BEZPIECZNA KOMUNIKACJA SMTP

Exchange 2007

OPEN RELAY

anonimowy użytkownik bądź zdalny serwer, bez

uwierzytelnienia przesyła na nasz serwer

pocztowy wiadomość, która jest adresowana do

użytkownika spoza naszej domeny, a nasz

serwer przesyła ją dalej.

Exchange od wersji 2003 domyślnie blokuje

open relay, a więc jest bezpieczny

TEMAT WYCZERPANY

Dziękuję za uwagę

ŻARTOWAŁEM

KONEKTORY

Exchange 2007 ma rozdzieloną komunikację

na konektory wysyłające i odbierające

Konektory znajdują się na serwerach Hub

Transport i Edge

Konektory odbierające znajdują się na każdym

serwerze transportowym

Konektory wysyłające definiowane są dla całej

organizacji

SEND CONNECTOR - SZABLONY

Custom

Internal

Internet

Partner (parametr TLSSendDomainSecureList

polecenia Set-TransportConfig)

RECEIVE CONNECTOR

Custom

Internal

Internet

Client (port 587)

Partner (parametr

TLSReceiveDomainSecureList polecenia Set-

ReceiveConnector)

DWA SCENARIUSZE

Scenariusz z jednym serwerem Exchange

Scenariusz z co najmniej jednym serwerem

Hub Transport i z serwerem Edge

SINGLE EXCHANGE 2007

Instalujemy komponenty antyspamowe

> cd „C:\Program

Files\Microsoft\Exchange

Server\Scripts”

> install-AntispamAgents.ps1

SINGLE EXCHANGE 2007

Włączamy dostęp dla anonymous users

Dwa sposoby:

1. Modyfikujemy konektor Default

2. Tworzymy dodatkowy konektor typu Internet

lub Custom na drugim adresie ip do

komunikacji z serwerami internetowymi

(słuszna metoda) i ustawiamy mu dostęp z

odpowiednich adresów ip

ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY

Domyślnie jest to możliwe

Tworzy to pole do popisu dla spammerów oraz oszustów

W Exchange 2003 wystarczyło dodać lokalne domeny do listy sender filter i włączyć ten filtr na internetowym virtual smtp

W Exchange 2007 nie możemy wyłączyć reguł antyspamowych na pojedynczych konektorach

Na szczęście mamy reguły transportowe

ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY

Tworzymy regułę transportową

warunek selekcji When From address contains specificwords

Wpisujemy w warunek listę lokalnych domen

w akcji wybieramy Send bounce message to sender with enhanced status code

Wybieramy wyjątek Except when the message is from users inside or outside the organization. W edycji reguły pozostawiamy wyraz inside.

Dzięki temu uwierzytelnione maile z wewnątrz będą akceptowane przez serwer.

EXCHANGE + EDGE

EXCHANGE + EDGE

Nie tworzymy Send Connectora

Subskrybujemy serwer Edge

Tworzymy plik subskrypcji na serwerze Edge poleceniem shellowym:

> New-EdgeSubscription –file "C:\edgesubscription.xml"

Kopiujemy powstały plik na jeden z serwerów z rolą Hub Transport i wykonujemy na nim polecenie:

> new-edgesubscription -filename "c:\edgesubscription.xml" -site "Default-First-Site-Name"

EXCHANGE + EDGE

Blokujemy mozliwość wysyłania anonimowych

maili w obrębie lokalnych domen na serwerze

Edge: w Sender Filtering w zakładce Blocked

Senders umieszczamy nasze domeny.

MISDIRECTED BOUNCES

Gdy serwer pocztowy najpierw zaakceptuje

wiadomość do użytkownika nieistniejącego w

danej organizacji, a dopiero później zdecyduje,

że nie może jej dostarczyć, to generuje zwrotkę

NDR na adres nadawcy

W przypadku spamu jest to duży problem –

rozsyłamy zwrotki na adresy niewinnych

użytkowników po całym Internecie

MISDIRECTED BOUNCES

Jeżeli widzimy w kolejce wygenerowane maile z

adresu <>, to oznacza, że nasz serwer generuje

zwrotki NDR, zazwyczaj na nieistniejące adresy

spamowe, które próbowały przesłać coś do

naszego serwera na nieistniejący adres

W takiej sytuacji spam powoduje podwójny ruch

– najpierw mail trafia do naszego serwera, a

następnie generowana jest zwrotka

MISDIRECTED BOUNCES

Rozwiązanie jest proste. Wystarczy włączyć

ptaszek: Block messages sent to recipients not

listed in Global Address List w Recipient

Filtering

RELAY OD ANONIMOWYCH UŻYTKOWNIKÓW

Domyślnie po nadaniu uprawnień dla Anonymous Users, grupa ta ma uprawnienia:

Ms-Exch-Accept-Headers-Routing

Ms-Exch-SMTP-Accept-Any-Sender

Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Ms-Exch-SMTP-Submit

Musimy nadać również uprawnienie: Ms-Exch-SMTP-Accept-Any-Recipient

Zakładamy Receive Connector typu Custom i dajemy uprawnienia dla Anonymous Users

Nadajemy uprawnienia dla anonimowych użytkowników:> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User

"NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

DZIĘKUJĘ

Teraz to już naprawdę koniec