Включение анонимной ретрансляции на соединителе приема

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-07-02

В этом разделе описывается, как использовать консоль управления Exchange или командную консоль Exchange для создания и настройки соединителя приема, разрешающего анонимную ретрансляцию. Соединитель приема настраивается на серверах, на которых установлена роль транспортного сервера-концентратора или пограничного транспортного сервера Microsoft Exchange Server 2007.

Ретрансляция — это передача сообщений с одного SMTP-сервера обмена сообщениями на другой, при которой принимающий SMTP-сервер не является конечным сервером. Неограниченная анонимная ретрансляция на SMTP-серверах является серьезной уязвимостью системы безопасности, которой могут воспользоваться лица, рассылающие нежелательную почту, чтобы скрыть источник своих сообщений. Поэтому на серверы обмена сообщениями с выходом в Интернет накладываются ограничения, которые запрещают выполнять ретрансляцию на неавторизованные серверы назначения.

В Exchange 2007 ретрансляция обычно выполняется с помощью обслуживаемых доменов. Обслуживаемые домены настраиваются на пограничном транспортном сервере или транспортном сервере-концентраторе. Обслуживаемые домены дополнительно подразделяются на домены внутренней ретрансляции или домены внешней ретрансляции. Дополнительные сведения об обслуживаемых доменах см. в разделе Управление принятыми доменами.

Анонимную ретрансляцию также можно ограничить на основе источника входящих сообщений. Этот способ полезен в том случае, если неавторизованному приложению или серверу обмена сообщениями необходимо использовать транспортный сервер-концентратор или пограничный транспортный сервер в качестве сервера ретрансляции.

Предварительная подготовка

Для выполнения описанных ниже действий используемой учетной записи необходимо делегировать следующие роли:

  • роль администратора сервера Exchange и членство в локальной группе администраторов на целевом сервере.

Чтобы выполнить описанные ниже действия на компьютере с установленной ролью пограничного транспортного сервера, необходимо войти в систему с учетной записью, входящей в локальную группу администраторов.

Дополнительные сведения о разрешениях, делегировании ролей и правах, необходимых для администрирования Exchange 2007, см. в разделе Вопросы, связанные с разрешениями

Создание соединителя приема, разрешающего анонимную ретрансляцию источникам с определенными IP-адресами

При создании соединителя приема, разрешающего анонимную ретрансляцию, для него необходимо установить следующие ограничения:

  • Параметры локальной сети. Разрешите соединителю приема выполнять прослушивание только для определенной сетевой платы на транспортном сервере-концентраторе или пограничном транспортном сервере.

  • Настройки удаленной сети. Разрешите соединителю приема принимать подключения только с определенных серверов. Это ограничение является обязательным, поскольку соединитель приема настроен на прием ретрансляции от анонимных пользователей. Ограничение исходных серверов по IP-адресу является единственной мерой защиты, которая разрешена на данном соединителе приема.

Чтобы предоставить анонимным пользователям разрешение на ретрансляцию через соединитель приема, можно воспользоваться одной из стратегий, описанных в последующих разделах. Каждая стратегия имеет свои преимущества и недостатки.

Предоставление разрешения на ретрансляцию анонимным подключениям

Эта стратегия включает следующие задачи:

  • создание соединителя приема с типом использования Custom;

  • добавление группы разрешений «Анонимные» для соединителя приема;

  • назначение разрешения на ретрансляцию участнику безопасности «Анонимный вход» для соединителя приема.

Группа разрешений «Анонимные» предоставляет участнику безопасности «Анонимный вход» для соединителя приема следующие разрешения:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

Однако чтобы разрешить анонимную ретрансляцию через этот соединитель приема, участнику безопасности «Анонимный вход» в соединителе приема необходимо также предоставить следующее разрешение:

  • Ms-Exchange-SMTP-Accept-Any-Recipient

Преимущество этой стратегии заключается в том, что она предоставляет указанным удаленным IP-адресам минимально необходимые для ретрансляции разрешения.

Недостатки этой стратегии заключаются в следующем:

  • для назначения разрешения на ретрансляцию для учетной записи «Анонимный вход» на соединителе приема необходимо испоьзовать командную консоль Exchange после создания соединителя приема;

  • сообщения с указанных IP-адресов считаются анонимными. Таким образом, эти сообщения не обходят проверку на нежелательную почту и на ограничения размера сообщения, а анонимные отправители не разрешаются. Процесс разрешения анонимных отправителей приводит к принудительному сопоставлению адреса электронной почты отправителя и соответствующего краткого имени в глобальном списке адресов.

    noteПримечание.
    Если на компьютере с Windows Server 2008 установлен сервер Exchange 2007 с пакетом обновления 1 (SP1), IP-адреса и диапазоны IP-адресов можно вводить в формате IP версии 4, IP версии 6 или в обоих форматах. Если система Windows Server 2008 установлена в конфигурации по умолчанию, поддержка протоколов IP версии 4 и IP версии 6 включена.
    Настоятельно не рекомендуется настраивать соединители получения на прием анонимных подключений с неизвестных адресов IP версии 6. При настройке соединителя получения на прием анонимных подключений с неизвестных адресов IP версии 6 количество нежелательной почты, поступающей в организацию, наверняка возрастет. В настоящее время не существует общепринятого промышленного стандарта для протокола, осуществляющего поиск адресов IP версии 6. Большинство поставщиков черных списков IP-адресов не поддерживает адреса IP версии 6. Следовательно, если разрешить анонимные подключения с неизвестных адресов IP версии 6 на соединителе получения, шансы лиц, рассылающих нежелательную почту, на обход черного списка IP-адресов возрастут, а нежелательная почта будет доставлена в организацию.
    Дополнительные сведения о поддержке адресов IP версии 6 в Exchange 2007 с пакетом обновления 1 см. в разделе Поддержка протокола IP версии 6 в сервере Exchange Server 2007 с пакетом обновления 1 (SP1) и пакетом обновления 2 (SP2). Дополнительные сведения о фильтрации подключений, добавлении IP-адресов в белый и черный списки IP-адресов и настройке служб поставщиков черных и белых списков IP-адресов см. в разделе Настройка фильтрации подключения.

Создание соединителя приема, предоставляющего анонимным подключениям разрешение на ретрансляцию, с помощью консоли управления Exchange

  1. Откройте консоль управления Exchange. Выполните одно из указанных ниже действий.

    1. Чтобы создать соединитель приема на компьютере с установленной ролью пограничного транспортного сервера, выберите узел Пограничный транспортный сервер, а затем в рабочей области откройте вкладку Получающие соединители.

    2. Чтобы создать соединитель приема на компьютере с установленной ролью транспортного сервера-концентратора, в дереве консоли разверните узел Настройка серверов и выберите пункт Транспортный сервер-концентратор. В области результатов выберите сервер, на котором требуется создать соединитель, а затем откройте вкладку Получающие соединители.

  2. На панели действий выберите пункт Создать соединитель получения. Запустится мастер создания соединителя приема SMTP.

  3. На странице Введение выполните указанные ниже действия.

    1. В поле Имя введите значимое имя этого соединителя. Это имя будет использоваться в качестве идентификатора соединителя.

    2. В поле Выберите назначение для этого соединителя получения выберите пункт Настраиваемый.

    3. Нажмите кнопку Далее.

  4. На странице Параметры локальной сети выполните указанные ниже действия.

    1. Выберите существующую запись Все доступные и нажмите кнопку Значок "Удалить".

    2. Нажмите кнопку Добавить. В диалоговом окне Добавить привязку получающего соединителя выберите пункт Укажите IP-адрес. Введите IP-адрес, назначенный сетевой плате на локальном сервере, который наилучшим образом подходит для связи с удаленным сервером обмена сообщениями.

    3. На странице Параметры локальной сети в поле Порт введите 25 и нажмите кнопку ОК.

    4. Нажмите кнопку Далее.

  5. На странице Настройки удаленной сети выполните указанные ниже действия.

    1. Выберите существующую запись 0.0.0.0 — 255.255.255.255 и нажмите кнопку Значок "Удалить".

    2. Нажмите кнопку Добавить или стрелку рядом с надписью Добавить и введите IP-адрес или диапазон IP-адресов для удаленного сервера или серверов, которым разрешено ретранслировать почту на этот сервер. После ввода IP-адресов нажмите кнопку ОК.

    3. Нажмите кнопку Далее.

  6. На странице Создать соединитель просмотрите сводку конфигурации соединителя. Чтобы изменить параметры, нажмите кнопку Назад. Чтобы создать соединитель приема с параметрами, указанными в сводке конфигурации, нажмите кнопку Создать.

  7. На странице Завершение нажмите кнопку Готово.

  8. В рабочей области выберите созданный соединитель приема.

  9. Рядом с именем соединителя приема на панели действий нажмите кнопку Свойства, чтобы открыть страницу Свойства.

  10. Откройте вкладку Группы разрешений. Выберите пункт Анонимные пользователи.

  11. Нажмите кнопку ОК, чтобы сохранить изменения и закрыть страницу Свойства.

  12. Откройте командную консоль Exchange.

  13. Выполните следующую команду, используя имя соединителя приема, созданного в действиях 1—11:

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Создание соединителя приема, предоставляющего анонимным подключениям разрешение на ретрансляцию, с помощью командной консоли Exchange

  1. Выполните следующую команду:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
    

    Например, чтобы создать соединитель приема с именем «Anonymous Relay» (анонимная ретрансляция), который осуществляет прослушивание локального IP-адреса 10.2.3.4 на порту 25 с исходного сервера с IP-адресом 192.168.5.77, выполните следующую команду:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    
  2. Выполните следующую команду, используя имя соединителя приема, созданного в действии 1:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Настройка соединителя приема с внешней защитой

Эта стратегия включает следующие задачи:

  • создание соединителя приема с типом использования Custom;

  • добавление группы разрешений ExchangeServers для соединителя приема;

  • добавление способа проверки подлинности ExternalAuthoritative для соединителя приема.

