Exchange-2003

SBS/Exchange 2003 在格式錯誤的電子郵件地址上打開中繼

  • May 30, 2012

我有一個 Small Business Server 2003 (Exchange 2003 SP2)。在 PCI 合規性審核期間,它被標記為未通過開放中繼。我已經使用 telnet 進行了測試,這是我發現的:

MAIL FROM: <test@test.com>
250 2.1.0 test@test.com....Sender OK
RCPT TO: <"relaytest@test.com">
250 2.1.5 "relaytest@test.com"@mydomain.com

只要地址格式錯誤,中繼就會失敗。伺服器總是返回 250 狀態,而且總是將我的域名添加到地址的末尾。

我將伺服器配置為僅中繼在 IIS 站點的錯誤報告模組上配置的內部 IP 地址。

使用有效的電子郵件地址(但引號和尖括號格式不正確)進行測試導致未收到任何郵件。有沒有辦法利用它,如果是這樣,我該如何禁用它?

我想說舉證責任在他們身上——他們需要證明它實際上是在轉發到封裝地址,這才是一個漏洞。

你不能證明是否定的;您無法證明地址畸形的所有可能組合都將被拒絕。 為了證明合規性,不應期望您對電子郵件伺服器的收件人地址欄位進行模糊測試;測試這些東西並報告發現的任何問題是掃描器獲得報酬的原因。

對於未傳遞的消息(特別是垃圾郵件),始終會發生接受響應 - 他們假設基於特定響應程式碼的開放中繼是不負責任的。我見過的每個這種類型的掃描供應商實際上都會將消息發送到一個網際網路地址,以便他們能夠確認他們是否可以成功中繼。

您的測試表明,儘管有響應程式碼,但消息沒有被轉發,並且最後添加您的域是該消息絕對無處可去的額外證據。但是,他們可能以不同的方式錯誤地格式化了地址並看到了不同的行為。詢問他們發送的確切流量和得到的確切響應,以及他們的掃描是否確認通過 Internet 進行中繼。如果他們這樣做了,請複制它;這應該是您需要在此處執行的盡職調查的範圍。

如果他們不能證明您實際上容易受到此漏洞的影響,那麼他們的掃描毫無意義,您應該質疑他們的發現。

引用自:https://serverfault.com/questions/393788