none
exchange 2016接收连接器,允许接收外部匿名邮件,但对内部域名邮件,必须用过认证后才可以。 RRS feed

  • 问题

  • exchange 2016接收连接器,允许接收外部匿名邮件,但对内部域名邮件,必须用过认证后才可以。

    需求 接收连接器配置满足以下条件

    1.允许接收“接受域”以外的全部匿名邮件

    2.“接受域”内的域名地址,必须通过认证后,才能接收

    2020年4月4日 6:01

全部回复

  • 您好,

    您的要求我认为难以实现。

    根据接受连接器权限,Exchange并没有针对“接收域”这一范围的权限,只有对“权威域”的权限,接收域包括权威域和非权威域,所以这一步就难以满足您的要求。

    如果把您的两个要求都改成“权威域”,那么理论上在Exchange是可以实现的:

    1.首先将您的“Default Frontend <Server>”连接器设置为允许AnonumousUsers来接受来自外部的邮件。

    2.为该连接器添加Accept-Any-Serder权限来允许 SMTP 客户端或服务器绕过发件人地址欺骗检查,即接受匿名邮件。

    3.为该连接器移除accept-authoritative-domain-sender权限,使得权威域内的地址需要认证。

    但十分不推荐这样做,您的第一个要求本身就是很危险的,很有可能引起安全问题,在这里我就不提供具体步骤了。

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年4月6日 7:12
  • 您好,实际上第一个条件是为了接收外部邮件的投递,需要接收连接器上 勾选 匿名,才能实现外部投递,然后我们发现这样做会使“发件人地址” 伪造“接收域”后缀的地址邮件,投递到内部邮箱。所以在考虑允许匿名的同时,针对发件人为内部的用户,需要认证才可以,否则拒绝

    以下是接收连接器的配置,启用匿名接收外部邮件后,发现伪造内部邮件地址的邮件也可以接收成功。

    • 已编辑 ice9898 2020年4月9日 5:46
    2020年4月8日 10:41
  • 您好,

    您可以尝试用以下命令来移除您环境中用于接收外部邮件的接受连接器的“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender” 权限:

    Get-ReceiveConnector "Internet" | Get-ADPermission -User "NT Authority\Anonymous Logon" | Where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年4月10日 8:04
  • 您好,

    请问您的问题有最新进展吗?如果您对此问题有任何疑问或需要进一步的帮助,请随时回复。

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年4月15日 9:44
  • 您好

    长时间没有收到您的回复,请问问题解决了吗?

    如果您需要进一步的帮助,请提供相关信息,我们会继续为您提供帮助。

     

    此致,

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年4月30日 7:45