none
Exchange 2016 SMTP 冒應內域電郵地址傳送郵件到同域. RRS feed

  • 問題

  • 小第安裝了一部Exchange 2016, 在smtp有一些問題, 請求各位幫忙, 謝謝!

    Default 設定不會有relay, 即smtp須要驗証才可傳送電郵到其它domain.
    eg: david@local.com to may@abc.com

    但問題發覺, 內部傳送到內部電郵郤不用驗証或密碼也可成功傳送.
    eg: david@local.com to john@local.com

    我現在遇見的問題是, 互聯網上可以冒應內部電郵地址, 傳送假冒電郵到內部地址.
    請求各位幫忙如何設定或解決這問題? 謝謝!
    2017年6月19日 上午 02:07

所有回覆

  • 你好, 在安裝Exchange 2016時預設的receive connector已經默認內部能無名寄件到Accepted Domain, 但卻不能寄送到網際網絡

    而你的問題卻和你的測試正做不同的東西, 互聯網上的確可以假冒你的內部人員寄件, 但他們卻不太可能冒認你的Exchange IP地址

    例如你的Exchange IP是1.1.1.1, 他們卻不可能用1.1.1.1這台電腦去寄信, 只能是其他的網絡IP,

    基於這個原則, 出現了Sender Policy Framework (SPF) record這個安全設定

    所以你應該在你的DNS上檢查你有們有沒有一組SPF記錄去告訴別人從那個IP寄出的電郵才是你們網域真正的電郵, 其他都是假冒的

    有關SPF的設定和原理, 請參考

    https://technet.microsoft.com/en-us/library/dn789058(v=exchg.150).aspx

    https://practical365.com/exchange-server/a-sender-policy-framework-spf-primer-for-exchange-administrators/

    其他的電郵保安系統, 例如微軟的Exchange Online Protection

    還會加入如域名反解等去幫助篩選出這些假冒電郵


    邊幫助, 邊鍛鍊

    2017年6月19日 上午 03:46
  • 謝謝你的回覆, 但我遇見的問題是, 互聯網上可以在outlook smtp裏, 輸入內部人員電郵地址, 在不用驗証或密碼下成功傳送假冒電郵到其他內部人員地址.

    請求幫忙如何設定或解決這問題? 謝謝!


    2017年6月19日 上午 04:26
  • 還是不太清楚問題出在那裡, 如果你的Outlook能在互聯網連線到Exchange 2016, 你已經成功通過ActiveSync, Outlook Anywhere 或IMAP/POP3 - SMTP驗證了..你是用甚麼方式連接到Exchange的呢? 如果你有附以圖片可以更好協助看出問題

    邊幫助, 邊鍛鍊

    2017年6月19日 上午 04:40
  • 對不起, 我在家裏用outlook POP3/SMTP 測示連接公司port forwarding 25 的exchange 2016.
    在家裏, SMTP在沒有驗証或正確密碼, 不能傳送郵件到其它Domain. 
    但卻能成功傳送電郵到內部Accepted Domain人員地址.


    2017年6月19日 上午 06:09
  • 應該這樣說, 發現在互聯網沒有SMTP 驗證下, 也可以成功傳送電郵到內部Accepted Domain人員地址.
    請求幫忙如何設定或解決這問題? 謝謝!
    2017年6月19日 上午 06:15
  • Hi:

    你需要一台Edge Server or 3rd Party 的Anti-spam 設定,寄件者是公司內部Accepted Domain網域的 就拒收。

    直接將Ex2016 對應到Internet 做不到你的需求。


    Lusheng


    2017年6月20日 上午 01:36
    版主
  • 這是一個有趣的問題, 外部究竟需要甚麼東西來驗證才能給你寄件呢?

    簡單來說, 你不應該要SMTP要求驗證才給你寄信, 情形就像你家的郵箱不會需要詢問密碼才給郵差放信進去

    如果你真的想要這樣做, 只要把Receive Connecter裡的permission group裡的Anonymous users拿掉就可以了

    但這樣做就真的沒有人能寄給你電郵...因為gmail, yahoo, hotmail就不知到你的密碼...

    所以問題不在SMTP收不收你的信, 而是後台能不能篩出有問題的郵件


    邊幫助, 邊鍛鍊


    2017年6月20日 上午 02:56
  • 我不太明白, 根據default設定, 就會發生此問題.
    互聯網能冒應內部人員電郵寄信到內部人員.
    請問你們怎樣解决這問題? 謝謝
    2017年6月20日 上午 06:30
  • 把寄送電子郵件這件事情,想成寄送實體貨物,
    任何人都可以在外面假裝寄件者名稱是公司的人員,
    然後往你們公司寄送實體貨物

    至於一般解決方法,其實 Justin 及 Lusheng 已經給了蠻清楚的方向


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2017年6月20日 上午 06:55
    版主
  • 對不起, 我表逹問題不好, 請見諒, 以下是測示的EX16
    Exchange IP: 219.76.73.238
    內部Email 1: Tom@gg.com.hk / PW 123
    內部Email 2: Mary@gg.com.hk / PW 123

    請你們用Tom@gg.com.hk, 在沒有正確Password之下, 也能傳送郵件到Mary@gg.com.hk的郵箱.
    請問怎麼設定才可以解决這問題, 請幫忙 謝謝
    2017年6月20日 上午 07:15
  • 請回想你是如何給你朋友寄信的..

    基本上, 你們只要知道她的正確門牌地址就可以了...

