Office 365 Exchange, по умолчанию открытый ретранслятор?
У нас есть API, который отправляет электронную почту. Я пытался настроить Exchange O365, чтобы сервер API мог отправлять электронную почту без аутентификации. Я внес некоторые изменения и протестировал, и это сработало, отлично! Но потом я протестировал с другого сервера, и он все еще работал. Ой. Я отменил все внесенные мной изменения, поэтому он должен вернуться в состояние развертывания, а реле по-прежнему работает.
Конечно, этого не ожидали, я что-то пропустил?
Шаги, которые я взял:
- Центр администрирования Exchange> Защита> Фильтр подключений> Разрешенный IP-адрес: Добавить IP-адрес сервера
- Центр администрирования Exchange> Почтовый поток> Коннекторы: добавлен коннектор (, как описано здесь )
- Центр администрирования> Домены: обновлена запись SPF в DNS для включения IP-адреса сервера API (, как описано здесь )
Опять же, я отменил все эти изменения, и я все еще могу ретранслировать почту через свой сервер, используя telnet, подключенный к mydomainname-com.mail.protection.outlook.com .
Что еще я могу проверить, чтобы отключить это?
Игнорирование SPF, DKIM, DMARC и т.д. и т.п. на минуту:
В сущности, так работает SMTP. Отправка электронной почты через сервер, который является авторизованным для домена, на который вы отправляете электронную почту, не требует аутентификации. Если бы это было необходимо, то каждый в мире должен был бы пройти аутентификацию на каждом почтовом сервере, чтобы отправить почту кому угодно.
Если я отправлю почту через telnet на ваш почтовый сервер, то ваш сервер примет моё соединение, примет почту и доставит её в ваш почтовый ящик. В этом сценарии я посылаю электронную почту TO вашему серверу для того, у кого есть почтовый ящик, на который уполномочен ваш сервер... точнее, я посылаю электронную почту тому, у кого есть почтовый ящик и почтовый домен, на который уполномочен ваш сервер. Это НЕ является ретрансляцией.
Если я отправлю сообщение через telnet на ваш сервер и попытаюсь отправить его на адрес электронной почты за пределами вашей организации, ваш сервер отклонит мою попытку. В этом сценарии я пытаюсь отправить письмо THROUGH вашему серверу кому-то, у кого есть почтовый ящик/почтовый домен, на который ваш сервер не имеет полномочий. Это IS пересылка.
Создание коннектора отправки для ip-адреса вашего API, вашего веб-сервера, вашего принтера и т.д. и т.п. является формой "аутентифицированной пересылки". В этом сценарии вы говорите вашему почтовому серверу, что эти ip-адреса могут посылать почту через этот коннектор на почтовые адреса за пределами вашей организации, что будет любым почтовым доменом, на который ваш сервер не имеет полномочий. Существует несколько "форм" аутентифицированной пересылки, это только одна из них.
Exchange Online - это NOT открытая пересылка, как вы правильно заметили.
.