Exchange 服务器默认匿名权限 - 它们足够安全吗?

Exchange 服务器默认匿名权限 - 它们足够安全吗?

有关的:Exchange 2010 具有接受任何发件人权限的匿名用户?

已选中“匿名用户”安全设置的连接器的 Exchange 2013 默认设置将向连接器授予以下权限:

User                         ExtendedRights                                    Deny
----                         --------------                                    ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                             False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties}           False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}                    False
NT AUTHORITY\ANONYMOUS LOGON                                                   False
NT AUTHORITY\ANONYMOUS LOGON                                                   False

显然,“接受任何发件人”是必需的,因为否则传入的电子邮件根本无法通过,还需要“SMTP 提交”。但是“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender”怎么办?权利解释这里为“允许以连接服务器的 Exchange 组织中托管的任何域的身份发送”,或Get-AcceptedDomain以“权威”列出的任何域的身份发送。我认为这个权限是多余的,而且坦率地说,维护这个权限是有害的,但撤销这个权限会使 Exchange 连接器显示没有人有足够的权限通过此连接器发送邮件。不过,传入邮件流不会因此中断。

为什么在启用匿名的 Exchange 连接器上默认存在此权限?删除此权限是否足够安全,因为任何外部设备都不应通过此不安全的连接器发送邮件(它仅具有 STARTTLS 作为安全选项,并且默认情况下未定义任何身份验证设置)?并且,如果连接器面向 Internet,我是否应该在任何不安全的连接器上允许此权限?此外,“创建公用文件夹”的权限又如何呢?

答案1

对于大多数实现来说,接收连接器上的默认权限是安全的。启用匿名是大多数网站必须做的唯一事情。但是,您标记的权限通常会被删除,以尝试处理欺骗问题,即电子邮件被发送到您的服务器,并且发件人行与您自己的域相同。但是,您接受这些电子邮件是有正当理由的 - 一个常见的原因是来自发送电子邮件为[电子邮件保护](example.com 是您的域名)并将副本发送给内部收件人。因此,您需要非常仔细地考虑是否要删除该权限。

相关内容