none
Exchange 2016 и спам от обслуживаемых доменов через FrontendTransport RRS feed

  • Вопрос

  • Добрый день.

    Планируем миграцию с Exch201 на Exch2016.

    В тестовой среде развернут Exch2016 с дефолтными настройками Receive Connector. За прием почты из интернета отвечает Frontend Receiver на 25 порту (FrontendTransport).

    По аналогии с настройками Exch2010 хотели запретить отправку писем анонимным пользователям от имени обслуживаемых доменов:

    Get-ReceiveConnector “Frontend Receiver” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

    Но это не дало какого-либо результата, текущие разрешения для Frontend Receiver выглядят так:

    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}        {ExtendedRight}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}        {ExtendedRight}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                   {ExtendedRight}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties} {ExtendedRight}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}          {ExtendedRight}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON                                         {GenericRead}
    MAIL\Frontend Receiver            NT AUTHORITY\ANONYMOUS LOGON                                         {GenericRead}

    Анонимные пользователи по прежнему могут отправлять почту от имени обслуживаемых доменов.

    В документации написано что FrontendTransport только принимает почту и не обрабатывая ее перенаправляет на сервера с Transport service. Однако до конца не ясно почему не отрабатывают разрешения для анонимных пользователей.

    Кто сталкивался с данной ситуацией (думаю что все сталкивались) и как решить данную проблему (запретить отправку анонимным пользователям от имени обслуживаемых доменов через  FrontendTransport)?


    30 августа 2017 г. 7:15

Ответы

  • Добрый день.

    Отпишусь сразу сюда, спасибо что открыли свою новую тему, а не прибежали бесноваться в  чужой старой, как это обычно бывает. Снимаю шляпу.

    Решить просто: пильните транспортное правило. ЕСЛИ снаружи организации И наш домен, ТО действие, набросать 5 очков SCL и отправить отчет об этом страшном деле на ящик ответственного.

    • Предложено в качестве ответа Mikhail SartaevMVP 30 августа 2017 г. 8:24
    • Помечено в качестве ответа Konin Sergey 30 августа 2017 г. 12:12
    30 августа 2017 г. 7:59

Все ответы

  • Добрый день.

    Отпишусь сразу сюда, спасибо что открыли свою новую тему, а не прибежали бесноваться в  чужой старой, как это обычно бывает. Снимаю шляпу.

    Решить просто: пильните транспортное правило. ЕСЛИ снаружи организации И наш домен, ТО действие, набросать 5 очков SCL и отправить отчет об этом страшном деле на ящик ответственного.

    • Предложено в качестве ответа Mikhail SartaevMVP 30 августа 2017 г. 8:24
    • Помечено в качестве ответа Konin Sergey 30 августа 2017 г. 12:12
    30 августа 2017 г. 7:59
  • Однако до конца не ясно почему не отрабатывают разрешения для анонимных пользователей.

    Потому что перепилили логику кода - так в облаке удобнее, без проверки.

    Можно конечно действие в совете выше использовать по своему усмотрению, как понятно, и отталкиваться из своих реалий- отбивать к примеру с матом в отбойнике и пр.

    Всех благ.

    30 августа 2017 г. 8:01
  • Спасибо, перед тем как здесь тему поднять облазил много интернетов и данный совет тоже видел, но не хотелось верить до конца, что только таким костылем закрывается... "Раньше было лучше" :)

    Случайно не найдется хороших статей про эту новую "логику"? Хочется понять механику процессов. И правильно ли я понимаю, что FrontendTransport вообще никаких проверок не делает, его задача принять письмо и направить его на сервера с ролью Transport service. Как он это делает - сразу "внутрь" процессов Transport сервиса или через HubTransport?

    Я с Exchange не часто работаю, из-за этого и такие "глупые" вопросы...

    30 августа 2017 г. 11:26
  • Ну не хотите костыль, закрывайте эджом или другим пограничником- постфиском и всеми остальными, кого только ни назови, Ваше право.

    Статей не найдется, мне глава продуктовой группы про это предпочел не отвечать. Делайте выводы сами, хорошо или плохо получилось.

    FE ничего не делает, как хотели его сделать stateless proxy, так и сделали. Непонятно правда, зачем. Раньше было лучше ). Конечно не внутрь процессов, а передает на хаб. Откройте "новую архитектуру транспорта по 2013" и посмотрите постер и объяснение на технете. Все подробно расписано.

    30 августа 2017 г. 12:02
  • Да ладно, правило так правило, не такая большая организация чтобы еще эдж делать, пусть антиспам работает. :)

    По мне так затея ниочень, но тут видимо зависит от масштабов организации, были ведь причины реализации stateless проксирования...

    Спасибо, буду читать.

    30 августа 2017 г. 14:05
  • Все именно так и есть. Поскольку продукт масштабируется довольно сильно, было принято вот такое решение.

    Не за что, приходите еще.

