相关: Exchange 2010具有accept-any-sender权限的匿名用户?
选中“匿名用户”安全设置的连接器的Exchange 2013默认设置会将以下权限授予连接器:
User ExtendedRights Deny ---- -------------- ---- NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Any-Sender} False NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender} False NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Accept-Headers-Routing} False NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-SMTP-Submit} False NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Store-Create-Named-Properties} False NT AUTHORITY\ANONYMOUS LOGON {ms-Exch-Create-Public-Folder} False NT AUTHORITY\ANONYMOUS LOGON False NT AUTHORITY\ANONYMOUS LOGON False “接受任何发件人”显然是必需的,因为否则传入的电子邮件根本不会通过,也“SMTP提交”是必需的。 但是“ms-Exch-SMTP-Accept-Authoritative-Domain-Sender”呢? 这里解释权利为“允许发送任何托pipe在连接的服务器的Exchange组织上的域”,或者“ Get-AcceptedDomain中列为“权威”的任何域。 我期望这个权利是多余的,并且坦率地说不利于维护,但撤销这个使得Exchange连接器显示没有人有足够的权利通过这个连接器发送邮件。 不过,收到的邮件stream不会因此而中断。
为什么默认情况下在启用匿名的Exchange连接器上是正确的? 是否足够安全地删除这个权利,因为没有外部设备应该通过这个不安全的连接器发送邮件(它只有STARTTLS作为安全选项,默认情况下没有auth设置被定义)? 而且,如果连接器正面对互联网,我是否应该允许任何不安全的连接器? 还有什么权限“创build公用文件夹”?
接收连接器上的默认权限对于大多数实现是安全的。 启用匿名是大多数网站必须做的唯一的事情。 您标记的权限通常会被删除,以尝试处理欺骗问题,在这种情况下,电子邮件将通过“发件人”行与您自己的域相同的方式发送到您的服务器。 然而,为什么您会接受这些电子邮件的正当理由 – 一个来自以some@@example.com(example.com为您的域)发送电子邮件的Web服务器的常见方式,并将副本发送给内部收件人。 因此,您需要非常小心地考虑是否删除权限。