O Exchange permite a retransmissão interna anônima por padrão. Essa é a melhor prática?

Navegue suas respostas
1

É surpreendente quantos clientes vejo que fazem um conector de recebimento específico para determinados endereços IP remotos (rede interna) para permitir retransmissão interna anônima.

Tornou-se surpreendente para mim (e para eles) depois de saber que o Exchange permite internamente a retransmissão anônima por padrão, efetivamente tornando esse conector de recebimento adicional totalmente supérfluo.

Esse tem sido o comportamento padrão desde pelo menos o Exchange 2010, até onde eu posso ver.

Agora estou pensando:

  • É realmente muito bom / seguro permitir retransmissão anônima internamente por padrão (a segurança é a razão pela qual os clientes criam um conector separado em primeiro lugar; portanto, eles podem limitar isso a apenas alguns dispositivos / aplicativos internos) ?

  • Qual é a melhor prática? O relé interno deve ser limitado de alguma forma e, em caso afirmativo, como? Normalmente, é uma prática recomendada não modificar os conectores padrão.

por Jozef Woo 01.05.2018 / 10:33

1 resposta

0

Sim, precisamos ativar "Usuários anônimos" no conector de recebimento para que possamos aceitar mensagens da Internet .

Para evitar que a retransmissão anônima seja interna, podemos remover a permissão ms-exch-smtp-accept-authoritative-domain-sender para Usuários anônimos , por exemplo: 

Get-ReceiveConnector "Default Frontend <Server>" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

No entanto, isso não afeta a mensagem falsificada externa. Para evitar isso, precisamos implantar o firewall anti-spam.

    
por 07.05.2018 / 05:17

Tags

Como recuperar dados - do Software RAID1 - o MBR é perdido nas duas unidades ICINGA monitora o espaço de uma pasta