Удивительно, сколько клиентов, которых я вижу, создают специальный коннектор приема для определенных удаленных IP-адресов (внутренней сети), чтобы разрешить анонимную внутреннюю ретрансляцию.
Для меня (и для них) это стало неожиданностью после того, как я узнал, что Exchange разрешает внутреннюю анонимную ретрансляцию по умолчанию, фактически делая этот дополнительный соединитель приема совершенно ненужным.
Насколько я понимаю, это поведение по умолчанию, по крайней мере, с Exchange 2010.
Теперь мне интересно:
Неужели так хорошо и безопасно разрешить внутреннюю анонимную ретрансляцию по умолчанию (безопасность - это причина, по которой клиенты в первую очередь создают отдельный соединитель; поэтому они могут ограничить это только несколькими внутренними устройствами / приложениями)?
Какая лучшая практика? Следует ли каким-либо образом ограничивать внутреннее реле, и если да, то как? Обычно рекомендуется не изменять соединители по умолчанию.
Да, нам нужно включить "Анонимных пользователей" на соединителе получения, чтобы мы могли принять сообщение из Интернета.
Чтобы предотвратить анонимное реле от внутреннего, мы можем удалить мс-exch-smtp-accept-авторитетный-домен-отправитель разрешение на Анонимные пользователи, например:
Get-ReceiveConnector "Default Frontend <Server>" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
Однако это не влияет на внешнее поддельное сообщение. Чтобы предотвратить это, нам нужно развернуть брандмауэр для защиты от спама.