

    при этом на 2010 эксче такая отправка отбивается как и должна с ответом

    550 5.7.1 Sender ID (PRA) Not Permitted

    на 2016 эксе соединитель по умолчанию на 25 порт как и должно настроен для анонимных пользователей и пользователей эксча, но почему не выполняется проверка по senderid не ясно 

    в логе агента по таким оправкам идет такая запись

    2018-10-31T12:18:50.099Z	08D6350888E4F041	10.6.2.80:2525	109.252.61.57:10409	109.252.61.57	<4587d4b0-cdf2-4126-afc9-233fd4571e35@********>	fm@***.ru	fm@***.ru;	it@***.ru	1	Content Filter Agent	OnEndOfData	AcceptMessage		SCL	not available: content filtering was bypassed.		80a26e97-ed64-4f6a-8523-08d63f2b03e2		Incoming

    ну и соответственно письмо валится в ящик.

    Оба эксча в одном домене AD но обслуживают разные почтовые домены ( исторически так сложилось при слиянии 2 компаний ) 

    Вообщем не ясно куда бежать чтоб спама избежать.


    А что неясного-то? Разные домены - разные настройки SPF (они нажодятся в записях TXT, с именем, совпадающем с именем домена) Проверяйте настройки обоих доменов в DNS

    Слава России!

    31 октября 2018 г. 14:43
  • в spf для обоих доменов прописано все нормально

    Для каждого почтовика выход в инет организован через свой внешний адрес
    В  DNS каждого домена указано четко нужный IP адрес, все остальные в отстойник

    v=spf1 ip4:***** -all

    2 ноября 2018 г. 11:51
  • Ну, раз всё настроено, но не работает, продолжаем проверку по списку.

    Сервер, Exch2016 который принимает сообщения из Интернета - это сервер п/я, не пограничный транспортный сервер?

    Если так, то установлены ли на нем агенты антиспама? В частности - Sender ID agent. А если установлен - включен ли.

    Проверить можно командой в EMS: Get-TransportAgent "Sender Id Agent"


    Слава России!


    • Изменено M.V.V. _ 3 ноября 2018 г. 6:55
    3 ноября 2018 г. 6:54
  • Да, это сервер почтовых ящиков

    SenderID agent установлен и запущен

    Identity                                           Enabled         Priority
    --------                                           -------         --------
    Transport Rule Agent                               True            1
    DLP Policy Agent                                   True            2
    Retention Policy Agent                             True            3
    Supervisory Review Agent                           True            4
    Malware Agent                                      True            5
    Text Messaging Routing Agent                       True            6
    Text Messaging Delivery Agent                      True            7
    System Probe Drop Smtp Agent                       True            8
    System Probe Drop Routing Agent                    True            9
    Content Filter Agent                               True            10
    Sender Id Agent                                    True            11
    Sender Filter Agent                                True            12
    Recipient Filter Agent                             True            13
    Protocol Analysis Agent                            True            14

    6 ноября 2018 г. 14:48
  • Тогда проверяем дальше.

    Проверяем работу SenderID Filter для разных адресов:

    Test-SenderId -IPAddress <IPAddress> -PurportedResponsibleDomain <YourSmtpDomain>

    И ещё: этот ваш сервер п/я - он напрямую принимает почту из Интернета, или между ним стоит шлюз SMTP? Или - хитро(читай -криво) настроенный NAT или межсетевой экран. Проверьте по заголовку Received: или логу протокола (SmtpReceive) с каким именно IP источника ваш сервер видит соединение.


    Слава России!

    6 ноября 2018 г. 19:41
  • в компании работают 2 exchange сервера 2010 и 2016

    с недавних пор стали получать сообщения от самих себя, причем получают сообщения только ящики в домене развернутом на 2016 сервере, письма от самого к себе.

    Добрый день.

    В соседнюю ветку за ответом загляните. 

    Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    7 ноября 2018 г. 5:33
  • Начиная с 2013 SP1 механизм Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender не оценивается. 

    Бежать не надо: или оставляете 25 порт опубликованным через 2010, поскольку он у Вас еще живой, или устанавливайте впереди 2016 пограничное решение с фильтрацией. Или третий вариант для народных масс- транспортное правило.

    Всех благ.


    А можно поинтересоваться, коллега, причем тут Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender в разрешениях на Receive Connector - если он во всех версиях Exchange входит в состав группы разрешений  Anonimous, которую как правило добавляют при настройке коннектора по умолчанию (который на 25 порту) для приема почты из Интернета, а потому это разрешение обычно у анонимных отправителей есть вне зависимости от версии. 

    Кстати, неплохо было бы проверить настройку Receve Connector на Exch2010 на предмет настройки разрешений - вдруг тм стоит нечто нестандартное.

    А пока речь идет, насколько я понимаю, о работе транспортного агента SenderID- который вступает в действие уже после проверки разрешений на коннекторе. В связи с этим к автору есть вопрос: агенты антиспама на MBX активировались штатно - скриптом Install-AntispamAgents.ps1 - или как-то ещё? И если второй, нештатный, вариант - не были ли забыты какие-либо действия, которые дополнительно выполняет этот скрипт (у меня его перед глазами нет, поэтому точнее сказать не могу)?


    Слава России!


    • Изменено M.V.V. _ 7 ноября 2018 г. 10:45
    7 ноября 2018 г. 10:44
  • Добрый день!

    Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender здесь при том, что это разрешение, присутствующее по умолчанию  администраторы убирают с коннектора, дабы предотвратить отправку анонимами от своего домена. И это действие просто игнорируется новым механизмом транспорта в 2013. (и выше, как понятно). Я ссылки все предоставил, можете посмотреть. Вот тут был первоисточник этого кейса, если не хочется гулять по ссылкам.

    На десятке убирая эти разрешения с коннектора,  мы получим  отбойник, и письмо подделать не получится: есть определенная уверенность, что ТС решил принимать почту на 2016, отсюда и удивился поддельным письмам (только на 2016, как он и подчеркивает). Как я понимаю ситуацию, до агента SenderID здесь дело не доходит даже.

    7 ноября 2018 г. 11:01
  • Ну собственно все верно, почитал приведенные выше статьи, нашел ответ на свой вопрос.

    2016 принимает почту напрямую с 25 порта из интернета, между ним и инетом ничего кроме маршрутизатора натящего 25 порт не стоит
    на 2010 так же напрямую, но там механизм проверки домена работает.

    почитав написанное выше, стало понятно, что в 2016 эксче по сути этот инструментарий и не работает для самостоятельной роли, и надо ставить что то в промежуток между инетом и почтовиком

    Будем втыкать посредника , например мутить мостик с postfix, с простой ролью, серые списки и проверка отправителя.

    Через 2010 не могу пустить поток писем, по определенным внутренним ограничениям, и приходится жить на 2 стульях

    Дмитрий, спасибо за подсказку

    7 ноября 2018 г. 11:24
  • Ну вот о чем и речь. Не за что, приходите еще.

    Не работает для самостоятельной роли, но можете обойтись простым транспортным правилом: если снаружи организации и домен ваш- то в сад.

    7 ноября 2018 г. 11:27