令人惊讶的是,我看到很多客户为某些远程(内部网络) IP 地址制作特定的接收连接器以允许匿名内部中继。
当我了解到 Exchange 默认允许内部匿名中继,实际上使得额外的接收连接器完全多余时,我(和他们)感到很惊讶。
据我所知,至少从 Exchange 2010 开始这一直是默认行为。
现在我想知道:
默认情况下允许内部匿名中继真的那么好/安全吗(安全性是客户首先创建单独连接器的原因;这样他们就可以将其限制在仅几个内部设备/应用程序上)?
最佳做法是什么?是否应以某种方式限制内部中继?如果是,如何限制?通常最佳做法是不修改默认连接器。
答案1
是的,我们需要在接收连接器上启用“匿名用户”,这样我们就可以接受来自互联网的消息。
为了防止内部匿名中继,我们可以删除MS-EXCH-SMTP 接受权威域发件人允许匿名用户, 例如:
Get-ReceiveConnector "Default Frontend <Server>" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
但是对于外部的欺骗邮件则没有效果,为了防止这种欺骗邮件,我们需要部署反垃圾邮件防火墙。