none
如何设置拒绝显示地址与真实发件地址不匹配的外部邮件 RRS feed

  • 问题

  • 查看邮件头地址信息为:

    Received: from test-EX16-01.test.local (192.168.224.242) by
     test-EX16-01.test.local (192.168.224.242) with Microsoft SMTP Server
     (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id
     15.1.1034.26 via Mailbox Transport; Tue, 2 Apr 2019 11:24:48 +0800
    Received: from test-EX16-02.test.local (192.168.224.243) by
     test-EX16-01.test.local (192.168.224.242) with Microsoft SMTP Server
     (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id
     15.1.1034.26; Tue, 2 Apr 2019 11:24:48 +0800
    Received: from test.com (192.168.224.34) by test-EX16-02.test.local
     (192.168.224.243) with Microsoft SMTP Server (version=TLS1_0,
     cipher=TLS_RSA_WITH_AES_256_CBC_SHA) id 15.1.1034.26 via Frontend Transport;
     Tue, 2 Apr 2019 11:24:47 +0800
    Received: from [127.0.0.1] (helo=test.com)
     by mailcleaner stage4 with esmtp
     with id 1hBA2a-0003VI-HX
     for <daifu.lai@test.com>
     from <royiouzup@quesosqf.com>; Tue, 02 Apr 2019 11:24:48 +0800
    Received: from [124.235.120.36] (helo=quesosqf.com)
     by test.com stage1 with smtp
     (Exim MailCleaner)
     id 1hBA2V-0003Ur-Ax
     for <daifu.lai@test.com>
     from <royiouzup@quesosqf.com>; Tue, 02 Apr 2019 11:24:48 +0800
    Received: from [81.86.116.38] by rly04.hottestmile.com with ESMTP; Mon, 01 Apr 2019 23:15:57 -0400
    Received: from unknown (HELO mx.reskind.net) (Mon, 01 Apr 2019 23:05:56 -0400)
     by relay.2yahoo.com with SMTP; Mon, 01 Apr 2019 23:05:56 -0400
    Received: from [156.166.39.211] by relay37.vosimerkam.net with NNFMP; Mon, 01 Apr 2019 22:56:52 -0400
    X-MailCleaner-SPF: none
    Message-ID: <699763AF.61CC6726@quesosqf.com>
    Date: Mon, 1 Apr 2019 22:56:52 -0400
    Reply-To: <daifu.lai@test.com>
    From: <daifu.lai@test.com>
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.14) Gecko/20071210 Thunderbird/1.5.0.14
    To: <daifu.lai@test.com>
    Subject: Account compromised - Password change required (daifu.lai@test.com)
    Content-Type: text/html; charset="iso-8859-1"
    Content-Transfer-Encoding: base64
    X-MailCleaner-RDNS: invalid reverse DNS for 124.235.120.36
    X-MailCleaner: bypassed
    X-MailCleaner-ReportURL: https://mailgw.test.com/rs.php
    Return-Path: royiouzup@quesosqf.com
    X-MS-Exchange-Organization-Network-Message-Id: db0cd40e-0090-4037-8d69-08d6b71ac209
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-MS-Exchange-Organization-AuthSource: test-EX16-02.test.local
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.5207636
    MIME-Version: 1.0

    最后收件人显示为自己发给自己的。

    Message-ID: <699763AF.61CC6726@quesosqf.com>
    Date: Mon, 1 Apr 2019 22:56:52 -0400
    Reply-To: <daifu.lai@test.com>
    From: <daifu.lai@test.com>

    这种邮件有什么方法在exchange上做规则进行过滤和拒绝,防止通过邮件头信息冒充内部发件人?


    • 已编辑 xia0_hua 2019年4月2日 5:31
    2019年4月2日 5:28

答案

  • 您好,

    删除匿名用户权限组在面向Internet前端接收连接器上的ms-exch-smtp-accept-authoritative-domain-sender权限是为了阻止外部用户通过匿名中继从您环境中的Exchange服务器提交邮件。默认的前端接收连接器并没有赋予匿名用连接权限,不会影响Exchange组织内的用户接收外部用户的邮件。

    另外,我注意到您提供的邮件头X-MS-Exchange-Organization-AuthAs 的值为“Anonymous”。说明发件人发送这封邮件时没有提供登录凭证,是未经身份认证的。如果邮件是来自内部用户并经过身份认证,邮件头X-MS-Exchange-Organization-AuthAs 的值为“Internal”。因此,您还可以创建邮件流规则对使用匿名身份发布的邮件进行过滤,具体设置请见下图。


    此致,
    Kelvin Deng

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月3日 2:29

全部回复

  • 您好,

    我注意到您邮件头中的Exchange服务器版本为Exchange 2016。在Exchange2016中,邮箱服务器前端传输服务中的Internet-facing前端接收连接器具有ms-exch-smtp-accept-authoritative-domain-sender权限。该权限规定是否可以在MAIL或FROM邮件头中使用接受域。垃圾邮件发送者可以无需身份验证作为匿名发件人向您的Exchange服务器提交邮件。

    为防止匿名发件人使用您的域发送邮件,您需要在面向Internet的前端接收连接器上删除分配给他们的ms-exch-smtp-accept-authoritative-domain-sender权限。请在EMS中运行下面的命令:

    Get-ReceiveConnector “Internet ReceiveConnector” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

    删除此权限后,当匿名发件人尝试使用您的接受域提交邮件时,将会被Exchange server阻止。


    此致,
    Kelvin Deng

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已建议为答案 Shaw_Lu 2019年4月2日 9:51
    • 已编辑 ThinkCenter 2019年4月3日 2:31
    2019年4月2日 9:42
  • 如果这样操作之后,会导致不能接受外部其它邮件服务器发送的邮件了,就不能通过邮件流规则来拒绝显示邮件地址与发件地址不符进行过滤吗?并且我看见邮件流规则中有一项是关于邮件头匹配信息的。
    2019年4月2日 11:23
  • 您好,

    删除匿名用户权限组在面向Internet前端接收连接器上的ms-exch-smtp-accept-authoritative-domain-sender权限是为了阻止外部用户通过匿名中继从您环境中的Exchange服务器提交邮件。默认的前端接收连接器并没有赋予匿名用连接权限,不会影响Exchange组织内的用户接收外部用户的邮件。

    另外,我注意到您提供的邮件头X-MS-Exchange-Organization-AuthAs 的值为“Anonymous”。说明发件人发送这封邮件时没有提供登录凭证,是未经身份认证的。如果邮件是来自内部用户并经过身份认证,邮件头X-MS-Exchange-Organization-AuthAs 的值为“Internal”。因此,您还可以创建邮件流规则对使用匿名身份发布的邮件进行过滤,具体设置请见下图。


    此致,
    Kelvin Deng

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年4月3日 2:29
  • 好的,我配置观察一下,谢谢你
    2019年4月3日 6:25
  • 感谢您的回复,很高兴看到您的问题得到了解决,也很高兴看到我的回复对您有所帮助。如果您还有任何疑问,欢迎随时来我们论坛发帖求助,我们会在第一时间协助您解决问题。期待与您的再次合作!

     

    感谢您的理解和支持,祝您工作愉快!

     

    此致,
    Kelvin Deng

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年4月3日 6:45