1. Exchange 2007
BEZPIECZNA KOMUNIKACJA SMTP

2. OPEN RELAY
 anonimowy użytkownik bądź zdalny serwer, bez
uwierzytelnienia przesyła na nasz serwer
pocztowy wiadomość, która jest adresowana do
użytkownika spoza naszej domeny, a nasz
serwer przesyła ją dalej.
 Exchange od wersji 2003 domyślnie blokuje
open relay, a więc jest bezpieczny

3. TEMAT WYCZERPANY
 Dziękuję za uwagę

4. ŻARTOWAŁEM

5. KONEKTORY
 Exchange 2007 ma rozdzieloną komunikację
na konektory wysyłające i odbierające
 Konektory znajdują się na serwerach Hub
Transport i Edge
 Konektory odbierające znajdują się na każdym
serwerze transportowym
 Konektory wysyłające definiowane są dla całej
organizacji

6. SEND CONNECTOR - SZABLONY
 Custom
 Internal
 Internet
 Partner (parametr TLSSendDomainSecureList
polecenia Set-TransportConfig)

7. RECEIVE CONNECTOR
 Custom
 Internal
 Internet
 Client (port 587)
 Partner (parametr
TLSReceiveDomainSecureList polecenia Set-
ReceiveConnector)

8. DWA SCENARIUSZE
 Scenariusz z jednym serwerem Exchange
 Scenariusz z co najmniej jednym serwerem
Hub Transport i z serwerem Edge

9. SINGLE EXCHANGE 2007
 Instalujemy komponenty antyspamowe
> cd „C:Program
FilesMicrosoftExchange
ServerScripts”
> install-AntispamAgents.ps1

10. SINGLE EXCHANGE 2007
 Włączamy dostęp dla anonymous users
Dwa sposoby:
1. Modyfikujemy konektor Default
2. Tworzymy dodatkowy konektor typu Internet
lub Custom na drugim adresie ip do
komunikacji z serwerami internetowymi
(słuszna metoda) i ustawiamy mu dostęp z
odpowiednich adresów ip

11. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
 Domyślnie jest to możliwe
 Tworzy to pole do popisu dla spammerów oraz
oszustów
 W Exchange 2003 wystarczyło dodać lokalne
domeny do listy sender filter i włączyć ten filtr
na internetowym virtual smtp
 W Exchange 2007 nie możemy wyłączyć reguł
antyspamowych na pojedynczych konektorach
 Na szczęście mamy reguły transportowe

12. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
 Tworzymy regułę transportową
 warunek selekcji When From address contains specific
words
 Wpisujemy w warunek listę lokalnych domen
 w akcji wybieramy Send bounce message to sender with
enhanced status code
 Wybieramy wyjątek Except when the message is from
users inside or outside the organization. W edycji reguły
pozostawiamy wyraz inside.
 Dzięki temu uwierzytelnione maile z wewnątrz będą
akceptowane przez serwer.

13. EXCHANGE + EDGE

14. EXCHANGE + EDGE
 Nie tworzymy Send Connectora
 Subskrybujemy serwer Edge
 Tworzymy plik subskrypcji na serwerze Edge poleceniem
shellowym:
> New-EdgeSubscription –file
"C:edgesubscription.xml"
 Kopiujemy powstały plik na jeden z serwerów z rolą Hub
Transport i wykonujemy na nim polecenie:
> new-edgesubscription -filename
"c:edgesubscription.xml" -site
"Default-First-Site-Name"

15. EXCHANGE + EDGE
 Blokujemy mozliwość wysyłania anonimowych
maili w obrębie lokalnych domen na serwerze
Edge: w Sender Filtering w zakładce Blocked
Senders umieszczamy nasze domeny.

16. MISDIRECTED BOUNCES
 Gdy serwer pocztowy najpierw zaakceptuje
wiadomość do użytkownika nieistniejącego w
danej organizacji, a dopiero później zdecyduje,
że nie może jej dostarczyć, to generuje zwrotkę
NDR na adres nadawcy
 W przypadku spamu jest to duży problem –
rozsyłamy zwrotki na adresy niewinnych
użytkowników po całym Internecie

17. MISDIRECTED BOUNCES
 Jeżeli widzimy w kolejce wygenerowane maile z
adresu <>, to oznacza, że nasz serwer generuje
zwrotki NDR, zazwyczaj na nieistniejące adresy
spamowe, które próbowały przesłać coś do
naszego serwera na nieistniejący adres
 W takiej sytuacji spam powoduje podwójny ruch
– najpierw mail trafia do naszego serwera, a
następnie generowana jest zwrotka

18. MISDIRECTED BOUNCES
 Rozwiązanie jest proste. Wystarczy włączyć
ptaszek: Block messages sent to recipients not
listed in Global Address List w Recipient
Filtering

19. RELAY OD ANONIMOWYCH UŻYTKOWNIKÓW
 Domyślnie po nadaniu uprawnień dla Anonymous Users,
grupa ta ma uprawnienia:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
 Musimy nadać również uprawnienie:
Ms-Exch-SMTP-Accept-Any-Recipient
 Zakładamy Receive Connector typu Custom i dajemy
uprawnienia dla Anonymous Users
 Nadajemy uprawnienia dla anonimowych użytkowników:
> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User
"NT AUTHORITYANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-
Accept-Any-Recipient"

20. DZIĘKUJĘ
Teraz to już naprawdę koniec