Удаление информации о ip из заголовка письма?

Question

[Андрей]

Добрый день, вопрос не совсем тривиальный

В заголовке письма сейчас добавляется информация вида-

-------

Return-Path: <----мой ящик в exchange
Delivered-To: test@test.ru <------ кому отправляю
Received: from mail.mykompany.ru (mail.mykompany.ru [148.xx.xx.xx]) <----инфа о сервере

------

отображение внутреннего ip exchange сервера я удалил из заголовка средствами правил в "потоке обработки почты"

и сейчас там стоит правило, которое подставляет реальный ip доменной записи для exchange(приведу ниже скрин для понимания)

spoiler

А теперь вопрос, если я полностью удалю заголовок с ip, или укажу там не верный ip это каким либо образом может повлиять на хождение почты, как то - попадание в спам и прочие радости?

Задача стоит полностью убрать видимость реального ip на котором крутится exchange, делать буду средствами nginx и реверс прокси, но не ясно с заголовком и реальным отображением ip в письмах. Буду признателен за такую информацию

Answer 1

[Владимир]

Несовсем ясна ваша схема, и чего вы опасаетесь.
И если exchange отправляет/принимает письма напрямую (не через какойто релей) то его реальный ип в хедеры запишут сервера принимающие почту от него и с этим вы ничего не сделаете, Также его ип будет в MX записи вашего домена.
если же у вас есть промежуточный релей или nginx как прокси, то вы фаерволите ваш exchange от внешнего мира и с ним общается только релей.

Comments

[Андрей]

нда, всё утыкается в релей как не крути, mx записи все можно скрыть за тем же ip на котором будет реверс прокси и следовательно реальный ip не будет светиться

задача проста, чтобы почтовик светился(при банальных проверках по DNS и логам соединения) якобы он в России, а по факту- нет) не надо меня спрашивать зачем, есть задача, её надо сделать

[Евгений]

Вы не сможете выпилить всю инфу из заголовка письма. Для пользователей, вероятно, сможете, но для более серьёзного аудита из message tracking log вы это не выпилите.

[Владимир]

MoscowStyle, тогда вам проще поднимать впн туннель до релея чтобы после нужного внешнего ипа (релея) в хедерах светились только серые адреса -это проще сделать и меньше опастности чтото сломать в хедерах письма

[Андрей]

Владимир, именно через vpn тоннели это и будет работать

[Владимир]

MoscowStyle, так все тогда просто, релей и exchange настраиваете общаться между собой по ип адресам впн туннеля - таким образом у вас в хедерах не будет реального ип exchange.

[Андрей]

Владимир, в качестве релея postfix?

[Владимир]

MoscowStyle, да - в качестве релея postfix проще в наcтройке чем например exim. И гайдов по настройке релея на postfix более чем достаточно.

[Андрей]

Владимир, Благодарю Вас, будем делать.

Answer 2

[CityCat4]

Задача стоит полностью убрать видимость реального ip на котором крутится exchange

Зачем? Скрывают что-то те, кто чего-то опасается. Вот я опасаюсь хищения номера моей карты - и использую "псевдо-карту" от Юмани. Чего таким образом хотите избежать Вы?

делать буду средствами nginx и реверс прокси,

Реверс прокси будем иметь IP из той же сети, что и почтовик?

Кроме как в заголовках, IP почтовика всегда отражается в логах (ну в смысле - IP сервера, передающего почту)

Comments

[Андрей]

Поставили задачу, надо сделать
ip у реверс прокси будет из другой подсети, как за NATной так и внешней, про логи я не подумал, там в любом случае будет светиться ip шлюза, через который выходит exchange...значит вариант отправлять почту через релей?

Answer 3

[akelsey]

Не нужно использовать транспортные правила и тем более nginx(не очень понял как он будет вырезать что то в смтп трафике), начиная с Exchange 2013 в Microsoft внедрили фичу "Header Firewall"

Идея убрать внутренние имена и айпи адреса весьма здравая, всего лишь нужно на send-connector для "NT AUTHORITY\ANONYMOUS LOGON" удалить ms-Exch-Send-Headers-Routing права.

Вот подробная статья как это сделать.

Comments

[Андрей]

Вы видимо не поняли, внутренние и так убраны, мне нужно убрать внешнии ))