寻找有关此 Exchange 2007 管理外壳 (Powershell) 命令的功能以及它如何影响接收连接器处的 TLS 的说明:MS-EXCH-SMTP 接受权威域发件人
在我担任系统管理员的公司,大约 3 个月前,我们几乎每天都会收到“欺骗性”电子邮件。这些“欺骗性”电子邮件的“发件人”通常是我们的 CEO 或域管理员。为了缓解这种情况,我将默认的 Exchange“互联网”接收连接器设置为不允许匿名(编辑)中继使用 Exchange 管理 Shell (Powershell) 命令,并创建单独的 RC,以允许使用一组白名单 IP(具有扫描到电子邮件功能的异地复印机、Constant Contact 等)进行匿名身份验证。这很有效,欺骗完全停止了。
但问题是,现在似乎没有人试图“代表”或“通过”其他人发送任何东西,可以将电子邮件发送给我们(除非他们使用第三方、SendGrid、Constant Contact 等验证 TLS)。我以为禁用匿名身份验证只是为了我们的组织,但似乎也影响了所有外部各方(编辑:我现在知道这不是真的)。
答案1
已编辑:经过大量评论;
改变价值MS-EXCH-SMTP 接受权威域发件人很有用,因为它可以阻止您的服务器充当活动中继。它仅适用于您自己的组织。(您的 Exchange GUI 中列出的域是权威的)
服务器按照你的意愿阻止此类请求,因为该值使服务器拒绝任何电子邮件在发件人来自权威域名您的 MSExchange 通过其面向互联网的接收连接器进行管理。
现在,如果这是一封来自未知用户的阻止邮件,请验证您的接收队列以了解被拒绝的根本原因。
在 Exchange Powershell 中发出类似的命令;
Get-AgentLog |?{ ($_.p1fromaddress -match “contoso.com” –or $_.p2fromaddresses -match ” contoso.com “) -and $_.action –eq “RejectMessage”}
从那里你将收到如下输出:
时间戳:XXXX-XX-XX XX:XX:XX 会话 ID:XXXXXXXXXXXXXXXX IP 地址:XXXX 消息 ID:P1FromAddress:[电子邮件保护]P2From地址:{[电子邮件保护]} 收件人:{[电子邮件保护]} 代理
:发件人 ID 代理事件:OnEndOfHeaders 操作:RejectMessage SmtpResponse:550 5.7.1 缺少声称负责的地址原因:MissingPRA ReasonData:没有有效的 PRA 诊断:
从那里检查它被阻止的原因。如果on representative-of 是您管理的域,它当然会被拒绝,但该电子邮件可能触发其他反垃圾邮件规则。
现在,如果它来自您的用户。为什么他们不在办公室或通过 VPN 时可能会使用该连接器?请为无法通过 VPN 连接的远程用户激活 Active Sync。代表或从其他人发送电子邮件是您在 Exchange 中授予的权利,因此,我猜那些用户正在路上。当您的用户不在办公室或通过 VPN 连接时,使用可以通过 Active Sync 或 OWA 连接到您的服务器的设备是管理这种情况的方法。
注意,下次请使用正确的单词/拼写,因为对我来说“禁用匿名身份验证”意味着将其从接收连接器上的 GUI 中删除(而不是您删除的实际设置)谢谢!
您的设置包含一些错误;
在我担任系统管理员的公司,大约 3 个月前,我们几乎每天都会收到“欺骗性”电子邮件。这些“欺骗性”电子邮件通常以我们的 CEO 或域管理员为“发件人”。为了缓解这种情况,我将默认的 Exchange“互联网”接收连接器设置为使用 Exchange 管理 Shell (Powershell) 命令禁止匿名身份验证
那时你做错了。为了防止这种情况,你需要 SPF 记录。(一个简单的例子如何做到这一点)
因此,目前我仍然可以伪造您的 CEO 电子邮件并直接向您的某个客户发送电子邮件。
SPF 记录确保对于您的域名,发件人 IP 必须是发送它的 IP,否则他们就知道这是一个欺骗。
发件人策略框架 (SPF) 是一个简单的电子邮件验证系统,旨在通过提供一种机制允许接收邮件交换器检查来自某个域的传入邮件是否来自该域管理员授权的主机来检测电子邮件欺骗。1域的授权发送主机列表以特殊格式的 TXT 记录的形式发布在该域的域名系统 (DNS) 记录中。电子邮件垃圾邮件和网络钓鱼通常使用伪造的“发件人”地址,因此发布和检查 SPF 记录可视为反垃圾邮件技术。
因此,为了解决您的问题,请删除您创建 SPF 记录的操作
之后它会工作得更好:)
对于您的接收连接器:
RC 允许使用一组白名单 IP(具有扫描到电子邮件功能的异地复印机、Constant Contact 等)进行匿名身份验证
我不明白为什么是接收连接器,而不是发送连接器?这样,您就阻止了互联网上的任何人向您发送合法电子邮件。端口 25 上面向互联网的接收连接器应该对通过反垃圾邮件过滤的任何人开放。
请保持接收连接器打开,但如果需要,请保护发送连接器。