A conta de usuário foi bloqueada do Exchange Server - como evitar no futuro?

Navegue suas respostas
4

Eu tive um exemplo bizarro esta manhã e espero que alguém possa me ajudar a esclarecer o que aconteceu.

Um usuário reclamou de ser trancado hoje de manhã. Depois de redefinir a senha, percebemos que a conta foi praticamente instantaneamente bloqueada novamente. Analisamos os registros de auditoria para descobrir que as solicitações vinham do nosso servidor Exchange - algo que eu nunca havia visto antes.

Analisamos os logs do OWA para descobrir que não havia entradas correspondentes a esse nome de usuário. Desativamos o OWA, o ActiveSync, o MAPI, etc., e a conta continuou bloqueada.

Depois de procurar nos registros do visualizador de eventos no servidor Exchange, nos deparamos com essa entrada.

Inbound authentication failed with error LogonDenied for Receive connector Default EMAILSERVER. The authentication mechanism is Login. The source IP address of the client who tried to authenticate to Microsoft Exchange is [XX.XX.XX.XX].

Com nenhum lugar para virar, o tráfego do endereço IP e os bloqueios da conta cessaram. Este foi um endereço IP público que resolveu para um país onde eu não esperaria receber muitos emails.

Minhas perguntas são:

  • Como esse endereço IP tentou se autenticar? Não consigo ver nada em meus registros que faça algum sentido para mim quanto ao vetor que eles tentaram efetuar login.
  • Como posso evitar que isso aconteça no futuro? Este é o Exchange 2010 SP3 e, infelizmente, o Edge Transport não é uma opção viável neste ponto: (
por DKNUCKLES 17.04.2014 / 16:45

1 resposta

6

"Conector de recebimento" significa SMTP. Veja seus registros do conector de transporte.

A menos que você tenha um bom motivo, você não deve permitir que os usuários do Exchange se autentiquem em um conector SMTP externo. Isso impediria que esse problema acontecesse.

Você deve ter:

  • Um conector de recebimento dedicado a receber e-mails da Internet com apenas TLS (e possivelmente a autenticação mútua de TLS) ativada.

Se você tiver mais alguma coisa que precise de SMTP, deverá ter mais conectores:

  • Se você tem dispositivos dentro de sua rede (como copiadoras / scanners) que precisam enviar para seus usuários, então você deve ter um conector para isso. Isso deve ter o TLS e a autenticação ativados, mas restritos a uma conta de serviço específica.
  • Se você tiver dispositivos internos que não suportam auth ou TLS, outro conector deverá ser configurado com restrições de IP.
  • Os usuários externos que precisam enviar via SMTP autenticado devem estar em uma porta diferente (geralmente 587) e obrigados a usar o TLS.
por 17.04.2014 / 17:11

Tags

CPU 100% inativa, mas ainda mostrando a média de carregamento Como fazer um proxy Nginx em cache existente usar outro proxy para ignorar um firewall?