Od czasu do czasu na forach Exchange pojawiają się pytania o blokowanie spamu przychodzących z zewnątrz, gdzie przesyłka w polu nadawcy ma adres pocztowy odbiorcy. Sam nie mam takiego problemu – hostowany antyspam, którego używam automatycznie kasuje takie kwiatki. Ale w jednym z wątków na wss.pl, padła odpowiedź, która przypomniała mi o zaawansowanych atrybutach bezpieczeństwa na konektorach odbierających pocztę w serwerze Exchange 2007 lub 2010. Jak widać na poniższym rysunku dla użytkownika anonimowego takich praw jest całkiem sporo.
Zaznaczenie we właściwościach Receive Connectora pola zezwalającego na dostęp grupy Anonymous dodaje wbudowanemu kontu ANONYMOUS LOGON prawa:
- Ms-Exch-Accept-Headers-Routing
- Ms-Exch-SMTP-Accept-Any-Sender
- Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
- Ms-Exch-SMTP-Submit
Żeby umożliwić anonimowy relaying na konektorze trzeba dodatkowo dodać ręcznie (czyli z Management Shella) prawo Ms-Exchange-SMTP-Accept-Any-Recipient dla tego użytkownika, co opisane jest w helpie zaróno do wersji Exchange 2007 jak i 2010.
Żeby jednak zablokować odbieranie poczty od teoretycznie naszych własnych użytkowników należy usunąć domyślne prawo Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender. W tym celu w Management Shellu musimy wykonać komendę (dla wyświetlonego powyżej Default connectora na serwerze NEXUS, oczywiście nazwa serwera i connectora będą różniły się w zależności od środowiska):
remove-ADPermission –Identity ‘NEXUS\Default NEXUS’ -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Oczywiście tak “przycięty” connector powinien obsługiwać tylko anonimowy ruch z innych serwerów pocztowych, a nie ruch od naszych klientów POP3/IMAP4, bo wtedy klienci stracą możliwość wysyłania poczty.
Brak komentarzy:
Prześlij komentarz