我对我们的 Exchange 2010 中的接收方连接器配置有些怀疑,默认接收方连接器配置为允许“匿名用户”连接。
我们的邮件网关位于 DMZ 区域,有 2 个 Exchange 服务器在 DAG 下运行,并且没有 Edge 传输角色。
我有几个问题:
1. 我们的邮件网关通过端口 25 连接,这意味着它连接到这个默认的接收器连接器,对吗?
2. 是否需要“匿名用户”以及为什么?邮件网关通常会验证自己的身份吗(我在我们的邮件网关中找不到这样的设置)?
3. “匿名用户”拥有“ms-Exch-SMTP-Accept-Any-Sender”权限。不确定是谁授予的,是否应该将其删除,或者是否需要它才能从外部域(从我们的邮件网关)接收电子邮件?
之所以问这个问题,是因为这个连接器也用于内部中继。因此,如果“匿名用户”拥有此权限,任何人都可以以任何人的身份发送,这难道不是安全风险吗?
任何帮助都非常感谢!
答案1
要接受来自互联网的电子邮件,您必须启用匿名功能。因此,您看到的设置是正确的。您需要检查设备是否可以通过身份验证将电子邮件发送到您的服务器,以决定是否要更改它。如果无法进行身份验证,则必须保持匿名启用状态。
但是,如果 Exchange 服务器无法从外部看到,我就不用担心了。此外,如果您有内部发送电子邮件的设备(例如打印机、扫描仪等),它们在向内部收件人发送电子邮件时通常不需要进行身份验证。身份验证通常仅用于中继。
因此匿名是正常的并且是意料之中的。
第二个权限是默认权限。例如,它允许打印机发送[电子邮件保护]并让服务器接受它。有些人会删除权限,这是阻止欺骗的粗暴方法。但是,它只对面向外部的系统有效。如果您前面有一个网关,那么它的有效性就会受到限制。电子邮件已被接受,然后会被退回,因此您正在浪费带宽。欺骗控制应该在交付时完成。