我有一个Small Business Server 2003(Exchange 2003 SP2)。 在PCI合规性审核期间,被标记为未通过开放中继。 我用telnet来testing,这里是我发现的:
MAIL FROM: <[email protected]> 250 2.1.0 [email protected] OK RCPT TO: <"[email protected]"> 250 2.1.5 "[email protected]"@mydomain.com 只要地址格式错误,中继就会失败。 服务器总是返回一个250的状态,但也总是把我的域名添加到地址的末尾。
我将服务器configuration为仅中继在IIS站点的错误报告模块上configuration的内部IP地址。
使用有效的电子邮件地址进行testing(但用引号和尖括号格式化)导致没有收到邮件。 有没有办法利用这个,如果是的话,我该如何禁用这个?
我认为举证责任在他们身上 – 他们需要certificate它实际上是封装地址,这是一个漏洞。
你不能certificate一个消极的; 您无法certificate地址恶意的各种可能组合都将被拒绝。 为了certificate合规性,不应期望您的电子邮件服务器的收件人地址字段模糊不清 ; testing这些事情并报告发现的问题是扫描仪得到的报酬。
接收响应一直发生在没有被传送的消息中(特别是对于垃圾信息) – 根据特定的响应代码来承担开放的中继是不负责任的。 每一个我见过的这种types的扫描供应商实际上都会将这个消息发送到一个互联网地址,以便他们能够确认他们是否能够成功地进行中继。
您的testing显示,尽pipe有响应码,邮件仍然没有被中继,最后在您的域名中增加了额外的证据表明邮件完全没有通过。 然而,他们可能会以不同的方式错误的地址,并看到不同的行为。 询问他们发送的确切stream量,以及他们得到的确切回应,以及他们的扫描是否确认通过互联网进行中继。 如果他们这样做,重现它; 这应该是您在这里执行尽职调查的程度。
如果他们不能certificate你实际上很容易受到这个漏洞的攻击,那么他们的扫描是毫无意义的,你应该反驳他们的发现。