2. OPEN RELAY
anonimowy użytkownik bądź zdalny serwer, bez
uwierzytelnienia przesyła na nasz serwer
pocztowy wiadomość, która jest adresowana do
użytkownika spoza naszej domeny, a nasz
serwer przesyła ją dalej.
Exchange od wersji 2003 domyślnie blokuje
open relay, a więc jest bezpieczny
5. KONEKTORY
Exchange 2007 ma rozdzieloną komunikację
na konektory wysyłające i odbierające
Konektory znajdują się na serwerach Hub
Transport i Edge
Konektory odbierające znajdują się na każdym
serwerze transportowym
Konektory wysyłające definiowane są dla całej
organizacji
8. DWA SCENARIUSZE
Scenariusz z jednym serwerem Exchange
Scenariusz z co najmniej jednym serwerem
Hub Transport i z serwerem Edge
9. SINGLE EXCHANGE 2007
Instalujemy komponenty antyspamowe
> cd „C:Program
FilesMicrosoftExchange
ServerScripts”
> install-AntispamAgents.ps1
10. SINGLE EXCHANGE 2007
Włączamy dostęp dla anonymous users
Dwa sposoby:
1. Modyfikujemy konektor Default
2. Tworzymy dodatkowy konektor typu Internet
lub Custom na drugim adresie ip do
komunikacji z serwerami internetowymi
(słuszna metoda) i ustawiamy mu dostęp z
odpowiednich adresów ip
11. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
Domyślnie jest to możliwe
Tworzy to pole do popisu dla spammerów oraz
oszustów
W Exchange 2003 wystarczyło dodać lokalne
domeny do listy sender filter i włączyć ten filtr
na internetowym virtual smtp
W Exchange 2007 nie możemy wyłączyć reguł
antyspamowych na pojedynczych konektorach
Na szczęście mamy reguły transportowe
12. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY
Tworzymy regułę transportową
warunek selekcji When From address contains specific
words
Wpisujemy w warunek listę lokalnych domen
w akcji wybieramy Send bounce message to sender with
enhanced status code
Wybieramy wyjątek Except when the message is from
users inside or outside the organization. W edycji reguły
pozostawiamy wyraz inside.
Dzięki temu uwierzytelnione maile z wewnątrz będą
akceptowane przez serwer.
14. EXCHANGE + EDGE
Nie tworzymy Send Connectora
Subskrybujemy serwer Edge
Tworzymy plik subskrypcji na serwerze Edge poleceniem
shellowym:
> New-EdgeSubscription –file
"C:edgesubscription.xml"
Kopiujemy powstały plik na jeden z serwerów z rolą Hub
Transport i wykonujemy na nim polecenie:
> new-edgesubscription -filename
"c:edgesubscription.xml" -site
"Default-First-Site-Name"
15. EXCHANGE + EDGE
Blokujemy mozliwość wysyłania anonimowych
maili w obrębie lokalnych domen na serwerze
Edge: w Sender Filtering w zakładce Blocked
Senders umieszczamy nasze domeny.
16. MISDIRECTED BOUNCES
Gdy serwer pocztowy najpierw zaakceptuje
wiadomość do użytkownika nieistniejącego w
danej organizacji, a dopiero później zdecyduje,
że nie może jej dostarczyć, to generuje zwrotkę
NDR na adres nadawcy
W przypadku spamu jest to duży problem –
rozsyłamy zwrotki na adresy niewinnych
użytkowników po całym Internecie
17. MISDIRECTED BOUNCES
Jeżeli widzimy w kolejce wygenerowane maile z
adresu <>, to oznacza, że nasz serwer generuje
zwrotki NDR, zazwyczaj na nieistniejące adresy
spamowe, które próbowały przesłać coś do
naszego serwera na nieistniejący adres
W takiej sytuacji spam powoduje podwójny ruch
– najpierw mail trafia do naszego serwera, a
następnie generowana jest zwrotka
18. MISDIRECTED BOUNCES
Rozwiązanie jest proste. Wystarczy włączyć
ptaszek: Block messages sent to recipients not
listed in Global Address List w Recipient
Filtering
19. RELAY OD ANONIMOWYCH UŻYTKOWNIKÓW
Domyślnie po nadaniu uprawnień dla Anonymous Users,
grupa ta ma uprawnienia:
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Musimy nadać również uprawnienie:
Ms-Exch-SMTP-Accept-Any-Recipient
Zakładamy Receive Connector typu Custom i dajemy
uprawnienia dla Anonymous Users
Nadajemy uprawnienia dla anonimowych użytkowników:
> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User
"NT AUTHORITYANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-
Accept-Any-Recipient"