[求助]伪造邮件问题请求支持 [复制链接]

使用的exchange 2010平台，默认匿名中继已经关闭。

已经使用如下命令去除接收匿名邮件域发送者的权限，现在本域域名已经无法通过telnet方式伪造邮件发过内部域用户。
==========
Get-ReceiveConnector"Internet Receive Connector" | Remove-ADPermission -User "NTAUTHORITY\ANONYMOUS LOGON" -ExtendedRights"ms-exch-smtp-accept-authoritative-domain-sender"
但是使用telnet方式，
helo
mail from:  这里填写外部其他邮箱，比如QQ邮箱
rcpt to: 域内用户
仍旧可以伪造邮件发送，请教各位如何能解决此伪造问题？

请各位高手帮忙看看啊

现在邮件系统里好多外部系统的垃圾邮件

yl5097:现在邮件系统里好多外部系统的垃圾邮件[表情]  (2014-08-10 23:39) 

你好，

"Internet Receive Connector"是你的外部接收连接器么？默认的外部接收连接器应该是"default Receive Connector"，你运行get-receiveconnector |fl看下有哪些连接器

版主您好

这条是设置的外部连接器。

现在是可以仿造外部地址发给我们内部用户。

你好，default和client连接器参数截图如图片，烦请帮助查看，谢谢！
图1

描述:1

图片:1.jpg

yl5097:
你好，default和client连接器参数截图如图片，烦请帮助查看，谢谢！
图1
[图片]

您好，从您的截图来看，只看到两个接收连接器。一个是Default，侦听在25端口，用来接收外部邮件，处于启用状态。另一个是Client，侦听在587端口，用来接收内部邮件，也处于启用状态。

如果你在内网做的测试，telnet不同的端口即调用了不同的接收连接器。从你的截图看，很可能是从default的连接器进来的邮件。建议你把custom的permission组去掉。
打开default的接收连接器，确保permission groups设置如下。

描述:permissiongroup

图片:1.JPG

谢谢版主帮助查看该问题！

默认default连接器权限之前已经是如您截图的设置了，但从外部网络telnet到我们的邮件服务器，仍可以伪造外部地址发送邮件到我们内部用户，如截图

图片:11111.JPG

烦请您再帮助看下，如何能阻止该伪造发送，谢谢！

求教各位高手

yl5097:求教各位高手[表情] (2014-08-19 13:52)嬀/color]

默认情况下，Default Receive Connector上的"Anonymous users"是勾选着的，该组包括下列权限：

Ms-Exch-SMTP-Submit
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-Accept-Headers-Routing

因为你手动去除了Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender一项，所以图形界面里面显示Anonymous users未被勾选，你需要进一步移除其他残留权限来解决你的问题，主要是Ms-Exch-SMTP-Accept-Any-Sender这一项。

因此建议执行下列命令尝试解决该问题：

Get-ReceiveConnector"Internet Receive Connector" | Remove-ADPermission -User "NTAUTHORITY\ANONYMOUS LOGON" -ExtendedRights"Ms-Exch-SMTP-Accept-Any-Sender"