Exchange 2007-2010 如何防止黑客利用HELO命令冒充用戶發送郵件
最近做了???,公司有一?Exchange2007服?器,?外?通了25 110 443??端口,我作了以下??!
C:telnet mail.mydomain.com 25
220 mailsvr.mydomain.local Microsoft ESMTP MAIL Service ready at Thu, 26 Mar 2009 09:12:05 +0800
HELO
250 mailsvr.mydomain.local Hello [192.168.0.110]
Mail from:test@mydomain.local
250 2.1.0 Sender OK
Rcpt to:test2@mydomain.local
250 2.1.5 Recipient OK
Data
354 Start mail input; end with
This is a test mail......
.
250 2.6.0
?果我在Test2@mydomain.local?箱中收到??冒充test@mydomain.local??的?件!
??我?得很危?,因?知道我域名的人都可以利用我的SMTP和某一用??送?件了!例如:冒充老???件???等等,真的很麻?!!
??有?有方法解???漏洞?
您好!
对于Exchange 2007来说,在缺省情况下Anonymous user权限组有下面的权限,
Ms-Exch-SMTP-Submit
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
This permission allows senders that have e-mail addresses in authoritative domains to establish a session to this Receive connector.
Ms-Exch-Accept-Headers-Routing
要阻止别冒充您的域名向您发送邮件,可以使用下面的方法来解决:
Get-ReceiveConnector "My Test ReceiveConnector" | Get-ADPermission -user "NT AUTHORITYAnonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
请将My Test ReceiveConnector替换为您实际的接受连接器的名称,注意是端口为25的那个。您可以使用Get-ReceiveConnector 来查看它的identity 。
该操作不会影响POP3帐号的收发邮件。因为POP3帐号在发送邮件之前先要经过服务器的身份验证,在通过了身份验证后,该用户所获得的权限组是Exchange user组。
当然您也可以将权限添加回去,运行下面的命令即可完成。
Add-ADPermission -Identity "Default 150795M1" -User "NT AUTHORITYAnonymous Logon" -ExtendedRights ms-exch-smtp-accept-authoritative-domain-sender
注意:您需要将150795M1替换为您的Hub的服务器名称。
我也是2007的邮件服务器,但是我用你的方式Telnet假冒我的域用户来发邮件!结果和你不一样啊!
Data
354 Start mail input; end with
This is a test mail......
.
550 5.7.1 Message rejected due to content restrictions
是不是应为我启用了内容筛选和发件人信誉筛选的缘故啊? 而且我Telnet时的IP和邮件服务器的IP是不一致的,换句话说我的邮件服务器有专属的IP和员工上网用的线路是分开的。下面的描述,希望能对你有用!
发件人信誉级别 (SRL) 是通过下列统计信息计算的:
HELO/EHLO 分析 HELO 和 EHLO SMTP 命令用于向接收 SMTP 服务器提供发送 SMTP 服务器的域名(如 Contoso.com)或 IP 地址。恶意用户(或“垃圾邮件制造者”)经常通过不同方式伪造 HELO/EHLO 语句。例如,键入与发起连接的 IP 地址不匹配的 IP 地址。垃圾邮件制造者还将已知在接收服务器本地支持的域放入 HELO 语句,尝试像域处于组织中一样显示。其他情况下,垃圾邮件制造者更改在 HELO 语句中传递的域。合法用户通常可能会在 HELO 语句中使用不同但是相对恒定的一组域。
因此,按发件人分析 HELO/EHLO 语句可能表明发件人很可能是垃圾邮件制造者。例如,在特定时段内提供许多不同的唯一 HELO/EHLO 语句的发件人更可能是垃圾邮件制造者。不断在 HELO 语句中提供与连接筛选器代理确定的起始 IP 地址不匹配的 IP 地址的发件人也更可能是垃圾邮件制造者,例如不断在 HELO 语句中提供与边缘传输服务器处于同一组织的本地域名的远程发件人。
反向 DNS 查找 发件人信誉还可以验证发件人传输邮件的原始 IP 地址是否与发件人在 HELO 或 EHLO SMTP 命令中提交的已注册域名匹配。
发件人信誉通过将原始 IP 地址提交给 DNS 来执行反向 DNS 查询。DNS 返回的结果是使用该 IP 地址的域命名机构注册的域名。发件人信誉将 DNS 返回的域名与发件人在 HELO/EHLO SMTP 命令中提交的域名进行比较。如果域名不匹配,则发件人很可能是垃圾邮件制造者,并向上调整发件人的总体 SRL 分级。
发件人 ID 代理执行类似的任务,但发件人 ID 代理的成功依靠合法发件人更新其 DNS 基础结构,以标识其组织中所有电子邮件发送 SMTP 服务器。通过执行反向 DNS 查找,可以帮助标识潜在的垃圾邮件制造者。
对来自特定发件人的邮件分析 SCL 分级 内容筛选器代理处理邮件时,将为邮件分配垃圾邮件信任级别 (SCL) 分级。SCL 分级是 0 到 9 之间的一个数字。SCL 分级越高,表明邮件越可能是垃圾邮件。有关每个发件人及其邮件生成的 SCL 分级的数据始终用于发件人信誉分析。发件人信誉根据过去来自该发件人的所有低 SCL 分级的邮件与过去来自该发件人的所有高 SCL 分级的邮件之间的比例来计算有关发件人的统计信息。此外,发件人在前一天已发送的高 SCL 分级邮件数应用于总体 SRL。