У меня Small Business Server 2003 (Exchange 2003 SP2). Во время аудита соответствия PCI он был отмечен как отказавший открытое реле. Я использовал telnet для тестирования и вот что нашел:
MAIL FROM: <test@test.com>
250 2.1.0 test@test.com....Sender OK
RCPT TO: <"relaytest@test.com">
250 2.1.5 "relaytest@test.com"@mydomain.com
Реле выходит из строя всякий раз, когда адрес искажен. Сервер всегда возвращает статус 250, но также всегда добавляет мое доменное имя в конец адреса.
У меня есть сервер, настроенный на ретрансляцию только для внутреннего IP-адреса, настроенного в модуле отчетов об ошибках сайта IIS.
Тестирование с действительным адресом электронной почты (но с неправильным форматом кавычек и угловых скобок) не привело к получению почты. Есть ли способ использовать это, и если да, то как мне это отключить?
Я бы сказал, что бремя доказательства лежит на них - им нужно продемонстрировать, что он действительно ретранслируется на инкапсулированный адрес, чтобы это было уязвимостью.
Вы не можете доказать отрицание; у вас нет возможности продемонстрировать, что все возможные комбинации неправильного формирования адреса будут отклонены. Расплывание поле адреса получателя вашего почтового сервера не должно ожидаться от вас для подтверждения соответствия; тестирование этих вещей и отчеты о любых обнаруженных проблемах - вот за что платят сканеру.
Ответ принятия происходит постоянно для сообщений, которые не были доставлены (в частности, для спама) - с их стороны безответственно предполагать открытое реле на основе определенного кода ответа. Каждый поставщик сканирования этого типа, которого я видел, фактически отправляет сообщение на интернет-адрес, чтобы они могли подтвердить, могут ли они успешно ретранслировать.
Ваше тестирование показало, что, несмотря на код ответа, сообщение не ретранслируется, и добавление вашего домена в конце является дополнительным доказательством того, что сообщение никуда не направляется. Однако они могли иначе сформировать адрес и увидеть другое поведение. Спросите их, какой именно трафик они отправляют и какой точный ответ они получили, а также подтвердили ли их сканирование ретрансляцию через Интернет. Если они сделали, воспроизведите это; это должно быть степенью должной осмотрительности, которую вам необходимо здесь выполнить.
Если они не докажут, что вы действительно уязвимы для этой уязвимости, их сканирование бессмысленно, и вам следует оспорить их выводы.