none
如何防目外部冒充Exchange内部权威域的电子邮件地址发送邮件进来。 RRS feed

  • 问题

  • 我的环境是:

    1,Exchange2010+SP2  有做CAS Array(NLB)+DAG.

    2,Exchange所在的AD域是A.com。

    3,Exchange里邮件域(权威域)有B.com, C.com,D.com,E.com,F.com,G.com,H.com,F.com,J.com,K.com...............

    现在的问题是经常有外部邮件冒充我内部并不存在的电子邮件地址如 1@B.com, 2@D.com, 3@F.com, 4@G.com, 5@K.com......发送邮件进来。 请问如何防范这种情况?

    我在网上有查到如下方法:

    有两个方法解决这个问题,一个是GUI的解决方法,一个是Powershell 的方法。大家选择其中一个即可。

    方法一,利用ADSIEDIT 将匿名发送的权限去掉。

    1. 在exchange服务器或者AD服务器上,运行ADSIEDIT.msc.

    2. 定位到Configuration->Services->Microsoft Exchange->First Organization->Adminstrative Groups->Exchange Administrative Group ->Servers->server_name(这里是你机器的名字)->Protocols->SMTP Receive Connector(你的接受连接器)

    3. 右击Default Receive Connector(可能也有你特定的接受连接器)并切换到安全选项卡,点击选中Anonymous Logon.

    4. 在下面的列表中点击选中 Accept Authoritative Domain Sender右边的Deny(拒绝).

    5. 重启Microsoft Transport services服务.

    第二种方法是Powershell,我就不贴了,我是能用图片界面的操作就不用命令。

    我每次用上面的方法设置好,好象上真的封住了,没有冒认内部地址的邮件进来;但每次设置后,总是有人反应有邮件收不到。。然后只能把这个设置又取消,一取消这设置同事反应邮件可以收到了。

    请问,用这个方法是可以拦住冒用的内部邮件地址吗?我这里不同的是我Exchange的AD域是A.com。而邮件域(权威域)是B.com, C.com,D.com..........


    学无止境

    2017年8月29日 2:18

答案

  • 您好, 

    感谢联系我们论坛。

    您的这个操作就是把相应的receive connector 的扩展权限ms-Exch-SMTP-Accept-Authoritative-Domain-Sender 删除掉,这个是可以阻止所有通过这个connector的发件人是权威域的邮件,如果一个IP想模仿内部域用户发信,就会被阻止。同时,一些其他的服务或者设备,如果也用内部域用户来发邮件也将会被阻止。

    建议查看邮件头信息以及message tracking log,确定模仿的这个邮件的client IPsource IP,我们可以进行阻止通过block list,或者传输规则。

    希望可以帮到您。


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 joeliao 2017年9月25日 6:47
    2017年8月29日 12:46
  • 这个权限是用来决定是否要进行发件人地址欺骗检查的。如果SMTP接收会话没有此权限,则服务器将检查发件人地址欺骗。 如果欺骗检查失败,该消息将被拒绝在“MAIL FROM”或EOD(数据结束),具体取决于哪个发件人(信封或信息/标题)被发现是欺骗的

    建议参考:https://technet.microsoft.com/zh-cn/library/jj673053(v=exchg.150).aspx

    希望可以帮到您。


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 joeliao 2017年9月25日 6:48
    2017年9月6日 6:42

全部回复

  • 您好, 

    感谢联系我们论坛。

    您的这个操作就是把相应的receive connector 的扩展权限ms-Exch-SMTP-Accept-Authoritative-Domain-Sender 删除掉,这个是可以阻止所有通过这个connector的发件人是权威域的邮件,如果一个IP想模仿内部域用户发信,就会被阻止。同时,一些其他的服务或者设备,如果也用内部域用户来发邮件也将会被阻止。

    建议查看邮件头信息以及message tracking log,确定模仿的这个邮件的client IPsource IP,我们可以进行阻止通过block list,或者传输规则。

