Virtual Study

12 maja 2010

Jak blokować spam od samego siebie?

Od czasu do czasu na forach Exchange pojawiają się pytania o blokowanie spamu przychodzących z zewnątrz, gdzie przesyłka w polu nadawcy ma adres pocztowy odbiorcy. Sam nie mam takiego problemu – hostowany antyspam, którego używam automatycznie kasuje takie kwiatki. Ale w jednym z wątków na wss.pl, padła odpowiedź, która przypomniała mi o zaawansowanych atrybutach bezpieczeństwa na konektorach odbierających pocztę w serwerze Exchange 2007 lub 2010. Jak widać na poniższym rysunku dla użytkownika anonimowego takich praw jest całkiem sporo.

connector-extperm

Zaznaczenie we właściwościach Receive Connectora pola zezwalającego na dostęp grupy Anonymous dodaje wbudowanemu kontu ANONYMOUS LOGON prawa:

  • Ms-Exch-Accept-Headers-Routing
  • Ms-Exch-SMTP-Accept-Any-Sender
  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • Ms-Exch-SMTP-Submit

Żeby umożliwić anonimowy relaying na konektorze trzeba dodatkowo dodać ręcznie (czyli z Management Shella) prawo Ms-Exchange-SMTP-Accept-Any-Recipient dla tego użytkownika, co opisane jest w helpie zaróno do wersji Exchange 2007 jak i 2010.

Żeby jednak zablokować odbieranie poczty od teoretycznie naszych własnych użytkowników należy usunąć domyślne prawo Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender. W tym celu w Management Shellu musimy wykonać komendę (dla wyświetlonego powyżej Default connectora na serwerze NEXUS, oczywiście nazwa serwera i connectora będą różniły się w zależności od środowiska):

remove-ADPermission –Identity ‘NEXUS\Default NEXUS’ -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Oczywiście tak “przycięty” connector powinien obsługiwać tylko anonimowy ruch z innych serwerów pocztowych, a nie ruch od naszych klientów POP3/IMAP4, bo wtedy klienci stracą możliwość wysyłania poczty.

Understanding Receive Connectors – Exchange 2010 Help

Brak komentarzy: