SMTP Ограничение отправки почты.
 

Доброго времени суток, ситуация следующая. Стоит ексчанг 2003. Недавно столкнулся с проблемой, кто то через нас отправляет письма, наотпровляли аж полторы тысщщи. Провы дуют в трубы (мы используем их релей). Разобравшись и проверив стало понятно что любой доменный пользователь сможет с дому законектиться через аутглюк на наш сервер через SMPT и рассылать рассылать рассылать, если перекрыть 25 то почта приходить перестанет, есть ли в ексчанге настройка для запрещения подобной аутентификации из внешней сети ? Если да то как это сделать. Заранее спасибо.
Доп. инф. Сервер защищен модемом, на модеме стоит форвардинг на 25 порт.

В свойствах Default Virtual SMTP Server - Access - Relay снимите галку Allow all computers which succesfully authenticate to relay bla-bla-bla... Перезапустите виртуальный сервер.

Oleg Krylov, Галка снята и так. выбраны диапазоны адресов и пользователи "Прошедшие проверку"

Вот их и надо убрать.

Oleg Krylov, Кого? Пользователей прошедших проверку ? Так если поставить доменных то их ведь и брутят ...
А пул адресов релея это наш доменный пул и пул впн клиентов. А соль вот в чем, любой вася подобрав пароль к доменной учетке может указать наш внешний SMTP сервер и с дому пройдя на нем уатентификация слать лучи поноса куда захочет. Как этого избежать я не знаю, менять всем пароли 16 символов с высшей мерой секурности? Как то не охота всем зверям объяснять что мол теперь вы будете писать не 4 символа в пароле а 16 ...

В релее прописаны адреса принадлежащие нашей организации. В конекшонсах разрешены все адреса, иначе никто не сможет прислать письмо ... Выбрать почтовые сервера и вписать их пулы в доверенные, тоже как то не очень нравится..

:D Вы меня просто веселите, сорри :D
Если пароли к учетным записям подбираются брутфорсом, значит у Вас неправильно настроены политики безопасности домена. Обычно, по дефолту, после 10 попыток учетная запись блокируется на полчаса. Можно и еще гайки закрутить. Любой брутфорсер умрет, прежде чем подберет пароль. Уж не с конфикером ли боролись таким образом? ;)
Вы изменили политики, иначе Вам не позволило бы создать столь короткий пароль. По умолчанию пароль должен содержать не менее 8 символов минимум 3 видов. Ослабление политики в угоду пользователям дело, конечно, хозяйское. Но проблемы, вызванные этим, тоже проблемы личные, как не прискорбно. Вы же не передалываете замок в доме на открывание ногтем, что несомненно удобнее. не надо заботиться о том взяли Вы ключ из дома или нет. То же и с безопасностью.
Что тут посоветовать... Однозначно запретить любой релей на 25 порту. Создавайте дополнительный виртуальный SMTP-сервер и публикуйте на нестандартном порту. Кстати, советую избегать распространенныхх портов, типа 2525. Хотя это слабо поможет. С Outlook RPS over HTTPS возиться тоже нет желания\возможности? Тогда Ваш путь TLS и 587 порт. Но можно подобрать пароль и через OWA, если политики безопасности такие расслабленные.

Я ваши пароли тоже смогу подобрать брутфорсом, это дело времени. Если есть возможность то рано или поздно это ломается. Конечно если пароль 1234 он будет в первой десятке слов словаря. У нас пароли не такие. Но к сожалению и не 16 символов, я это понимаю, ржать не нужно. Учетки блочатса, при чем после 3 неудачных попыток, настраивал специально из за несоответствия паролей требованиям безопасности.
В общем ничего нового не узнал, может быть спам рассылается каим то другим образом, но как я не представляю, единственный понятный для меня способ это использование нашей учетки чтобы пройти аутентификацию, по другому идентифицироваться нельзя у нас .........

если я правильно понял - релей, это когда вы отсылаете почту прову, а он уже во внешний мир, и получает почту сначала релей, и пересылает вам.
А форвардинг у вас настроен на приём запросов только с релея или со всех адресов?

Теория вероятности говорит об обратном. Увеличение длины пароля на 1 символ увеличивает срок подбора на порядок. Если пароли сгенерированы генератором, а не просто Alligator86, это исключит возможность использования словаря. Что приведет к нереальности брутфорса в обозримые сроки.
Так а Вы для начала проверьтесь на http://tests.nettools.ru на Open Relay. Убедитесь в отсутствии вирусни на машинах. Один спам-бот может используя текущий контекст пользователя наслать столько дряни, что любой провайдер повесится. Вы для начала запарсите SMTP-логи. Это может помочь в выявлении причины.
У Вас 25 исходящий открыт только одному серверу? Не используется ли он в качестве шлюза для остальных клиентов?

Доброго времени суток, есть сервер\ексчендж2003 стандарт необходимо разграничинить права юзерам на Глобал (возможность отправлять письма в мир) и локал (только внутри сервера), поверхностный поиск по форуму результата не дал, если тема обсуждалась дайте линк на тему или мануал, ну или так в какую сторону копать)

возможно как вариант - два виртуальных SMTP сервера. Один отвечает за внешку, другой за внутреннюю почту.

а как привязать юзеров (400 чел+) с наименьшей головной болью для себя?) планируется что большая часть будет пересылать письма локально, а по поводу еще одного сервера, сейчас вот пересмотрел настройки и чтот не понял, где урезать отправку в мир...

ЗЫ. вообще думал через смтп коннектор привязать, но не пойму как правильно сделать, чтобы имея общий домен company.com разделить юзеров на 2 группы, на двух разных доменах какбы понятно как реализуется это все...

одному виртуальному разрещаете отправлять во вне, другому нет.
Но, кажется, в этом случае у сотрудников будет ДВА почтовых адреса (один, у тех, кто только локально)

навсяк уточню правильно ли понял: создаю 2 группы smtp_global, smtp_local (в каждую заношу необходимых юзеров) добавляю их согласно п.7 и для первой отмечаю доступ и релей для второй ток доступ, после чего удаляю группу пользователи домена.

еще такой вопрос как разграничить почту на сервере:
пользователи разбиты на группы, когда письмо приходит из мира юзеру оно форвардится на ящик группы, с этим понятно,.. а вот как при этом сделать чтоб локальная почта ложилась в ящик юзеру, а не шла форвардом на ящик группы?