    希望可以帮到您。


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 joeliao 2017年9月25日 6:47
    2017年8月29日 12:46
  • Received: from STR-HKGSRV06.XXX.com (192.168.200.8) by
     str-hkgsrv05.XXX.com (192.168.200.7) with Microsoft SMTP Server (TLS)
     id 14.2.247.3; Wed, 30 Aug 2017 07:09:42 +0800
    Received: from static.vnpt.vn (14.187.133.118) by
     STR-HKGSRV06.XXX.com (192.168.200.9) with Microsoft SMTP Server id
     14.2.247.3; Wed, 30 Aug 2017 07:09:40 +0800
    From: Coleman <Coleman@YYY.com.cn>
    To: "it@YYY.com.cn" <it@YYY.com.cn>
    Subject: Emailing: Payment_201708-9448
    Thread-Topic: Emailing: Payment_201708-9448
    Thread-Index: AQHTIRvlTqwLS09ltEOBKLkFjxGUFg==
    Date: Wed, 30 Aug 2017 07:18:19 +0800
    Message-ID: <gQzmrKtXVXHPCqLDCqbjOXjyILwadRE@YYY.com.cn>
    Content-Language: en-GB
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-AuthSource: STR-HKGSRV06.XXX.com
    X-MS-Has-Attach: yes
    X-MS-Exchange-Organization-SenderIdResult: Fail
    X-MS-Exchange-Organization-SCL: 4
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-PRD: YYY.com.cn
    X-MS-TNEF-Correlator:
    received-spf: Fail (STR-HKGSRV06.XXX.com: domain of
     Coleman@YYY.com.cn does not designate 14.187.133.118 as permitted sender)
     receiver=STR-HKGSRV06.XXX.com; client-ip=14.187.133.118;
     helo=static.vnpt.vn;
    Content-Type: multipart/mixed;
    boundary="_002_gQzmrKtXVXHPCqLDCqbjOXjyILwadREYYYcom_"
    MIME-Version: 1.0

    这是垃圾邮箱的邮件头,每一封的ip都不同,伪造的内部邮件地址也不同。

    每次我作了上面的设置后,总是有同事反应有外面的邮件(不是我们Exchange的邮件用户)进不来。


    学无止境

    2017年8月30日 6:23
  • 感谢您的回复,

    请问模仿的是A.com还是其他的权威域的地址?


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年9月3日 15:27
  • 谢谢!

    冒充的是其他权威域的。


    学无止境

    2017年9月4日 2:25
  • 您好,建议检查相应的接收连接器是否有权限ms-Exch-SMTP-Accept-Any-Sender,如果有建议remove掉:

    检查权限:

    Get-ReceiveConnector "connector name" | Get-ADPermission | fl identity, user, extendedrights

    移除权限:

    Get-ReceiveConnector "connector name" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-Exch-SMTP-Accept-Any-Sender "} | Remove-ADPermission


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年9月6日 4:50
  • 将default connector的ms-Exch-SMTP-Accept-Any-Sender也Deny掉?那不外部邮件都不能发进来了吗?还是我理解错误?


    学无止境

    2017年9月6日 6:36
  • 这个权限是用来决定是否要进行发件人地址欺骗检查的。如果SMTP接收会话没有此权限,则服务器将检查发件人地址欺骗。 如果欺骗检查失败,该消息将被拒绝在“MAIL FROM”或EOD(数据结束),具体取决于哪个发件人(信封或信息/标题)被发现是欺骗的

    建议参考:https://technet.microsoft.com/zh-cn/library/jj673053(v=exchg.150).aspx

    希望可以帮到您。


    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 joeliao 2017年9月25日 6:48
    2017年9月6日 6:42
  • 好的,知悉。

    我现在再更改ms-Exch-SMTP-Accept-Authoritative-Domain-Sender  Deny掉,观察两个星期看看情况。


    学无止境

    2017年9月6日 8:48
  • 好的,等待您的消息。

    Regards,

    Jason Chao


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年9月6日 10:00
  • 观察了两个星期,没有发现之前被冒充的情况。

    Jason,感谢你的帮助,谢谢!


    学无止境

    2017年9月25日 6:49