Группа разрешений ExchangeServers необходима при выборе способа проверки подлинности ExternalAuthoritative. При таком сочетании способа проверки подлинности и группы разрешений каждому входящему подключению, разрешенному на соединителе приема, предоставляются следующие разрешения:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-SMTP-Accept-Authentication-Flag

Преимущества этой стратегии заключаются в следующем:

  • простота настройки;

  • сообщения с указанных IP-адресов считаются прошедшими проверку подлинности. Сообщения обходят проверку на нежелательную почту и на ограничения размера сообщения, а также позволяют разрешать анонимных отправителей.

Недостаток этой стратегии заключается в том, что удаленные IP-адреса считаются полностью заслуживающими доверия. Разрешения, предоставленные удаленным IP-адресам, позволяют удаленному серверу обмена сообщениями отправлять сообщения таким образом, как будто они отправляются внутренними отправителями в организации Exchange.

Создания соединителя приема с внешней защитой с помощью консоли управления Exchange

  1. Откройте консоль управления Exchange. Выполните одно из указанных ниже действий.

    1. Чтобы создать соединитель приема на компьютере с установленной ролью пограничного транспортного сервера, выберите узел Пограничный транспортный сервер, а затем в рабочей области откройте вкладку Получающие соединители.

    2. Чтобы создать соединитель приема на компьютере с установленной ролью транспортного сервера-концентратора, в дереве консоли разверните узел Настройка серверов и выберите пункт Транспортный сервер-концентратор. В области результатов выберите сервер, на котором требуется создать соединитель, а затем откройте вкладку Получающие соединители.

  2. На панели действий выберите пункт Создать соединитель получения. Запустится мастер создания соединителя приема SMTP.

  3. На странице Введение выполните указанные ниже действия.

    1. В поле Имя введите значимое имя этого соединителя. Это имя будет использоваться в качестве идентификатора соединителя.

    2. В поле Выберите назначение для этого соединителя получения выберите пункт Настраиваемый.

    3. Нажмите кнопку Далее.

  4. На странице Параметры локальной сети выполните указанные ниже действия.

    1. Выберите существующую запись Все доступные и нажмите кнопку Значок "Удалить".

    2. Нажмите кнопку Добавить. В диалоговом окне Добавить привязку получающего соединителя выберите пункт Укажите IP-адрес. Введите IP-адрес, назначенный сетевой плате на локальном сервере, который наилучшим образом подходит для связи с удаленным сервером обмена сообщениями.

    3. На странице Параметры локальной сети в поле Порт введите 25 и нажмите кнопку ОК.

    4. Нажмите кнопку Далее.

  5. На странице Настройки удаленной сети выполните указанные ниже действия.

    1. Выберите существующую запись 0.0.0.0 — 255.255.255.255 и нажмите кнопку Значок "Удалить".

    2. Нажмите кнопку Добавить или стрелку рядом с надписью Добавить и введите IP-адрес или диапазон IP-адресов для удаленного сервера или серверов, которым разрешено ретранслировать почту на этот сервер. После ввода IP-адресов нажмите кнопку ОК.

    3. Нажмите кнопку Далее.

  6. На странице Создать соединитель просмотрите сводку конфигурации соединителя. Чтобы изменить параметры, нажмите кнопку Назад. Чтобы создать соединитель приема с параметрами, указанными в сводке конфигурации, нажмите кнопку Создать.

  7. На странице Завершение нажмите кнопку Готово.

  8. В рабочей области выберите созданный соединитель приема.

  9. Рядом с именем соединителя приема на панели действий нажмите кнопку Свойства, чтобы открыть страницу Свойства.

  10. Откройте вкладку Группы разрешений. Выберите пункт Серверы Exchange Server.

  11. Откройте вкладку Проверка подлинности. Выберите пункт Внешняя защита (например, с помощью IPsec).

  12. Нажмите кнопку ОК, чтобы сохранить изменения и закрыть страницу Свойства.

Создания соединителя приема с внешней защитой с помощью командной консоли Exchange

  • Выполните следующую команду:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
    

    Например, чтобы создать соединитель приема с именем «Anonymous Relay» (анонимная ретрансляция), который осуществляет прослушивание локального IP-адреса 10.2.3.4 на порту 25 с исходного сервера с IP-адресом 192.168.5.77, выполните следующую команду:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    

Дополнительные сведения

Дополнительные сведения см. в следующих разделах: