Назад | Перейти на главную страницу

Анонимные разрешения по умолчанию для сервера Exchange - достаточно ли они безопасны?

Связанный: Exchange 2010 Анонимный пользователь с разрешением принимать любой отправитель?

Настройка Exchange 2013 по умолчанию для соединителя, для которого установлен параметр безопасности «Анонимные пользователи», предоставляет соединителю следующие права:

User                         ExtendedRights                                    Deny
----                         --------------                                    ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                             False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties}           False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}                    False
NT AUTHORITY\ANONYMOUS LOGON                                                   False
NT AUTHORITY\ANONYMOUS LOGON                                                   False

Очевидно, что требуется «Принимать любого отправителя», потому что в противном случае входящие электронные письма вообще не будут проходить, также требуется «Отправка SMTP». а как насчет "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender"? Право объяснено Вот как «Разрешить отправку из любого домена, размещенного в организации Exchange подключенного сервера», или из любого домена в Get-AcceptedDomain это указано как «Авторитетный». Я ожидаю, что это право является излишним и, откровенно говоря, вредным для поддержания, однако его отмена заставляет коннектор Exchange показать, что ни у кого нет достаточных прав для отправки почты через этот коннектор. Тем не менее, поток входящей почты от этого не прерывается.

Почему это право присутствует по умолчанию на соединителях Exchange с анонимной поддержкой? Достаточно ли безопасно удалить это право, поскольку никакие внешние устройства не должны отправлять почту через этот незащищенный соединитель (у него есть только STARTTLS в качестве параметра безопасности, и по умолчанию параметры аутентификации не определены)? И должен ли я когда-либо разрешать это право на любом незащищенном соединителе, при условии, что соединитель обращен в Интернет? А как насчет прав на «создание общей папки»?

Разрешения по умолчанию для соединителя получения безопасны для большинства реализаций. Включение анонимности - единственное, что нужно делать большинству сайтов. Однако отмеченное вами разрешение часто удаляется, чтобы попытаться решить проблемы со спуфингом, когда электронное письмо доставляется на ваш сервер со строкой От, такой же, как и в вашем собственном домене. Однако есть веские причины, по которым вы принимаете эти электронные письма - обычно это письмо от веб-сервера, который отправляет электронное письмо как something@example.com (example.com является вашим доменом) и отправляет копию внутреннему получателю. Поэтому вам нужно очень внимательно подумать, удалять ли разрешение или нет.