E-mails encaminhados do Exchange 2010 por servidores externos bloqueados

Question

E-mails encaminhados do Exchange 2010 por servidores externos bloqueados

#1 resposta do (1 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Nossos usuários recebiam mensagens de spam de suas próprias contas (mesmo domínio / login, por exemplo, [email protected] para [email protected]). Este é um truque padrão e decidi bloqueá-lo para que usuários anônimos não possam enviar e-mails como @ company.com.

Isso trouxe alguns problemas para nós, como nossas impressoras não sendo capazes de enviar e-mails, etc, mas eu resolvi isso com o receptor secundário smtp em porta diferente com restrições de ip.

No entanto, parece afetar o encaminhamento também por alguns servidores de e-mail:

Hi. This is the qmail-send program at home.pl. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out.

: 89.14.1.26 failed after I sent the message. Remote host said: 550 5.7.1 Client does not have permissions to send as this sender

--- Below this line is a copy of the message.

Return-Path: Return-Path: Received: from mail.company.com [89.14.1.26] (HELO mail.company.com) by company.ho.pl [79.93.31.43] with SMTP (IdeaSmtpServer v0.70) id 488fcb01c2f069d9; Tue, 3 Jan 2012 09:46:55 +0100 Received: from EXCHANGE1.COMPANY ([fe80::d425:135f:b655:1223]) by EXCHANGE2.COMPANY ([fe80::193f:51ac:9316:cb27%14]) with mapi id 14.01.0355.002; Tue, 3 Jan 2012 09:46:55 +0100 From: =?iso-8859-2?Q?MadBoy?=

Então, basicamente, o servidor o encaminha sem afetar o endereço de e-mail com o qual foi enviado e nossos servidores o tratam como spam.

Eu usei este comando para bloquear as coisas:

Get-ReceiveConnector "DEFAULT Exchange2" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

Existe de qualquer forma eu posso continuar recebendo coisas como forwards, mas ser capaz de bloquear coisas (exceto algumas soluções antispam dedicadas - isso será adicionado mais tarde).

Além disso, como eu "reassing" de volta as permissões que foram removidas?

EDIT para esclarecer:

Eu tenho um domínio domain.com configurado como Authorative . Alguns de nossos usuários estão no projeto para differentcompany.com , que não está em nossos servidores nem em nenhum lugar próximo. Agora, quando eles enviam um e-mail de suas contas, digamos [email protected] para [email protected] esse alias especial é configurado para que qualquer e-mail seja encaminhado para várias pessoas, incluindo um alias de grupo em nosso domínio [email protected] e esse alias de grupo coloca o email nas caixas de correio dos usuários.

Após o e-mail ser encaminhado por [email protected] e chegar ao nosso servidor, ele é negado porque o encaminhamento feito pelo servidor "externo" não afeta as informações do usuário. Assim, para o servidor, parece que o [email protected] era realmente remetente e trata como spam e nega isso. O servidor em differentcompany.com apenas se adiciona ao cabeçalho que passou por ele e não modifica o remetente de qualquer maneira (parece que é assim que o encaminhamento funciona).

Embora eu provavelmente pudesse permitir que esse servidor em particular fosse retransmitido, mas isso parece afetar mais servidores / usuários, já que qualquer um pode configurar o encaminhamento em seus e-mails para nosso domínio ...

forwarding spam exchange-2010

por MadBoy 03.01.2012 / 10:08

3 respostas

Tags forwarding spam exchange-2010

CentOS: AJAX / jQuery não funciona O Windows XP não pode executar o arquivo binário no compartilhamento de rede

score 1 · Answer 1

Ah, sim, existe.

No novo conector de recebimento em que você emprega restrições de IP, adicione os servidores que precisam poder encaminhar como hosts remotos e forneça ao "NT AUTHORITY \ ANONYMOUS LOGON" a permissão ms-Exch-SMTP-Accept-Any-Sender , para permitir que o servidor de retransmissão seja retransmitido com qualquer endereço de remetente.

Get-ReceiveConnector "The name of the IP restricted one" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Sender"

Se o servidor de retransmissão também precisar enviar e-mails de fora da sua organização (acho que é isso que você quer dizer com encaminhamento), talvez seja necessário conceder a ms-Exch-SMTP-Accept-Any-Recipient permission

score 0 · Answer 2

Para remover a permissão:

remove-ADPermission -Identity <receive connector> -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Para restaurar a permissão que resolve o problema

add-ADPermission -Identity <receive connector> -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Parece não haver nenhuma maneira de contornar isso (deixando esta permissão removida e ter o trabalho de encaminhamento).

score 0 · Answer 3

Para as permissões, veja @MadBoy.

Se você souber que o IP do servidor de encaminhamento e o seu Exchange Server estão voltados para a Internet (NAT ou DMZ), você poderá adicionar o IP ao conector que aceita emails anônimos.

Não há necessidade de alterar a porta pelo caminho. Exchange sempre escolhe o conector com a combinação mais apertada.

Exemplo

O conector 1 aceita de 10.0.0.0/8
O conector 2 aceita de 10.3.4.5/32
O conector 3 aceita de qualquer pessoa

A conexão vem do 10.3.4.5, o conector 2 é escolhido. A conexão vem de 10.3.4.6, o conector 1 é escolhido.

Em relação ao seu aspecto, os usuários podem configurar mais encaminhamento externo. Se você considerar e-mails e tudo o que não é divertido em tudo. E se você permitir que o usuário configure isso, você terá problemas em algum momento. Se você puder dizer não a isso, eu diria que não.