Назад | Перейти на главную страницу

Учетная запись пользователя была заблокирована на сервере обмена - как предотвратить в будущем?

Сегодня утром у меня произошел странный случай, и я надеюсь, что кто-нибудь поможет мне пролить свет на то, что произошло.

Пользователь пожаловался на то, что сегодня утром его заблокировали. После сброса пароля мы заметили, что учетная запись снова была почти мгновенно заблокирована. Мы просмотрели журналы аудита, чтобы обнаружить, что запросы исходят от нашего сервера Exchange - чего я никогда раньше не видел.

Мы просмотрели журналы OWA и обнаружили, что в них нет записей, соответствующих этому имени пользователя. Мы отключили OWA, ActiveSync, MAPI и т. Д., И учетная запись по-прежнему была заблокирована.

После просмотра журналов просмотра событий на сервере Exchange мы наткнулись на эту запись.

Сбой входящей проверки подлинности с ошибкой LogonDenied для получающего соединителя EMAILSERVER по умолчанию. Механизм аутентификации - Логин. Исходный IP-адрес клиента, который попытался аутентифицироваться в Microsoft Exchange, - [XX.XX.XX.XX].

Нам некуда было повернуться, и мы заблокировали трафик с этого IP-адреса, и блокировки учетных записей прекратились. Это был общедоступный IP-адрес, относящийся к стране, из которой я не ожидал получать много почты.

Мои вопросы:

Как этот IP-адрес пытался аутентифицироваться? Я не вижу в своих журналах ничего, что имело бы какое-то значение для меня в отношении вектора, в который они пытались войти.
Как я могу предотвратить это в будущем? Это Exchange 2010 с пакетом обновления 3 (SP3), и, к сожалению, пограничный транспорт на данный момент не является приемлемым вариантом :(

exchange-2010 brute-force-attacks

«Соединитель получения» означает SMTP. Посмотрите журналы вашего транспортного коннектора.

Если у вас нет веской причины, вы не должны позволять пользователям Exchange проходить проверку подлинности на внешнем коннекторе SMTP. Это предотвратит возникновение этой проблемы.

У вас должно быть:

Один коннектор приема, предназначенный для получения электронной почты из Интернета, с включенным только TLS (и, возможно, Mutual TLS Auth).

Если у вас есть что-то еще, для чего нужен SMTP, у вас должно быть больше коннекторов:

Если у вас есть устройства в вашей сети (например, копировальные аппараты / сканеры), которые необходимо отправлять вашим пользователям, тогда у вас должен быть разъем для этого. Это должно иметь включенные TLS и аутентификацию, но ограничено определенной учетной записью службы.
Если у вас есть внутренние устройства, которые не поддерживают аутентификацию или TLS, тогда другой соединитель должен быть настроен с ограничениями IP.
Внешние пользователи, которым необходимо отправлять сообщения через аутентифицированный SMTP, должны быть на другом порту (обычно 587) и должны использовать TLS.