Exchange 伺服器預設匿名權限 - 它們是否足夠安全？

相關：具有接受任何發件人權限的 Exchange 2010 匿名使用者？

已選中“匿名使用者”安全設置的連接器的 Exchange 2013 預設設置為連接器授予以下權限：

User                         ExtendedRights                                    Deny
----                         --------------                                    ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                             False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties}           False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}                    False
NT AUTHORITY\ANONYMOUS LOGON                                                   False
NT AUTHORITY\ANONYMOUS LOGON                                                   False

顯然需要“接受任何發件人”，因為否則傳入的電子郵件根本無法通過，還需要“SMTP 送出”。但是“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender”呢？此處將權利解釋為“允許作為託管在連接伺服器的 Exchange 組織上的任何域發送”，或Get-AcceptedDomain列為“權威”的任何域。我認為這項權利是多餘的，而且坦率地說對維護是有害的，但撤銷此權利會使 Exchange 連接器顯示沒有人有足夠的權利通過此連接器發送郵件。儘管如此，傳入的郵件流並不會因此而中斷。

為什麼在啟用匿名的 Exchange 連接器上預設存在此權利？刪除此權限是否足夠安全，因為不應有外部設備通過此不安全的連接器發送郵件（它只有 STARTTLS 作為安全選項，並且預設情況下沒有定義身份驗證設置）？而且，如果連接器面向 Internet，我是否應該在任何不安全的連接器上允許此權限？還有“創建公用文件夾”的權利呢？

接收連接器上的預設權限對於大多數實施都是安全的。啟用匿名是大多數網站必須做的唯一事情。您標記的權限通常會被刪除以嘗試處理欺騙問題，其中電子郵件被發送到您的伺服器，發件人行與您自己的域相同。但是，您會接受這些電子郵件是有正當理由的 - 來自網路伺服器的常見原因，它以 something@example.com（example.com 是您的域）的形式發送電子郵件並將副本發送給內部收件人。因此，您需要非常仔細地考慮是否刪除該權限。

引用自：https://serverfault.com/questions/845026