RSS

exchange2007管理ps之 防止邮件地址仿冒

19 Jan

一般邮件的结构如下:

mail from:p1
rcpt to:
From:p2
to:
subject:

P1,P2这两个smtp的概念,需要你自己去查找信息。winos的版主actionxp写了如下的文档。

对于Exchange 2007,由于使用了新的 Transport Permissions model, 我们可以很容易地控制邮件头的仿冒。Receive Connector 有一个特殊权限 ms-exch-smtp-accept-authoritative-domain-sender 。 这个权限代表了 Accepted Domain 是否能够被用在 SMTP传输过程中的 MAIL 或者 FROM 命令中。由于外部邮件都是通过匿名进来的, 因此,我们只需要把匿名发信者的这个权限去掉,匿名发信者就不再能够用 accepted domain中任意一个域名发信了。
范例命令行:
Get-ReceiveConnector "My Test ReceiveConnector" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
好了,这就搞定了。 这以后,如果再试图用匿名连接来去仿冒 P1, P2, 就会得到“550 5.7.1 Client does not have permissions to send as this sender” 的错误。

——————

说一下一些问题:

1、smtp发送连接器对端口的侦听是唯一的。即是说,如果默认端口25是default connector侦听的,那么其他发送连接器就无法侦听该端口。

发邮件的方式:有些应用为了方便会在p1和p2上使用你公司的邮件域,而发送邮件服务器是他自己建立的。此时你会发现用户会收到对方邮件服务器产生的ndr”550 5.7.1 Client does not have permissions to send as this sender“。

2、一般来说,你公司会有一些内部应用采用了如上所说的发邮件方式。那么你需要新建另外一个发送连接器,然后侦听某个端口,仅可让内网用户连接。解决该问题。

如果你公司有使用saas的服务,而对方也采用该发送邮件的方式。那么你可以询问对方

!1是否能重写p1和p2为他自己的邮件域。仅需要对方修改,但是公司内收到的邮件可能无法判断是谁提交的。
!2是否能修改smtp发送的默认端口。这个比较完美,但是一般saas服务商不愿意修改(对方的smtp服务器可能只有一个全局设置,一旦修改他所有的客户都得改)
!3是否能使用本公司提供的可通过验证的邮箱发送(非常不推荐)

actionxp版提到:如果公司的Internet 接口有多余的IP, 偷偷开一个port 25 ,映射到内部的Exchange Edge/Hub上的某 receive connector占有的IP上,不要更新任何 DNS记录。告诉对方公司就用这个IP.
当然,这个Internet IP 需要做一些限制,比如限制哪些Internet IP可以连接,以免被扫描。

Advertisements
 
Leave a comment

Posted by on January 19, 2009 in Exchange Server

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: