none
exchange server 2007 如何限制匿名發信? RRS feed

  • 問題

  • Exchange Server 2007 (Mailbox, Hub, CAS角色裝在同一台,無安裝edge角色),
    接收連接器中的"驗證"及"權限群組"的頁籤設定如下:

    Client server
    驗證方式: 傳輸層安全性, 基本驗證, 整合式WINDOWS驗證
    權限群組: Exchange 使用者,Exchange 伺服器,傳統Exchange 伺服器

    Default server
    驗證方式: 傳輸層安全性,基本驗證, exchnage server 驗證,整合式WINDOWS驗證.
    權限群組: 匿名使用者, Exchange 使用者, Exchange 伺服器, 傳統Exchange伺服器.

    我發現以outlook express 發信,寄信時不需要驗証就可以寄信給公司內的帳號了,
    請教先進, 是哪邊的設定出錯了呢? 應要如何調整呢?

    2009年7月3日 上午 03:34

解答

  • 問題是,這樣的設定,即便你在外面(INTERNET),
    只要在oe中指定 smtp 伺服器為 exchnage 2007的位址. 根本不需要 驗證(即便是捏造的EMAIL Address 寄件人) 也可以寄給我們郵件位址內的人,所以這樣對網域內的人還是可以任意的寄匿名信.


    (註:我知道在外面(INTERNET),指定 smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址外的收件人是不行的,這一段OK.
    我現在要防止的是要讓在外面(INTERNET),指定smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址內的收件人.
    也要經過帳號的驗證, 因為這一段 "不OK",這會導致捏造的EMAIL Address 寄件人未經驗證即可透過我們的EXCHANGE 2007 來發信給我們域內的人.不知這一段要怎麼解決///

    任何一個知道你Email Address的人都可以不經由任何帳號的驗證寄送信件給你這個本來就是SMTP本身的特性.
    而無關乎寄件者有沒有將SMTP Server指向你公司的Exchange 2007 Mail Server.

    "這會導致捏造的EMAIL Address 寄件人未經驗證即可透過我們的EXCHANGE 2007 來發信給我們域內的人.不知這一段要怎麼解決"
    至於上述的這個問題,微軟在Exchagne 2003就已經有解決方法了. 只要是未經帳號驗證的使用者,捏造了EMAIL Address 寄件人到公司內部
    那麼在公司的人收到此信件時,他會看到收件者會以Email Address的方式來呈現;
    相反的如果是有經過帳號驗證的話,那麼收件者收到時其寄件者則會以全域通訊清單中的Display Name(顯示名稱)
    所以使用者可以從這個不同來判斷該寄件者是否為真的寄件者.
    另外,也可以經由郵件的數位簽章來證明寄件者的真偽.

    Jammy羅濟棠
    • 已標示為解答 Max_Lin 2009年7月20日 上午 02:04
    2009年7月19日 上午 10:14

所有回覆

  • Default Server 權限群組:

    請將匿名使用者取消 試試
    2009年7月8日 下午 04:11
  • 因為我只有hub transport,沒有edge role,我將Default Server 權限群組中的匿名使用者取消後這樣就收不到來自internet 的信件了..我到google中找到 remove ms-Exch-SMTP-Accept-Authoritative-Domain-Sender的方法, 但是只要我又到 gui 介面 勾選Default Server 權限群組中的匿名使用者ms-Exch-SMTP-Accept-Authoritative-Domain-Sender就又自己加回去了,而且ms-Exch-SMTP-Accept-Authoritative-Domain-Sender只限 假冒我們郵件位址的驗證.對於以 假冒其他的郵件位址的驗證無效.
    這會不會是 僅使用hub transport,沒有edge role的bug呢? 網路上好像都找不到這樣的回答..不知先進們都怎麼config 僅使用hub transport role的 接收連接器呢?
    2009年7月9日 上午 04:11
  • 在Client Mail 不允許匿名使用者
    在Default Mail 允許匿名使用者

    在網域內是透過AD驗證,所以在網域內寄信就不需要特別去輸入帳號密碼了

    2009年7月9日 上午 05:13
  • 問題是,這樣的設定,即便你在外面(INTERNET),
    只要在oe中指定 smtp 伺服器為 exchnage 2007的位址. 根本不需要 驗證(即便是捏造的EMAIL Address 寄件人) 也可以寄給我們郵件位址內的人,所以這樣對網域內的人還是可以任意的寄匿名信.


    (註:我知道在外面(INTERNET),指定 smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址外的收件人是不行的,這一段OK.
    我現在要防止的是要讓在外面(INTERNET),指定smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址內的收件人.
    也要經過帳號的驗證, 因為這一段 "不OK",這會導致捏造的EMAIL Address 寄件人未經驗證即可透過我們的EXCHANGE 2007 來發信給我們域內的人.不知這一段要怎麼解決///
    2009年7月9日 上午 09:23
  • 問題是,這樣的設定,即便你在外面(INTERNET),
    只要在oe中指定 smtp 伺服器為 exchnage 2007的位址. 根本不需要 驗證(即便是捏造的EMAIL Address 寄件人) 也可以寄給我們郵件位址內的人,所以這樣對網域內的人還是可以任意的寄匿名信.


    (註:我知道在外面(INTERNET),指定 smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址外的收件人是不行的,這一段OK.
    我現在要防止的是要讓在外面(INTERNET),指定smtp 伺服器為我們 exchnage 2007的位址, 然後寄給我們郵件位址內的收件人.
    也要經過帳號的驗證, 因為這一段 "不OK",這會導致捏造的EMAIL Address 寄件人未經驗證即可透過我們的EXCHANGE 2007 來發信給我們域內的人.不知這一段要怎麼解決///

    任何一個知道你Email Address的人都可以不經由任何帳號的驗證寄送信件給你這個本來就是SMTP本身的特性.
    而無關乎寄件者有沒有將SMTP Server指向你公司的Exchange 2007 Mail Server.

    "這會導致捏造的EMAIL Address 寄件人未經驗證即可透過我們的EXCHANGE 2007 來發信給我們域內的人.不知這一段要怎麼解決"
    至於上述的這個問題,微軟在Exchagne 2003就已經有解決方法了. 只要是未經帳號驗證的使用者,捏造了EMAIL Address 寄件人到公司內部
    那麼在公司的人收到此信件時,他會看到收件者會以Email Address的方式來呈現;
    相反的如果是有經過帳號驗證的話,那麼收件者收到時其寄件者則會以全域通訊清單中的Display Name(顯示名稱)
    所以使用者可以從這個不同來判斷該寄件者是否為真的寄件者.
    另外,也可以經由郵件的數位簽章來證明寄件者的真偽.

    Jammy羅濟棠
    • 已標示為解答 Max_Lin 2009年7月20日 上午 02:04
    2009年7月19日 上午 10:14