Exchange 2013 – Spammails mit Absender aus der eigenen Domäne blockieren
Vorgehen
E-Mails, deren Absender nicht dem tatsächlichen Absender entsprechen, bezeichnet man als gespoofte E-Mails. Bei diesen wurde der E-Mail Header im Rahmen eines anonymen SMTP-Logins vorsätzlich dahingehend verändert – sie stammen also meistens gar nicht von innerhalb der Domäne, sondern werden von extern versendet.Der Ansatz in diesem Blogbeitrag ist, am zuständigen Empfangskonnektor des Exchange-Servers alle E-Mails anonymer SMTP-Logins zu blockieren, bei welchen als Absender eine Adresse aus der eigenen Domäne eingetragen ist. Jegliche anderen, externen E-Mails sollen dabei selbstverständlich weiter empfangen werden - genauso wie E-Mails authentifizierter Logins.
Umsetzung
Um das gewünschte Verhalten umzusetzen, muss dem für externen E-Mailverkehr zuständigen Empfangskonnektor - meist der Default Frontend Empfangskonnektor - die Berechtigung ms-exch-smtp-accept-authoritative-domain-sender für den NT AUTHORITY\Anonymous Logon Benutzer entzogen werden. Auf deutschen Systemen heißt der Account NT-AUTHORITÄT\Anonymous-Anmeldung. Dies lässt sich über folgenden Befehl in der Exchange Management Shell bewerkstelligen:Get-ReceiveConnector “Default Frontend Empfangskonnektor” | Get-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” | ? {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission
Sollte nach diesem Vorgehen die Problematik weiterhin bestehen, muss zusätzlich noch die ms-exch-smtp-accept-any-sender Berechtigung entzogen werden. Sitzungen ohne diese Berechtigung sind nicht mehr in der Lage, in irgendeiner Weise Spoofingüberprüfungen der Absenderadresse zu umgehen. Dies lässt sich über folgenden Befehl in der Exchange Management Shell bewerkstelligen:
Get-ReceiveConnector “Default Frontend Empfangskonnektor” | Get-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” | ? {$_.ExtendedRights -like “ms-exch-smtp-accept-any-sender”} | Remove-ADPermission
Der Name des Empfangskonnektors und des Benutzeraccounts muss je nach System und Konfiguration angepasst werden. Eine Liste mit Erklärungen zu den erweiterten Rechten finden Sie unter [1]. Zur Sicherheit sollte nach diesen Änderungen der Empfang und Versand erwünschter externer E-Mails überprüft werden. Falls es hierbei unerwarteter Weise zu Problemen kommen sollte, können die letzten Änderungen über folgende Befehle wieder rückgängig gemacht werden:
Get-ReceiveConnector “ Default Frontend Empfangskonnektor ” | Add-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” -ExtendedRights “ms-exch-smtp-accept-any-sender”
Get-ReceiveConnector “ Default Frontend Empfangskonnektor ” | Add-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” -ExtendedRights “ ms-exch-smtp-accept-authoritative-domain-sender ”
Abschlussbemerkung
Nach diesem Vorgehen wird es anschließend nicht mehr möglich sein, SMTP Mails von einem anonymen Login mit einem auf eine Adresse innerhalb der Domäne verändertem E-Mailheader auf dem betroffenen Empfangskonnektor zu empfangen. Haben Sie also beispielsweise interne Ressourcen (Drucker, Software etc.) die auf diese Praxis zurückgreifen und entgegen der Best Practice für diese keinen separaten Empfangskonnektor eingerichtet, könnte dies zu Problemen führen.Links
[1] https://technet.microsoft.com/de-de/library/jj673053(v=exchg.150).aspxMEHR BLOG-KATEGORIEN
- ASP.NET
- Active Directory
- Administration Tools
- Allgemein
- Backup
- ChatBots
- Configuration Manager
- DNS
- Data Protection Manager
- Deployment
- Endpoint Protection
- Exchange Server
- Gruppenrichtlinien
- Hyper-V
- Intune
- Konferenz
- Künstliche Intelligenz
- Linux
- Microsoft Office
- Microsoft Teams
- Office 365
- Office Web App Server
- Powershell
- Remote Desktop Server
- Remote Server
- SQL Server
- Sharepoint Server
- Sicherheit
- System Center
- Training
- Verschlüsselung
- Virtual Machine Manager
- Visual Studio
- WSUS
- Windows 10
- Windows 8
- Windows Azure
- Windows Client
- Windows Server
- Windows Server 2012
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Zertifikate