none
Exchange2016 关闭匿名发送邮件功能 RRS feed

  • 问题

  • 公司搭建了exchange2016CU13的环境,两台exchange2016CU12做了DAG,客户端大部分是outlook2019,有小部分的是outlook2007.客户端均是配置了exchange模式。

    现在发现邮件服务器上默认启用了匿名发送邮件功能,在公司的打印机设备或者其它设备上随便输入一个邮件地址,该地址在邮件服务器上并不存在,smtp服务器设置为邮件服务器的IP地址,就可以向其他人发送邮件。

    请问,该如何关闭邮件服务器的匿名发送功能。谢谢

    2020年11月25日 5:02

全部回复

  • 您好,

    这一篇文章我们可以知道,连接器上需要有"ms-Exch-SMTP-Accept-Any-Recipient" 才能进行邮件的中继,所以您可以尝试使用以下命令查看哪一个连接器上有这一个权限:

    Get-ReceiveConnector | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" | where{$_.ExtendedRights -like "*Ms-Exch-SMTP-Accept-Any-Recipient*"}

    找到这一个连接器之后,可以使用以下命令来删除这一个权限:

    Get-ReceiveConnector "connector" | Remove-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights Ms-Exch-SMTP-Accept-Any-Recipient

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年11月25日 7:30
    版主
  • 使用Get-ReceiveConnector | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" | where{$_.ExtendedRights -like "*Ms-Exch-SMTP-Accept-Any-Recipient*"}后没有输出

    如下图

    这个查看的不是接收连接器吗,和匿名发送有关系吗

    是否有图形化界面可以操作


    2020年11月26日 3:41
  • 使用Get-ReceiveConnector | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" | where{$_.ExtendedRights -like "*Ms-Exch-SMTP-Accept-Any-Recipient*"}后没有输出

    如下图

    这个查看的不是接收连接器吗,和匿名发送有关系吗

    是否有图形化界面可以操作


    打印机如果要从Exchange服务器中继邮件,首先需要在Exchange存在有中继功能的接收连接器来处理中继的请求。

    Exchange上默认的Default Frontend连接允许匿名用户,如果我们把它给禁用,那么组织接受来自外部的的邮件会存在问题。所以,我们并不能直接禁用这一个匿名功能,以下为两种方式您可以进行尝试:

    1. 创建一个专门的连接器来处理来自打印机IP地址的邮件请求。禁用这一个连接器上的匿名功能。这样打印机就会默认使用这一个不能中继的连接器来发送邮件,最终会发送失败。

    2. 在Exchange服务器的防火墙上进行限制,不允许来自打印机IP地址的请求。

    请注意:如果您禁用了中继功能之后,打印机不仅不能伪装成不存在的用户发邮件,而且也不能使用存在的邮箱来发送邮件。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年11月27日 8:35
    版主
  • 您好,

    请问以上建议是否有效?

    如果以上建议有用的话,请在空闲的时候标记它为答案以帮助更多的用户。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年12月2日 8:45
    版主
  • 这个只能解决打印机的问题。

    处于安全考虑,如果电脑中毒,那么这台电脑就可以使用我们邮件服务器匿名发送邮件。这种就没有办法用接受连接器解决。

    是否可以彻底关闭exchange2016的匿名发送邮件的功能

    2020年12月10日 6:07
  • 这个只能解决打印机的问题。

    处于安全考虑,如果电脑中毒,那么这台电脑就可以使用我们邮件服务器匿名发送邮件。这种就没有办法用接受连接器解决。

    是否可以彻底关闭exchange2016的匿名发送邮件的功能

    想要中继邮件,需要先知道您的服务器地址。电脑只是中毒,并不能知道服务器的地址。同时,现在多数服务器都设置了SPF,DKIM验证,并不是说能成功发送,对方就会接受这一个邮件,邮件到达对方服务器也会被拦截。

    正如之前所说,域内的用户默认就可以进行中继,如果禁用之后,会影响您的服务器接收外部的邮件,如果您没有这一个需求,您可以直接在ECP删除所有前端连接器上的“匿名用户”权限。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年12月11日 1:55
    版主