Ivan Salvade’

Il mio punto di vista su Virtualizzazione, Sicurezza, Messaggistica, Network Management…

  • Ivan

    248418_467427256623661_1655875885_n.jpg
  • Abbonati

  •  

    ottobre 2013
    L M M G V S D
    « set   nov »
     123456
    78910111213
    14151617181920
    21222324252627
    28293031  
  • Tag Cloud

Bloccare lo spam interno (dal proprio dominio di posta) in Exchange Server

Scritto da Ivan Salvade' il 7 ottobre 2013

Questo articolo si applica a : Exchange Server 2007, 2010, 2013

Capita spesso di ricevere mail di spam, dove l’indirizzo di posta del mittente rappresenta un’utenza vostra interna (es. Nomeutente@NomeVostroDominioDiPosta ) o addirittura rappresenta voi stessi (cioè ricevete spam da voi stessi!!!).

Questo capita perché gli spammer sono riusciti ad eseguire lo spoofing del vostro indirizzo di posta (o di quello di altre persone nella vostra azienda), inserendolo poi nelle intestazioni SMTP delle mail di tipo spam che essi lanciano.

Con i software antispam professionali, tipicamente, ci si difende agevolmente da questo tipo di spam.  Ma per chi vuole utilizzare esclusivamente i filtri antispam nativi (o altre impostazioni) di Exchange 2007/2010/2013, la difesa non è così immediata.

L’impostazione di default dei server Exchange è quella di ricevere qualunque mail proveniente dai cosiddetti “Domini Accettati” (”Accepted Domains”), inseriti nella configurazione del trasporto.  E il vostro dominio pubblico di posta è sicuramente configurato come ”Dominio Accettato”.  Inoltre, il Connettore di Ricezione che riceve mail da Internet è sicuramente configurato a non richiedere l’autenticazione ai mittenti delle mail (giustamente), altrimenti non si riceverebbero più mail dal mondo intero!

I Connettori di Ricezione di Exchange, però, hanno numerose altre autorizzazioni particolari, che si possono vedere e modificare solo con comandi di powershell.

Ecco un comando esemplificativo per visualizzare tutte le autorizzazioni assegnate ad un normale Connettore di Ricezione configurato per ricevere posta da Internet :

Get-ReceiveConnector “Nome Connettore” | Get-AdPermission | Ft User,AccessRights, ExtendedRights -Autosize

La particolare autorizzazione che ci interessa è la “MS-Exch-SMTP-Accept-Authoritative-Domain-Sender” assegnata all’identità speciale “Anonymous Logon”.  Questa autorizzazione permette a qualunque persona non autenticata (quindi anche agli spammer) di collegarsi al Connettore di Ricezione in oggetto, di dichiarare il vostro dominio di posta nell’intestazione SMTP “Mail From:”, e di essere comunque accettati.

Questa autorizzazione è assegnata ad un Connettore di Ricezione, quando esso è impostato a ricevere da Internet.

Ecco le autorizzazioni di “Anonymous Logon” su un connettore senza accesso anonimo :

rcv1.jpg   Fig 1 : se il connettore non ha l’accesso anonimo…

rcv2.jpg

Fig 2 :…. ecco quali sono le autorizzazioni di Anonymous Logon

Ecco invece come si presentano le autorizzazioni di “Anonymous Logon” su un connettore con l’accesso anonimo attivato :

rcv3.jpg   Fig. 3 : se il connettore ha l’accesso anonimo…

rcv4.jpg

Fig. 4 : …. ecco la presenza dell’autorizzazione “MS-Exh-SMTP-Accept-Authoritative-Domain-Sender”

Se un client di posta non autenticato tentasse ora di spedire mail insererendo un indirizzo di posta interno sia come mittente che come destinatario, gli esiti sarebbero questi (mail accettata!) :

rcv5.jpg

Fig. 5 : mail accettata

Il trucco per bloccare questo tipo di mail provenienti dall’esterno, sta nel rimuovere l’autorizzazione “ms-exch-smtp-accept-authoritative-domain-sender” ad “Anonymous Logon”.  Il comando per eseguire la rimozione è il seguente :

Get-ReceiveConnector “Nome Connettore” | Get-AdPermission -User “NT Authority\Accesso Anonimo” | Where {$_.ExtendedRights -Like “MS-Exch-SMTP-Accept-Authoritative-Domain-Sender”} | Remove-AdPermission

N.B. : nel precedente comando, l’identità speciale “Anonymous Logon” deve essere indicata esattamente come mostrato (cioè “NT Authority\Accesso Anonimo” se la lingua di installazione di Exchange è l’italiano, mentre deve essere indicata come “NT Authority\Anonymous Logon” se la lingua di installazione di Exchange è l’inglese.

Ecco l’esecuzione del comando :

rcv6.jpg

Fig. 6 : esecuzione del comando di rimozione dell’autorizzazione

Ed ecco ora il diverso comportamento per un client di posta non autenticato :

rcv7.jpg

Fig. 7 : mail rifiutata

Questa procedura riesce quindi a bloccare lo spam che utilizza indirizzi di posta interni “spoofati”.

Buon divertimento :-)

  • Share/Bookmark

10 Commenti a “Bloccare lo spam interno (dal proprio dominio di posta) in Exchange Server”


  1. Roberto Scrive:

    Ciao,
    grazie mille dell’articolo. Mi hai risolto un problema che stava affliggendo parecchi server di exchange che gestiamo!

    Una nota: dopo aver applicato quanto spiegato nell’articolo su server Exchange2010, andando ad aprire le proprietà del receive connector nella scheda “permission groups” (vedi fig. 3 dell’articolo) la casella “anonymous users” risulterà non flaggata e questo può confondere se uno non sa che in realtà il connector riceve comunque da utenze anonime, basta che non si identifichino come appartenenti al dominio mail gestito da exchange…


  2. Ivan Salvade' Scrive:

    Ciao Roberto

    Corretto. La console grafica non riporta le autorizzazioni parziali. L’autorizzazione “Anonymous Users”, secondo la console grafica, è l’insieme delle seguenti autorizzazioni estese :
    MS-Exch-SMTP-Accept-Authoritative-Domain-Sender
    MS-Exch-SMTP-Accept-Any-Sender
    MS-Exch-SMTP-Submit
    MS-Exch-Accept-Headers-Routing
    MS-Exch-Store-Create-Named-Properties
    MS-Exch-Create-Public-Folder

    Rimuovere da powershell una qualunque delle precedenti autorizzazioni, comporta la rimozione del flag “Anonymous Users” dalla console grafica, che non interpreta più in maniera “totale” l’autorizzazione.

    Consiglio di aggiungere, nel nome del connettore in console grafica, un mini-avviso che avverta della modifica effettuata, così nessuno sarà tratto in inganno.


  3. Roberto C. Scrive:

    Ciao Ivan,

    Ho un problema di spam che sto cercando di risolvere. Ovvero: Non a tutti gli utenti del mio environment, riceve chi più chi meno mail contenenti allegati e non da indirizzi con @miodominio.com e @x.com
    Volevo chiederti gentilmente se questa soluzione potrebbe effettivamente fare al mio caso e se si cosa potrebbe cambiare nel mio environment. Come puoi capire non sono un esperto e sto cercando consigli.

    Grazie


  4. Ivan Salvade' Scrive:

    Ciao Roberto C.
    scusa il ritardo, ma per problemi tecnici sul mio blog non ricevevo le segnalazioni dei commenti.

    Non è chiarissimo quello che mi stai chiedendo.
    Comunque la soluzione del mio articolo serve solo ad evitare che il proprio server Exchange riceva da Internet (o comunque da connettori SMTP su cui è impostato l’accesso anonimo) mail di spam che abbiano come mittente “qualunquenome@tuo_dominio_di_posta”.

    Ciao


  5. claudio nanni Scrive:

    Ciao Ivan, ti ringrazio per questo blog che e veramente molto utile

    la situazione da te illustrata e proprio quello che succede da me in azienda
    Pero inviando la funzione da te scritta mi da errore

    [PS] C:\Users\administrator.WORK\Desktop>Get-ReceiveConnector “Default PCEXCHANGE2010″ | Get-AdPermission -User “NT Auth
    ority\Accesso Anonimo” | Where {$_.ExtendedRights -Like “MS-Exch-SMTP-Accept-Authoritative-Domain-Sender”} | Remove-AdPermission

    Impossibile associare l’oggetto di input a qualsiasi parametro del comando. Il comando non accetta l’input da pipeline
    oppure l’input e le relative proprietà non corrispondono ad alcun parametro che accetta l’input da pipeline.
    + CategoryInfo : InvalidArgument: (Microsoft.Excha…sentationObject:PSObject) [Remove-ADPermission], ParameterBindingException
    + FullyQualifiedErrorId : InputObjectNotBound,Remove-ADPermission
    + PSComputerName : pcexchange2010


  6. Ivan Salvade' Scrive:

    Ciao Claudio
    hai provato “NT Authority\Anonymous Logon” invece di “NT Authority\Accesso Anonimo” ?
    Prova anche a lanciare il comando senza l’ultima pipe (cioè senza |Remove-Adpermission) e vedi se funziona…


  7. claudio nanni Scrive:

    Ciao Ivan ti ringrazio, eliminando |Remove-Adpermission funziona….
    Grazie.


  8. Rino Scrive:

    Ciao,

    ho rimosso le autorizzazioni,infatti adesso nel connettore di ricezione non c’è MS-Exh-SMTP-Accept-Authoritative-Domain-Sender ma se provo a inviare una mail con telnet la mail viene recapitata e continuano ad arrivare mail di spam.
    Grazie.


  9. Ivan Salvade' Scrive:

    Ciao Rino
    se hai eseguito i comandi esattamente come indicato nell’articolo, la prova con il Telnet deve restituire l’errore 550 5.7.1.
    Se così non è, probabilmente la macchina da cui esegui il telnet si connette ad un altro connettore di Exchange, e non a quello a cui hai tolto l’autorizzazione.
    Prova a consultare i logs del Message Tracking di Exchange per vedere quale connettore riceve la mail.

    Ciao


  10. Fabrizio Scrive:

    Ciao Ivan e grazie dell’utilissimo blog.

    sommerso da mail di spoofing ho seguito alla lettera le tue istruzioni risolvendo completamente il problema.
    Ora pero’ ne sorge un altro:

    in pratica nel mio Exchange, per necessità aziendali, abbiamo creato delle cartelle pubbliche per i FAX ricevuti, dove in pratica vengono archiviati tutti i fax ricevuti automaticamente.
    Il sender di tali fax su Outlook risulta essere fax@dominio.it… e poiché a questo utente non corrisponde un utente in Active Directory probabilmente tali mail vengono presumibilmente bloccate proprio a causa della regola impostata precedentemente per eliminare lo spoofing.
    Ora ti chiedo: c’è un modo per sloccare solo la mail relativa al fax, magari creando una regola che consideri a prescindere tale indirizzo mail valido?

    Grazie mille per l’attenzione.

    Fabrizio

Lascia un Commento

XHTML: Puoi usare i questi tag: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

 
Usiamo i cookie per assicurarti la migliore esperienza di navigazione nel nostro sito web.
Ok