    30 августа 2017 г. 14:57
  • Добрый день! Подскажите пожалуйста по поводу правила: пильните транспортное правило. ЕСЛИ снаружи организации И наш домен, ТО действие, набросать 5 очков SCL и отправить отчет об этом страшном деле на ящик ответственного.

    Не могу понять как это сделать через WEB морду  а именно нашел: Если отправитель находится вне организации, а как поставить И наш домен и набросать 5 очков SCL непонятно (Exch на русском).

    29 января 2018 г. 8:29
  • ССЗБ- использовать на русском его, когда вся документация и примеры на английском.

    29 января 2018 г. 8:37
  • А вот после И вы указали наш домен, там можно указать отправителя или получателя и далее Принадлежит к домену, а конкретно нету Наш домен, не могли бы разъяснить как правильно сделать?


     
    29 января 2018 г. 8:42
  • Я Вам открою страшную тайну, почему его там нет. Т.к. это конструктор правил, предполагается, что администратор хотя бы один раз в глаза видел документацию и твердой рукой просто напишет нужный домен.

    Создаст новый и сохранит правило.

    https://technet.microsoft.com/ru-RU/library/dn600440(v=exchg.150).aspx

    29 января 2018 г. 9:07
  • Спасибо за недопомощь, описания работы правил я уже читал, если бы мне было все понятно то бы не обратился на форум 
    29 января 2018 г. 9:29
  • Не за что, приходите еще.

    Стоит прочитать еще раз, чтобы было понятнее- тогда бы и не приходили бы на форум, а ходили бы в библиотеку технет.

    29 января 2018 г. 10:26
  • Хочу присоединиться к вопросу. 
    Я создал правило, но оно почему-то не работает. Один "гуру" мне сказал что таким образом не отбиться от спама извне на обслуживаемые домены, надо либо использовать стороннее анти-спам решение либо запрещать анонимные подключения на нужном коннекторе.

    Хотелось бы попросить вас глянуть на мое правило и подсказать что я не так сделал.

    Заранее спасибо.

    Правило такое:
    PS] C:\Windows\system32>Get-TransportRule | fl



    RunspaceId                                    : 0eaddf7e-5f5b-4bd0-863d-af44a56f9e5a

    Priority                                      : 0

    DlpPolicy                                     :

    DlpPolicyId                                   : 00000000-0000-0000-0000-000000000000

    Comments                                      : rule for deny spam from mydomain to mydomain


    ManuallyModified                              : False

    ActivationDate                                :

    ExpiryDate                                    :

    Description                                   : If the message:

                                                            sender's address domain portion belongs to any of these domains:

                                                    'mydomain'

                                                            and Is received from 'Outside the organization'

                                                    Take the following actions:

                                                            Set the spam confidence level (SCL) to '5'

                                                            and Send the incident report to test@mydomain, include these

                                                    message properties in the report: sender, recipients, subject

    7 ноября 2018 г. 4:21
  • Добрый день. Правило у Вас составлено верно, и должно работать. Гуру привет.

    Что не работает-то? По умолчанию и так письмо в нежелательные агент транспорта положит, если вы отправляете его снаружи и есть правильная spf запись. Тестером отправляйте письмо и проверяйте.

    Результат действия правила сразу лучше переделать на карантин.

    7 ноября 2018 г. 5:27
  • Спасибо за ответ.

    Я проверял телнетом на внешний адрес почтового сервера и командами тестовое сообщение.

    Может это не правильный тест? Через Ваш сервис сообщение ушло, но не пришло ( правда почему то и отчет на адрес тот что в правиле тоже не пришел).

    На карантин переделать можно, но вначале нужно убедиться что правило работает.

    P.S.

    Привет "гуру" передам.... ;)

    7 ноября 2018 г. 5:54
  • Имейте совесть!

    Создавайте новые темы и просите помощи там, а не в топиках годовалой давности, тем более ещё и чужих.

    Админы, разделите, пожалуйста, обсуждения!

    7 ноября 2018 г. 6:00
  • Телнет сессия снаружи вполне допустимая проверка в былые времена. Сейчас можно пользоваться встроенным начиная с семерки Send-MailMessage командлетом, и отправлять им. Тестер просто удобнее, и все. Если Вам не пришел отчет, значит правило не сработало. Посмотрите в логах SMTP, почему оно не пришло.
    7 ноября 2018 г. 6:04
  • Плюсую. Автор наверное не знал, что так делать нехорошо. И больше так не будет.
    7 ноября 2018 г. 6:05
  • Не буду!
    7 ноября 2018 г. 6:06
  • Создайте новую тему, сошлитесь на эту. Берите за правило, и все будут рады. И никто не будет стыдить. :)
    7 ноября 2018 г. 6:08
  • Всем спасибо! И за ответы и за замечания!!!

    Для меня темя закрыта.

    7 ноября 2018 г. 6:12
  • Не за что, будут проблемы, приходите, открывайте свою тему, поможем.
    7 ноября 2018 г. 6:41