    至於你的信寫得多亂, 抬頭有沒有寫錯, 她的名字有沒有串錯了...是不影響她會不會收到信的 (最多是她收到後給立即丟掉...)


    邊幫助, 邊鍛鍊



    2017年6月20日 上午 08:12
  • 我明白的, 謝謝你的解答.

    但我測示結果, 我在互聯網上不需輸入密碼, 也可使用對象Exchange IP: 219.76.73.238 寄件到內部人員.
    Exchange IP: 219.76.73.238 內部Domain: gg.com.hk, 內部有兩個Email Account(Tom & Mary)

    可否取消預設的receive connector默認內部無名寄件到Accepted Domain? (除了拿掉nonymous users)
    或是可否設定Exchange必須密碼認証才進行寄件?
    2017年6月20日 上午 09:31
  • 對不起, 我表逹問題不好, 請見諒, 以下是測示的EX16
    Exchange IP: 219.76.73.238
    內部Email 1: Tom@gg.com.hk / PW 123
    內部Email 2: Mary@gg.com.hk / PW 123

    請你們用Tom@gg.com.hk, 在沒有正確Password之下, 也能傳送郵件到Mary@gg.com.hk的郵箱.
    請問怎麼設定才可以解决這問題, 請幫忙 謝謝

    其實你沒有表達不好,我們能理解你的問題及糾結的點

    Tom@gg.com.hk 只是一個寄件者名稱,
    只要網路 (道路) 暢通,
    你公司的郵件 (郵局) 服務運作正常,
    而且大家都可以假冒 Tom@gg.com.hk 甚至假冒其他不存在的人,
    用 SMTP (請快遞) 方式送郵件到你的主機 (公司)

    你擔心的問題點叫做 Email spoofing,
    這邊有一系列文章說明及教導如何防範,
    可以參考看看
    Block spoofed email - Part 1 | Exchange 2010 - 2016
    Block spoofed email - Part 2 | Exchange 2010 - 2016


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2017年6月20日 上午 09:33
    版主
  • 對不起, 我始終不明白的, 外部是使用目標的Exchange server, 而這部Exchange server卻不需要密碼認証, 幫忙把信件寄到內部人員?
    我以住的認識是需要密碼認証才會進行寄件. 
    2017年6月20日 上午 10:02
  • 對不起, 我始終不明白的, 外部是使用目標的Exchange server, 而這部Exchange server卻不需要密碼認証, 幫忙把信件寄到內部人員?
    我以住的認識是需要密碼認証才會進行寄件. 

    所以問題點其實是,為什麼可以匿名方式使用你們公司 Exchange Server 上的 SMTP 服務,
    並且可以寄送給該網域下的使用者對嗎?

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2017年6月20日 上午 11:40
    版主
  • 是的, 抱歉我詞不達意, 請教這個問題如何設定? 謝謝
    2017年6月21日 上午 01:08
  • 只有一台Exchange Server 做不到你想做的事,如我之前回覆的。

    你必須要在安裝一台 有 Edge 角色的 Exchange Server 2016 ,設定阻擋Sender domain 是gg.com.hk 的舊阻擋掉。

    或是 3rd party anti-spam 設備阻擋。


    Lusheng

    2017年6月21日 上午 01:59
    版主
  • 謝謝你, 但如果人員在公司以外地方, 手機或POP/SMTP, 會否被阻擋無法傳送郵件?
    2017年6月21日 上午 02:49
  • 要預防這樣的事情,不會將內部的smtp 開 port 放到Internet 上。

    所以真要用到 pop3 & smtp 的話,建議使用VPN連線後再使用。


    Lusheng

    2017年6月21日 上午 04:55
    版主
  • Hi Lusheng 及各位先輩

    一樣是類似這問題,但主要是針對防止E2016 CU10  - internal spoof  (不管外部)
    E2013 爬文可能有些bug 不管,目前只看E2016

    1. 設置是建立獨立的internal open relay connector bind IP,預設connector 都不動設定

    2. 當然也一定會設定允許匿名發送,這是本來的目的,也沒有問題
    Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

    3. Externally secured 方式不採用,因還會自動解析GAL,更好被用來當成內部冒名發送. 
    若不用驗證模式,至少Outlook 收信會顯示 smtp address,跟internal auth relay 還是有點區別

    4. 問題就是在匿名發送的設定下,這個connector 可輕易被拿來作為內部spoof.  當然管理上是另一個問題.
    如透過SMTP relay 都可冒名總經理的 email address 發信給內部同仁. (差別只是在於GAL 有無解析)

    論壇上相關作法我大概試了都不work,有可能跟CU 更新有關. 

    不知這問題大家經驗是不是也差不多是認為  by design?

    感謝各位

    =======================
    參考資料

    https://social.technet.microsoft.com/Forums/lync/en-US/7de92aeb-ce79-46e3-b062-61fac3eefc27/spoofed-emails-within-domain?forum=Exch2016MFSM 

    https://social.technet.microsoft.com/Forums/exchange/en-US/0fdf213c-02e3-4ea1-9e6d-242abf9559b8/prevent-own-domain-spoofed-spam?forum=exchangesvrsecuremessaging 

    https://www.codetwo.com/admins-blog/how-to-prevent-internal-email-spoofing-in-exchange/ 

    https://docs.microsoft.com/En-us/exchange/mail-flow/connectors/allow-anonymous-relay?view=exchserver-2019


    Johnny_Yao



    • 已編輯 Johnny_Yao 2018年10月25日 上午 08:11
    2018年10月25日 上午 07:59