有关的:Exchange 2010 具有接受任何发件人权限的匿名用户?
已选中“匿名用户”安全设置的连接器的 Exchange 2013 默认设置将向连接器授予以下权限:
User ExtendedRights Deny
---- -------------- ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder} False
NT AUTHORITY\ANONYMOUS LOGON False
NT AUTHORITY\ANONYMOUS LOGON False
显然,“接受任何发件人”是必需的,因为否则传入的电子邮件根本无法通过,还需要“SMTP 提交”。但是“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender”怎么办?权利解释这里为“允许以连接服务器的 Exchange 组织中托管的任何域的身份发送”,或Get-AcceptedDomain
以“权威”列出的任何域的身份发送。我认为这个权限是多余的,而且坦率地说,维护这个权限是有害的,但撤销这个权限会使 Exchange 连接器显示没有人有足够的权限通过此连接器发送邮件。不过,传入邮件流不会因此中断。
为什么在启用匿名的 Exchange 连接器上默认存在此权限?删除此权限是否足够安全,因为任何外部设备都不应通过此不安全的连接器发送邮件(它仅具有 STARTTLS 作为安全选项,并且默认情况下未定义任何身份验证设置)?并且,如果连接器面向 Internet,我是否应该在任何不安全的连接器上允许此权限?此外,“创建公用文件夹”的权限又如何呢?
答案1
对于大多数实现来说,接收连接器上的默认权限是安全的。启用匿名是大多数网站必须做的唯一事情。但是,您标记的权限通常会被删除,以尝试处理欺骗问题,即电子邮件被发送到您的服务器,并且发件人行与您自己的域相同。但是,您接受这些电子邮件是有正当理由的 - 一个常见的原因是来自发送电子邮件为[电子邮件保护](example.com 是您的域名)并将副本发送给内部收件人。因此,您需要非常仔细地考虑是否要删除该权限。