none
EDGE сервер и Receive Connector RRS feed

  • Вопрос

  • Доброе время суток,

    На EDGE сервере сделал новый Receive Connector из EMC. Выбрал тип Internet. Просмотрел права у коннектора

    Identity                      User                          ExtendedRights                AccessRights                
    --------                      ----                          --------------                ------------                
    edge1\test_internet          NT AUTHORITY\ANONYMOUS LOGON  {ms-Exch-SMTP-Accept-Any-Sender} {ExtendedRight}                                                                   
    edge1\test_internet          NT AUTHORITY\ANONYMOUS LOGON  {ms-Exch-Accept-Headers-Routing} {ExtendedRight}                                                                    
    edge1\test_internet          NT AUTHORITY\ANONYMOUS LOGON  {ms-Exch-SMTP-Submit}         {ExtendedRight}             
    edge1\test_internet          NT AUTHORITY\ANONYMOUS LOGON  {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}   {ExtendedRight}              

    Вопрос по поводу последних прав - зачем по умолчанию он их дает, ведь с наружи отправители моего домена не могут присылать письма и система не должна их принимать. Или я не прав?

    7 марта 2013 г. 13:40

Ответы

  • это право лучше убрать, иначе злоумышленник запросто будет присылать спам и не только спам от имени сотрудников.
    такое право можно оставить только авторизованным пользователям

    • Помечено в качестве ответа Arturs_B 7 марта 2013 г. 17:18
    7 марта 2013 г. 16:52

Все ответы

  • Добрый день. При выставлении прав для anonymous по умолчанию добавляются следующие разрешения: Ms-Exch-Accept-Headers-Routing Ms-Exch-SMTP-Accept-Any-Sender Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Ms-Exch-SMTP-Submit Зачем для ...authoritative-domain-sender трудно сказать, видимо посчитали, что это в некоторых случаях необходимо.

    Blog - Smtp25.ru


    7 марта 2013 г. 16:30
    Отвечающий
  • это право лучше убрать, иначе злоумышленник запросто будет присылать спам и не только спам от имени сотрудников.
    такое право можно оставить только авторизованным пользователям

    • Помечено в качестве ответа Arturs_B 7 марта 2013 г. 17:18
    7 марта 2013 г. 16:52
  • Спасибо за ответы.
    7 марта 2013 г. 17:18
  • Интересная картина после того как убираешь ms-Exch-SMTP-Accept-Authoritative-Domain-Sender права. В консоли EMC показывает, что прав доступа никто не имеет. Т.е. нет не одной  галочки. Если ставишь галочку то система опять присваивает  убранные права.   

    Права ms-Exch-SMTP-Accept-Authoritative-Domain-Sender убирать нет смысла так как даже без них сервер принимает соеденение от имени доменного отправителя. Проверял телнетом


    • Изменено Arturs_B 8 марта 2013 г. 12:23
    8 марта 2013 г. 11:51
  • Сейчас это право подразумевает постановку в очередь сообщения на доставку. Т.е. если в Exchange 2007 без этого правила smtp сессия прерывалась сразу, как только в поле mail from: вводился адрес авторитативного домена, то в Exchange 2010 разрыв произойдет только после приема данных в поле data. Убрать конечно же стоит, хотя странно, что такое право выставляется по умолчанию.

    Blog - Smtp25.ru

    8 марта 2013 г. 16:18
    Отвечающий
  • с галочкой ситуация нормальная, я писал тут уже про это. вернее сама ситуация конечно нелогичная, но для exchange это нормальное поведение, что правда может ввести в заблуждение неосведомленного человека. поэтому права лучше проверять через posh

    зачем такое право стоит по умолчанию я и сам не понимаю. для некоторых внутренних коннекторов оно конечно может понадобиться для апликух с авторассылкой не умеющих аутентификацию (тот же sharepoint например), но выставлять по умолчанию конечно нехорошо.

    10 марта 2013 г. 13:47
  • С конектором типа Internet все ясно оттестил все работает именно после DATA.

    Теперь коннектор типа Internal. Тут уже я хочу дать права высылать только моим HUB серверам. И явно указываю те ИП на коннекторе которые имеет мои HUB сервера. Опять же по умолчанию при выборе прав Exchange servers  выставляется куча других прав. MS Exchange\Hub Transport Servers  - это хорошо а вот MS Exchange\Edge Transport Servers и MS Exchange\Externally Secured Servers по-моему тут лишние. Их ведь можно убирать или они могут понадобиться, например при отправке NDR?   И дополнительно выставляется метод аутентификации TLS это необходимо? Насколько я читал то метод аутентификации Exchange уже сам по себе надежный и под сбой имеет что-то TLS-ное?

    11 марта 2013 г. 11:01