Как правильно настроить коннектор получения Exchange 2019?

Question

[Stiffyx]

Добрый день. Сразу извиняюсь за немного глупый вопрос, как я понимаю.
Установил Exchange 2019. Почта приходит и уходит. Но меня смущает галка "Анонимные пользователи" в коннекторе получения почты, который Default Frontend для 25 порта. Она была по умолчанию. Должно ли так быть? Если я её отключаю, тогда не приходит почта. Если галка должна быть установлена, то какие ещё настройки должны быть?

В настройках DNS, где расположен домен
domain1.ru. 600 IN MX 0 mail.domain1.ru
domain1.ru. 600 IN TXT "v=spf1 a mx ip4:1.2.3.4 ~all"

PTR-запись
4.3.2.1.in-addr.arpa IN PTR mail.domain1.ru

Answer 1

[Роман Безруков]

Она была по умолчанию. Должно ли так быть?

Да. По умолчанию Default Frontend Receive Connector принимает почту от кого угодно, поэтому там анонимные пользователи. Коннекторы подробно описаны в документации, там же есть скрипт для восстановления настроек коннекторов

Comments

[Stiffyx]

Спасибо!

[System13x]

Роман Безруков привет, а что делать, если при такой настройке, появляется возможность от имени любого пользователя отправлять письма через cmd:
telnet mail.domain1.ru 25
HELO
mail from: ilonmask@gmail.com
rcpt to: director:domain1.ru
....и тд

как это избежать?
возможно это связано с настройкой SPF, DKIM и DMARC ?

[System13x]

в общем ситуация в следующем: в Exch по умолчанию не включен sender id agent из-за этого сервер не проверяет SPF запись. если настроить sender id agent возможность отправлять от имени любого пользователя исчезнет.
Но в любом случае это только часть защитных мер, возможно Роман Безруков дополнит мой коммент.

[Роман Безруков]

System13x,

появляется возможность от имени любого пользователя отправлять письма через cmd

по ходу, у вас Open Relay настроен...
вы сами настраивали Exchange или это делали до вас? проверяйте настройки Receive-коннекторов - Allow anonymous relay on Exchange servers в помощь, вам надо сделать обратные настройки, чтобы закрыть Open Relay

[System13x]

Роман Безруков сам, и этот дефолтный ресив-коннектор не трогал, до этого момента.
сейчас настройки разрешений имеют вид

и при этом анонимная отправка возможна
если убрать все разрешения связанные с SMTP, кроме SMTP-Submit - отправка тоже будет возможна
на что обратить внимание?

[System13x]

вот тут написано, что exchgange работает корректно, и как я и писал выше нужно настраивать SPF, DKIM, DMARC и + антиспам фильтр

[Роман Безруков]

System13x, скрин с Default Frontend Receive Connector? для чего там разрешения ms-Exch-SMTP-Accept-Any-Recipient?

[System13x]

Роман Безруков, да - оттуда, это не разрешение а явное запрещение deny=true

[Роман Безруков]

System13x, создайте новый коннектор и проверьте (укажите свои внутренние сети в RemoteIPRanges):

New-ReceiveConnector –Name “Internal Client SMTP” –TransportRole FrontendTransport –Usage Custom –Bindings 0.0.0.0:25 –RemoteIPRanges <YourInternalSubnets> –AuthMechanism TLS,Integrated –PermissionGroups ExchangeUsers