Анонимные разрешения по умолчанию для сервера Exchange - достаточно ли они безопасны?
Связанные: Анонимный пользователь Exchange 2010 с разрешением accept-any-sender?
Настройка Exchange 2013 по умолчанию для коннектора с установленным параметром безопасности «Анонимные пользователи» предоставляет коннектору следующие права:
User ExtendedRights Deny
---- -------------- ----
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties} False
NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder} False
NT AUTHORITY\ANONYMOUS LOGON False
NT AUTHORITY\ANONYMOUS LOGON False
«Принимать любого отправителя ", очевидно, требуется, потому что в противном случае входящие электронные письма вообще не будут проходить, также требуется" Отправить SMTP ". а как насчет "ms-Exch-SMTP-Accept-Authoritative-Domain-Sender"? Право объясняется здесь как «Разрешить отправку как любой домен, размещенный в организации Exchange подключенного сервера», или любой домен в Get-AcceptedDomain , который указан как «Полномочный». Я полагаю, что это право излишне и, откровенно говоря, вредно поддерживать, однако отмена этого заставляет соединитель Exchange отображать, что ни у кого нет достаточных прав для отправки почты через этот соединитель. Тем не менее, поток входящей почты не прерывается.
Почему это право присутствует по умолчанию на соединителях Exchange с включенной анонимностью? Достаточно ли безопасно удалить это право, поскольку никакие внешние устройства не должны отправлять почту через этот незащищенный соединитель (у него есть только STARTTLS в качестве параметра безопасности, и по умолчанию параметры аутентификации не определены)? И должен ли я когда-либо разрешать это право на любом незащищенном соединителе, при условии, что соединитель обращен в Интернет? А как насчет прав на «создание общей папки»?
Разрешения по умолчанию для коннектора приема безопасны для большинства реализаций. Включение анонимности - единственное, что нужно делать большинству сайтов. Однако отмеченное вами разрешение часто удаляется, чтобы попытаться решить проблемы со спуфингом, когда электронное письмо доставляется на ваш сервер со строкой От, такой же, как и в вашем собственном домене. Однако есть веские причины, по которым вы могли бы принимать эти электронные письма - обычно от веб-сервера, который отправляет электронную почту как (скрытую) (example.com является вашим доменом)и отправляет копию внутреннему получателю. Поэтому вам нужно очень внимательно подумать, удалять ли разрешение или нет.