Главная > Exchange > Управление правами коннектора получения Exchange

Управление правами коннектора получения Exchange

13 февраля 2017

По-умолчанию, поставив галку «Anonymous Users» на принимающий коннектор, вы тем самым разрешаете прохождение почты независимо от того, какой будет указан отправитель (разрешение ms-Exch-SMTP-Accept-Any-Sender).

Но, чтобы какой-нибудь анонимус мог отправить письмо куда-то наружу, используя ваш почтовый сервер, у вас должно быть разрешено на этом коннекторе прием любого получателя (разрешение ms-Exch-SMTP-Accept-Any-Recipient). Это разрешение по умолчанию не дается.

Другими словами, прием почты от любого отправителя разрешен по умолчанию (если транспорт настроен на работу с интернетом), а отправка любому отправителю (вне вашей организации) — запрещена. Т.е. транспорт увидит, что получатель находится не в его организации, и, т.к. нету у анонимуса ms-Exch-SMTP-Accept-Any-Recipient, то письмо будет отклонено.

Распишу для наглядности все варианты:

  • Анонимус отсылает из интернета письмо в вашу организацию — по-умолчанию — разрешено. если запретить прием писем из интернета от анонимуса, то к вам вообще перестанут ходить письма от других компаний.
  • Анонимус отсылает из вашей организации в вашу же организацию — по-умолчанию — разрешено. запретить можно, создав дополнительный коннектор и указав в нем локальные IP адрес.
  • Анонимус отсылает из интернета письмо в интернет, но используя ваш почтовый сервер — по-умолчанию запрещено.
  • Анонимус отсылает из вашей организации в интернет — по-умолчанию — запрещено, но можно разрешить (только через shell).
  • Проверка разрешений на коннекторах:

    [PS] C:\>Get-ReceiveConnector "Anonymous Frontend EX1" | Get-ADPermission | where {$_.User -like '*anonymous*'} | ft identity,deny,extendedrights,accessrights -AutoSize
     
    Identity                             Deny  ExtendedRights                                    AccessRights
    --------                             ----  --------------                                    ------------
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-SMTP-Accept-Any-Sender}                  {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-SMTP-Submit}                             {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-Accept-Headers-Routing}                  {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-Store-Create-Named-Properties}           {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False {ms-Exch-Create-Public-Folder}                    {ExtendedRight}
    EX1\Anonymous Frontend SKV1-EX1 False                                                   {GenericRead}
    EX1\Anonymous Frontend SKV1-EX1 False                                                   {GenericRead}
     
     
    [PS] C:\>Get-ReceiveConnector "Plain Text Frontend EX1" | Get-ADPermission | where {$_.User -like '*Authenticated*'} | ft identity,deny,extendedrights,accessrights -AutoSize
     
    Identity                              Deny  ExtendedRights                      AccessRights
    --------                              ----  --------------                      ------------
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-SMTP-Accept-Any-Recipient} {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-Accept-Headers-Routing}    {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-Bypass-Anti-Spam}          {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-SMTP-Submit}               {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 True                                      {ReadProperty}
     
    [PS] C:\>Get-ReceiveConnector "Plain Text Frontend SKV1-EX1" | Get-ADPermission | where {$_.User -like '*anonymous*'} | ft identity,deny,extendedrights,accessrights -AutoSize
     
    Identity                              Deny  ExtendedRights                          AccessRights
    --------                              ----  --------------                          ------------
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-Store-Create-Named-Properties} {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 False {ms-Exch-Create-Public-Folder}          {ExtendedRight}
    EX1\Plain Text Frontend SKV1-EX1 False                                         {GenericRead}
    EX1\Plain Text Frontend SKV1-EX1 False                                         {GenericRead}

    Anonymous Frontend EX1 — разрешает отправку анонимно только внутри сети
    ms-Exch-SMTP-Accept-Any-Sender — разрешено
    ms-Exch-SMTP-Accept-Any-Recipient — запрещено

    Plain Text Frontend EX1 — запрещает отправку анонимно, разрешает отправку аутентифицированным пользователям внутри сети и наружу
    ms-Exch-SMTP-Accept-Any-Sender — запрещено
    ms-Exch-SMTP-Accept-Any-Recipient — разрешено

    Categories: Exchange Tags: ,
    Комментирование отключено.