我有一台 Small Business Server 2003(Exchange 2003 SP2)。在 PCI 合规性审计期间,它被标记为未通过开放中继。我使用 telnet 进行测试,结果如下:
MAIL FROM: <[email protected]>
250 2.1.0 [email protected] OK
RCPT TO: <"[email protected]">
250 2.1.5 "[email protected]"@mydomain.com
只要地址格式不正确,中继就会失败。服务器总是返回 250 状态,但也总是将我的域名添加到地址末尾。
我已将服务器配置为仅为 IIS 站点的错误报告模块上配置的内部 IP 地址进行中继。
使用有效的电子邮件地址(但格式错误,带有引号和尖括号)进行测试导致未收到任何邮件。有没有办法利用这一点?如果有,我该如何禁用它?
答案1
我想说举证责任在他们身上——他们需要证明它实际上正在传递到封装的地址,因此这是一个漏洞。
你无法证明否定;你无法证明所有可能的地址错误组合都会被拒绝。 模糊测试您不应期望提供电子邮件服务器的收件人地址字段来证明合规性;测试这些内容并报告发现的任何问题才是扫描仪获得报酬的原因。
对于未送达的邮件(尤其是垃圾邮件),始终都会出现接受响应 - 根据特定响应代码假设开放中继是不负责任的。我见过的每个此类扫描供应商实际上都会将消息发送到互联网地址,以便他们能够确认是否可以成功中继。
您的测试表明,尽管有响应代码,但邮件并未被中继,并且在末尾添加您的域名进一步证明邮件绝对不会发往任何地方。但是,他们可能以不同的方式扭曲了地址,并看到了不同的行为。询问他们发送的确切流量和他们得到的确切响应,以及他们的扫描是否确认通过互联网中继。如果他们这样做了,请重现它;这应该是您需要在此处执行的尽职调查的范围。
如果他们不能证明你确实容易受到此漏洞的攻击,那么他们的扫描就毫无意义,你应该对他们的发现提出异议。