Security

Exchange 伺服器預設匿名權限 - 它們是否足夠安全?

  • April 18, 2017

相關:具有接受任何發件人權限的 Exchange 2010 匿名使用者?

已選中“匿名使用者”安全設置的連接器的 Exchange 2013 預設設置為連接器授予以下權限:

User                         ExtendedRights                                    Deny
----                         --------------                                    ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing}                  False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit}                             False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties}           False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder}                    False
NT AUTHORITY\ANONYMOUS LOGON                                                   False
NT AUTHORITY\ANONYMOUS LOGON                                                   False

顯然需要“接受任何發件人”,因為否則傳入的電子郵件根本無法通過,還需要“SMTP 送出”。但是“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender”呢?此處將權利解釋為“允許作為託管在連接伺服器的 Exchange 組織上的任何域發送”,或Get-AcceptedDomain列為“權威”的任何域。我認為這項權利是多餘的,而且坦率地說對維護是有害的,但撤銷此權利會使 Exchange 連接器顯示沒有人有足夠的權利通過此連接器發送郵件。儘管如此,傳入的郵件流並不會因此而中斷。

為什麼在啟用匿名的 Exchange 連接器上預設存在此權利?刪除此權限是否足夠安全,因為不應有外部設備通過此不安全的連接器發送郵件(它只有 STARTTLS 作為安全選項,並且預設情況下沒有定義身份驗證設置)?而且,如果連接器面向 Internet,我是否應該在任何不安全的連接器上允許此權限?還有“創建公用文件夾”的權利呢?

接收連接器上的預設權限對於大多數實施都是安全的。啟用匿名是大多數網站必須做的唯一事情。您標記的權限通常會被刪除以嘗試處理欺騙問題,其中電子郵件被發送到您的伺服器,發件人行與您自己的域相同。但是,您會接受這些電子郵件是有正當理由的 - 來自網路伺服器的常見原因,它以 something@example.com(example.com 是您的域)的形式發送電子郵件並將副本發送給內部收件人。因此,您需要非常仔細地考慮是否刪除該權限。

引用自:https://serverfault.com/questions/845026