none
Запрет отправки внутренних сообщений без авторизации. RRS feed

  • Вопрос

  • Доброго времени суток Уважаемые коллеги.

    Подскажите пожалуйста как можно ограничить неавторизированную отправку сообщений с внутренних почтовых серверов Exchange. так как это способствует спаму ? Я так понимаю можно ограничить это на Receive Connectors ? Но если ограничить коннектор по только с определенных ip адресов, то это значит многие клиенты внутренней сети не смогут отправлять почту ? Подскажите пожалуйста как это можно реализовать ? 

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    12 октября 2019 г. 19:09

Все ответы

  • Внутренние пользователи у вас же наверное авторизацией пользуются? Это exchange users.

    А с анонимных снимите галочку.

    Создайте отдельный коннектор для анонимной отправки куда добавите ip адреса систем которые имеют право на отправку без авторизации.

    А вообще если что-то у вас в организации рассылает спам, то лучше ещё и найти и устранить этот источник :)

    12 октября 2019 г. 21:16
  • Это все понятно. Но мы получаем по сути то же самое для отдельного коннектора, где с определенных адресов все равно будет разрешен анонимный доступ и как следствие компрометация одного из них- рассылка заразы. 

    Вопрос про то, как именно принудительно сделать авторизацию при отправке почты только от известных имен в домене, а не от любых ? Без анонима вся почта просто не будет приниматься.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 13 октября 2019 г. 8:00
    13 октября 2019 г. 7:57
  • По-умолчанию вы и так не сможете без аутентификации написать наружу, если только сами предварительно не настроили Exch в качестве RELAY, т.е. вы получите ошибку "enable to relay". 
    14 октября 2019 г. 6:05
  • Доброго дня.

    Алексей, в том то и дело, складывается такое впечатление, что где то включен RELAY,только вот вопрос где ?

    У нас ранее Excahnge работал совместно с лотус, сейчас убрали лотус и домен сделали как авторитативный, ранее был как релей. Сейчас сделал дополнительный принимающий коннектор для ограниченных хостов, кто может анонимно отправлять. Но это не дело.

    Подскажите пожалуйста, где можно посмотреть настройки, что бы только авторизированные пользователи могли отправлять сообщения от серверов и как закрыть релей и чем это может грозить ?

    Спасибо! 


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    14 октября 2019 г. 7:28
  • Вот так можно посмотреть коннекторы, которые принимают почту анонимно. С них же, по вашим словам, идёт спам.

    Get-ReceiveConnector | ?{$_.PermissionGroups -match "Anon|Cust"}


    Видео про создание анонимных Receive коннекторов


    Youtube канал о Exchange Server
    Группа Facebook по Exchange Server
    Чат в Telegram по Exchange Server
    Группа Facebook по PowerShell

    14 октября 2019 г. 7:46
  • Подключайтесь via telnet ко всем вашим receive connector (по всем портам, в том числе которые вы создавали, их можете посмотреть в настройках scope в коннекторах). Далее попытайтесь отправить письмо наружу.
    14 октября 2019 г. 7:47
  • Ну вот я попробовал от своего ящика отправить фэйковое письмо, к сожалению получилось 

    От: ktoto@hrenznaet.gde <ktoto@hrenznaet.gde> Отправлено: 12 октября 2019 г. 20:51 Кому: my@email.address Тема: test

     Hehehe

    Кто ни будь хватает вирус, которая рассылает сам себя и понеслось внутри 1000 штук в минуту.

    Сейчас после того как я создал новый коннектор для анонимных хостов, такое сделать невозможно.


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 14 октября 2019 г. 10:32
    14 октября 2019 г. 10:28
  • По идее ни один пользователь не должен мочь подцепиться к внутренним серверам по SMTP. 

    Youtube канал о Exchange Server
    Группа Facebook по Exchange Server
    Чат в Telegram по Exchange Server
    Группа Facebook по PowerShell

    14 октября 2019 г. 10:33
  • Теперь вижу, что вроде как все в порядке:

    Пытаюсь понять, почему в первом случае получилось отправить от левого реципиента через свой же ящик, хотя по умолчанию в эксе это невозможно же сделать,да же при влюченном анонимным коннеторе по умолчанию ?


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    14 октября 2019 г. 10:57