Permissões anônimas padrão do servidor Exchange - elas são seguras o suficiente?

Navegue suas respostas
1

Relacionados: Usuário anônimo do Exchange 2010 com aceitação-any- permissão do remetente?

Uma configuração padrão do Exchange 2013 para um conector que tenha a configuração de segurança "Usuários anônimos" conferida concede os seguintes direitos ao conector: 

User                         ExtendedRights                                    Deny
----                         --------------                                    ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                             False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties}           False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}                    False
NT AUTHORITY\ANONYMOUS LOGON                                                   False
NT AUTHORITY\ANONYMOUS LOGON                                                   False

"Aceitar qualquer remetente" é obviamente obrigatório, porque, do contrário, os e-mails recebidos não serão enviados. Também é necessário "Enviar SMTP". mas o que dizer de "ms-Exch-SMTP-Aceitar-Authoritative-Domain-Sender"? O direito é explicado aqui como "Permitir enviar como qualquer domínio hospedado na organização do Exchange do servidor conectado "ou qualquer domínio em Get-AcceptedDomain listado como" Autoritativo ". Espero que esse direito seja supérfluo e francamente prejudicial para a manutenção, mas a revogação disso faz com que o conector do Exchange mostre que ninguém tem direitos suficientes para enviar mensagens por meio desse conector. Ainda assim, o fluxo de mensagens recebidas não é interrompido por isso.

Por que esse direito está presente por padrão em conectores do Exchange habilitados para anonimato? É seguro o suficiente remover esse direito, já que nenhum dispositivo externo deve enviar e-mails através desse conector desprotegido (ele só tem STARTTLS como opção de segurança e nenhuma configuração de autenticação é definida por padrão)? E devo permitir isso sempre em algum conector desprotegido, desde que o conector esteja voltado para a Internet? E quanto aos direitos de "criar pasta pública"?

    
por Vesper 18.04.2017 / 11:17

1 resposta

1

As permissões padrão no Conector de Recebimento são seguras para a maioria das implementações. Habilitar o Anonymous é a única coisa que a maioria dos sites tem que fazer. No entanto, a permissão que você sinalizou é geralmente removida para tentar lidar com problemas de falsificação, em que o email é entregue ao servidor com a linha De igual ao seu próprio domínio. Existem, no entanto, razões válidas para aceitar esses e-mails - um comum de um servidor da web que envia e-mails como [email protected] (example.com é seu domínio) e envia uma cópia para um destinatário interno. Portanto, você precisa considerar com muito cuidado se deve remover a permissão ou não.

    
por 18.04.2017 / 15:59

Tags

Postfix - recipient_delimiter para a pasta de correio Usuário interno que recebe milhares de mensagens do NDR