У нас есть API, который отправляет электронную почту. Я пытался настроить Exchange O365, чтобы сервер API мог отправлять электронную почту без аутентификации. Я внес некоторые изменения и протестировал, и это сработало, отлично! Но потом я протестировал с другого сервера, и он все еще работал. Ой. Я отменил все внесенные мной изменения, поэтому он должен вернуться в состояние развертывания, а реле по-прежнему работает.
Конечно, этого не ожидали, я что-то пропустил?
Я сделал следующие шаги:
Опять же, я отменил все эти изменения, и я все еще могу ретранслировать почту через свой сервер, используя telnet, подключенный к mydomainname-com.mail.protection.outlook.com.
Что еще я могу проверить, чтобы отключить это?
Игнорирование SPF, DKIM, DMARC и тд и тп на минуту:
По сути, так работает SMTP. Отправка электронной почты через сервер, являющийся полномочным для домена, на который вы отправляете электронную почту, не требует аутентификации. Если это так, то всем в мире нужно будет пройти аутентификацию на каждом почтовом сервере в мире, чтобы отправлять кому-либо электронную почту.
Если я подключусь к вашему почтовому серверу с помощью telnet, чтобы отправить вам электронное письмо, то ваш сервер примет мое соединение, примет электронное письмо и доставит его в ваш почтовый ящик. В этом сценарии я отправляю электронное письмо К ваш сервер для кого-то, у кого есть почтовый ящик, для которого ваш сервер является полномочным ... более конкретно, я отправляю электронное письмо кому-то, у кого есть почтовый ящик и домен электронной почты, для которого ваш сервер является полномочным. это НЕ ЯВЛЯЕТСЯ ретрансляция.
Если я подключусь к вашему серверу через Telnet и попытаюсь отправить электронное письмо на адрес электронной почты за пределами вашей организации, ваш сервер отклонит мою попытку. В этом сценарии я пытаюсь отправить электронное письмо ЧЕРЕЗ ваш сервер кому-то, у кого есть почтовый ящик / домен электронной почты, для которого ваш сервер не является полномочным. это ЯВЛЯЕТСЯ ретрансляция.
Создание коннектора отправки для IP-адреса вашего API, вашего веб-сервера, вашего принтера и т. Д. И т. Д. Является формой «аутентифицированной ретрансляции». В этом сценарии вы сообщаете своему почтовому серверу, что этим IP-адресам разрешено отправлять электронную почту через этот соединитель на адреса электронной почты за пределами вашей организации, которыми может быть любой домен электронной почты, для которого ваш сервер не является полномочным. Существует несколько «форм» ретрансляции с аутентификацией, это только одна.
Exchange Online - это НЕ открытое реле, как вы правильно заметили.