2006 06-16 pepug-hcl_poznan_-_jacek_kochan_-_bezpieczna_komunikacja_smtp
-
Upload
ziemek-borowski -
Category
Documents
-
view
245 -
download
3
description
Transcript of 2006 06-16 pepug-hcl_poznan_-_jacek_kochan_-_bezpieczna_komunikacja_smtp
BEZPIECZNA KOMUNIKACJA SMTP
Exchange 2007
OPEN RELAY
anonimowy użytkownik bądź zdalny serwer, bez
uwierzytelnienia przesyła na nasz serwer
pocztowy wiadomość, która jest adresowana do
użytkownika spoza naszej domeny, a nasz
serwer przesyła ją dalej.
Exchange od wersji 2003 domyślnie blokuje
open relay, a więc jest bezpieczny
TEMAT WYCZERPANY
Dziękuję za uwagę
ŻARTOWAŁEM
KONEKTORY
Exchange 2007 ma rozdzieloną komunikację
na konektory wysyłające i odbierające
Konektory znajdują się na serwerach Hub
Transport i Edge
Konektory odbierające znajdują się na każdym
serwerze transportowym
Konektory wysyłające definiowane są dla całej
organizacji
SEND CONNECTOR - SZABLONY
Custom
Internal
Internet
Partner (parametr TLSSendDomainSecureList
polecenia Set-TransportConfig)
RECEIVE CONNECTOR
Custom
Internal
Internet
Client (port 587)
Partner (parametr
TLSReceiveDomainSecureList polecenia Set-
ReceiveConnector)
DWA SCENARIUSZE
Scenariusz z jednym serwerem Exchange
Scenariusz z co najmniej jednym serwerem
Hub Transport i z serwerem Edge
SINGLE EXCHANGE 2007
Instalujemy komponenty antyspamowe
> cd „C:\Program
Files\Microsoft\Exchange
Server\Scripts”
> install-AntispamAgents.ps1
SINGLE EXCHANGE 2007
Włączamy dostęp dla anonymous users
Dwa sposoby:
1. Modyfikujemy konektor Default
2. Tworzymy dodatkowy konektor typu Internet
lub Custom na drugim adresie ip do
komunikacji z serwerami internetowymi
(słuszna metoda) i ustawiamy mu dostęp z
odpowiednich adresów ip
ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
Domyślnie jest to możliwe
Tworzy to pole do popisu dla spammerów oraz oszustów
W Exchange 2003 wystarczyło dodać lokalne domeny do listy sender filter i włączyć ten filtr na internetowym virtual smtp
W Exchange 2007 nie możemy wyłączyć reguł antyspamowych na pojedynczych konektorach
Na szczęście mamy reguły transportowe
ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
Tworzymy regułę transportową
warunek selekcji When From address contains specificwords
Wpisujemy w warunek listę lokalnych domen
w akcji wybieramy Send bounce message to sender with enhanced status code
Wybieramy wyjątek Except when the message is from users inside or outside the organization. W edycji reguły pozostawiamy wyraz inside.
Dzięki temu uwierzytelnione maile z wewnątrz będą akceptowane przez serwer.
EXCHANGE + EDGE
EXCHANGE + EDGE
Nie tworzymy Send Connectora
Subskrybujemy serwer Edge
Tworzymy plik subskrypcji na serwerze Edge poleceniem shellowym:
> New-EdgeSubscription –file "C:\edgesubscription.xml"
Kopiujemy powstały plik na jeden z serwerów z rolą Hub Transport i wykonujemy na nim polecenie:
> new-edgesubscription -filename "c:\edgesubscription.xml" -site "Default-First-Site-Name"
EXCHANGE + EDGE
Blokujemy mozliwość wysyłania anonimowych
maili w obrębie lokalnych domen na serwerze
Edge: w Sender Filtering w zakładce Blocked
Senders umieszczamy nasze domeny.
MISDIRECTED BOUNCES
Gdy serwer pocztowy najpierw zaakceptuje
wiadomość do użytkownika nieistniejącego w
danej organizacji, a dopiero później zdecyduje,
że nie może jej dostarczyć, to generuje zwrotkę
NDR na adres nadawcy
W przypadku spamu jest to duży problem –
rozsyłamy zwrotki na adresy niewinnych
użytkowników po całym Internecie
MISDIRECTED BOUNCES
Jeżeli widzimy w kolejce wygenerowane maile z
adresu <>, to oznacza, że nasz serwer generuje
zwrotki NDR, zazwyczaj na nieistniejące adresy
spamowe, które próbowały przesłać coś do
naszego serwera na nieistniejący adres
W takiej sytuacji spam powoduje podwójny ruch
– najpierw mail trafia do naszego serwera, a
następnie generowana jest zwrotka
MISDIRECTED BOUNCES
Rozwiązanie jest proste. Wystarczy włączyć
ptaszek: Block messages sent to recipients not
listed in Global Address List w Recipient
Filtering
RELAY OD ANONIMOWYCH UŻYTKOWNIKÓW
Domyślnie po nadaniu uprawnień dla Anonymous Users, grupa ta ma uprawnienia:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Musimy nadać również uprawnienie: Ms-Exch-SMTP-Accept-Any-Recipient
Zakładamy Receive Connector typu Custom i dajemy uprawnienia dla Anonymous Users
Nadajemy uprawnienia dla anonimowych użytkowników:> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User
"NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
DZIĘKUJĘ
Teraz to już naprawdę koniec