Your SlideShare is downloading. ×
2006 06-16 pepug-hcl_poznan_-_jacek_kochan_-_bezpieczna_komunikacja_smtp
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

2006 06-16 pepug-hcl_poznan_-_jacek_kochan_-_bezpieczna_komunikacja_smtp

180

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
180
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Exchange 2007BEZPIECZNA KOMUNIKACJA SMTP
  • 2. OPEN RELAY anonimowy użytkownik bądź zdalny serwer, bez uwierzytelnienia przesyła na nasz serwer pocztowy wiadomość, która jest adresowana do użytkownika spoza naszej domeny, a nasz serwer przesyła ją dalej. Exchange od wersji 2003 domyślnie blokuje open relay, a więc jest bezpieczny
  • 3. TEMAT WYCZERPANY Dziękuję za uwagę
  • 4. ŻARTOWAŁEM
  • 5. KONEKTORY Exchange 2007 ma rozdzieloną komunikację na konektory wysyłające i odbierające Konektory znajdują się na serwerach Hub Transport i Edge Konektory odbierające znajdują się na każdym serwerze transportowym Konektory wysyłające definiowane są dla całej organizacji
  • 6. SEND CONNECTOR - SZABLONY Custom Internal Internet Partner (parametr TLSSendDomainSecureList polecenia Set-TransportConfig)
  • 7. RECEIVE CONNECTOR Custom Internal Internet Client (port 587) Partner (parametr TLSReceiveDomainSecureList polecenia Set- ReceiveConnector)
  • 8. DWA SCENARIUSZE Scenariusz z jednym serwerem Exchange Scenariusz z co najmniej jednym serwerem Hub Transport i z serwerem Edge
  • 9. SINGLE EXCHANGE 2007 Instalujemy komponenty antyspamowe> cd „C:Program FilesMicrosoftExchange ServerScripts”> install-AntispamAgents.ps1
  • 10. SINGLE EXCHANGE 2007 Włączamy dostęp dla anonymous users Dwa sposoby:1. Modyfikujemy konektor Default2. Tworzymy dodatkowy konektor typu Internet lub Custom na drugim adresie ip do komunikacji z serwerami internetowymi (słuszna metoda) i ustawiamy mu dostęp z odpowiednich adresów ip
  • 11. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY Domyślnie jest to możliwe Tworzy to pole do popisu dla spammerów oraz oszustów W Exchange 2003 wystarczyło dodać lokalne domeny do listy sender filter i włączyć ten filtr na internetowym virtual smtp W Exchange 2007 nie możemy wyłączyć reguł antyspamowych na pojedynczych konektorach Na szczęście mamy reguły transportowe
  • 12. ANONIMOWE MAILE W OBRĘBIE LOKALNEJ DOMENY Tworzymy regułę transportową warunek selekcji When From address contains specific words Wpisujemy w warunek listę lokalnych domen w akcji wybieramy Send bounce message to sender with enhanced status code Wybieramy wyjątek Except when the message is from users inside or outside the organization. W edycji reguły pozostawiamy wyraz inside. Dzięki temu uwierzytelnione maile z wewnątrz będą akceptowane przez serwer.
  • 13. EXCHANGE + EDGE
  • 14. EXCHANGE + EDGE Nie tworzymy Send Connectora Subskrybujemy serwer Edge Tworzymy plik subskrypcji na serwerze Edge poleceniem shellowym:> New-EdgeSubscription –file "C:edgesubscription.xml" Kopiujemy powstały plik na jeden z serwerów z rolą Hub Transport i wykonujemy na nim polecenie:> new-edgesubscription -filename "c:edgesubscription.xml" -site "Default-First-Site-Name"
  • 15. EXCHANGE + EDGE Blokujemy mozliwość wysyłania anonimowych maili w obrębie lokalnych domen na serwerze Edge: w Sender Filtering w zakładce Blocked Senders umieszczamy nasze domeny.
  • 16. MISDIRECTED BOUNCES Gdy serwer pocztowy najpierw zaakceptuje wiadomość do użytkownika nieistniejącego w danej organizacji, a dopiero później zdecyduje, że nie może jej dostarczyć, to generuje zwrotkę NDR na adres nadawcy W przypadku spamu jest to duży problem – rozsyłamy zwrotki na adresy niewinnych użytkowników po całym Internecie
  • 17. MISDIRECTED BOUNCES Jeżeli widzimy w kolejce wygenerowane maile z adresu <>, to oznacza, że nasz serwer generuje zwrotki NDR, zazwyczaj na nieistniejące adresy spamowe, które próbowały przesłać coś do naszego serwera na nieistniejący adres W takiej sytuacji spam powoduje podwójny ruch – najpierw mail trafia do naszego serwera, a następnie generowana jest zwrotka
  • 18. MISDIRECTED BOUNCES Rozwiązanie jest proste. Wystarczy włączyć ptaszek: Block messages sent to recipients not listed in Global Address List w Recipient Filtering
  • 19. RELAY OD ANONIMOWYCH UŻYTKOWNIKÓW Domyślnie po nadaniu uprawnień dla Anonymous Users, grupa ta ma uprawnienia:Ms-Exch-Accept-Headers-RoutingMs-Exch-SMTP-Accept-Any-SenderMs-Exch-SMTP-Accept-Authoritative-Domain-SenderMs-Exch-SMTP-Submit Musimy nadać również uprawnienie:Ms-Exch-SMTP-Accept-Any-Recipient Zakładamy Receive Connector typu Custom i dajemy uprawnienia dla Anonymous Users Nadajemy uprawnienia dla anonimowych użytkowników:> Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITYANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP- Accept-Any-Recipient"
  • 20. DZIĘKUJĘTeraz to już naprawdę koniec

×