Autorizzazione all'esecuzione dell'inoltro anonimo sui server di Exchange

L'inoltro aperto è un aspetto molto negativo per i server di messaggistica su Internet. I server di messaggistica che sono accidentalmente o intenzionalmente configurati come inoltro aperto fanno in modo che la posta da qualsiasi origine venga reinstradata attraverso il server di inoltro aperto in modo trasparente. Questo comportamento maschera l'origine originale dei messaggi, facendo sembrare che la posta provenga dal server di inoltro aperto. I server di inoltro aperto sono molto ricercati e utilizzati dagli spammer, quindi è bene assicurarsi che i propri server di messaggistica non siano configurati per l'inoltro aperto.

D'altra parte, l'inoltro anonimo è un requisito comune per molte aziende con server Web interni, server di database, applicazioni di monitoraggio o altri dispositivi di rete che creano messaggi di posta elettronica, ma che non sono in grado di inviare effettivamente tali messaggi.

In Exchange Server è possibile creare un connettore di ricezione dedicato nel servizio Trasporto Front End in un server Cassette postali che consente l'inoltro anonimo da un elenco specifico di host di rete interni. Ecco alcune considerazioni chiave per il connettore di ricezione di inoltro anonimo:

• È necessario creare un connettore di ricezione dedicato per specificare gli host di rete autorizzati a inoltrare i messaggi in modalità autonoma, per poter escludere altri utenti o operazioni dall'utilizzo del connettore. Non tentare di aggiungere la funzionalità di inoltro anonimo ai connettori di ricezione predefiniti creati da Exchange. È fondamentale limitare l'accesso al connettore di ricezione perché non si vuole configurare il server come inoltro aperto.

• È necessario creare il connettore di ricezione dedicato nel servizio Trasporto front-end, non nel servizio di trasporto. In Exchange Server, il servizio Trasporto front-end e il servizio trasporto si trovano sempre insieme nei server Cassette postali. Il servizio Trasporto Front End dispone di un connettore di ricezione predefinito denominato NomeServer> Front-end< predefinito configurato per l'ascolto delle connessioni SMTP in ingresso da qualsiasi origine sulla porta TCP 25. È possibile creare un altro connettore di ricezione nel servizio Trasporto front-end che attende le connessioni SMTP in ingresso su porta TCP 25, ma è necessario specificare gli indirizzi IP autorizzati a usare il connettore. Il connettore di ricezione dedicato sarà sempre usato per le connessioni in ingresso da quegli host di rete specifici (il connettore di ricezione configurato con la corrispondenza più specifica all'indirizzo IP del server di connessione ha la priorità).

  Al contrario, il servizio trasporto dispone di un connettore di ricezione predefinito denominato Default <ServerName> configurato anche per l'elenco per le connessioni SMTP in ingresso da qualsiasi origine, ma questo connettore è in ascolto sulla porta TCP 2525 in modo che non sia in conflitto con il connettore di ricezione nel servizio Trasporto front-end. Inoltre, solo altri servizi di trasporto e server Exchange dell'organizzazione possono utilizzare tale connettore di ricezione, quindi i metodi di autenticazione e crittografia vengono impostati di conseguenza.

  Per ulteriori informazioni, vedere Mail flow and the transport pipeline e Connettori di ricezione predefiniti creati durante l'installazione.

• Dopo aver creato il connettore di ricezione dedicato, è necessario modificarne le autorizzazioni per consentire l'inoltro anonimo solo dagli host di rete specificati come indicato dai rispettivi indirizzi IP. Come minimo, gli host di rete necessitano delle seguenti autorizzazioni sul connettore di ricezione per l'inoltro anonimo dei messaggi:

  • ms-Exch-Accept-Headers-Routing

  • ms-Exch-SMTP-Accept-Any-Recipient

  • ms-Exch-SMTP-Accept-Any-Sender

  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • ms-Exch-SMTP-Submit

    Per ulteriori informazioni sulle autorizzazioni relative ai connettori di ricezione, vedere Gruppi di autorizzazioni per il connettore di ricezione e Autorizzazioni del connettore di ricezione.

    Esistono due modi diversi per poter configurare le autorizzazioni necessarie per l'inoltre anonimo su un connettore di ricezione. I metodi sono descritti nella tabella seguente.

Metodo	Autorizzazioni concesse	Vantaggi	Svantaggi
Aggiungere il gruppo di autorizzazioni Utenti anonimi (Anonymous) al connettore di ricezione e aggiungere l'autorizzazione Ms-Exch-SMTP-Accept-Any-Recipient all'entità NT AUTHORITY\ANONYMOUS LOGON di sicurezza nel connettore di ricezione.	Le connessioni usano l'entità NT AUTHORITY\ANONYMOUS LOGON di sicurezza con le autorizzazioni seguenti: ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Submit	Concede le autorizzazioni minime necessarie per consentire l'inoltro anonimo.	Più difficile da configurare (è necessario utilizzare Exchange Management Shell). Gli host di rete sono considerati mittenti anonimi. I messaggi non ignorano i controlli antispam o di limite delle dimensioni dei messaggi e l'indirizzo di posta elettronica del mittente non può essere risolto con il nome visualizzato corrispondente (se presente) nell'elenco indirizzi globale.
Aggiungere il gruppo di autorizzazioni server Exchange (ExchangeServers) e il meccanismo di autenticazione protetto esternamente (ExternalAuthoritative) al connettore di ricezione.	Le connessioni usano l'entità MS Exchange\Externally Secured Servers di sicurezza con le autorizzazioni seguenti: ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit	Più facile da configurare (è possibile effettuare qualsiasi operazione nell'Interfaccia di amministrazione di Exchange). Gli host di rete sono considerati mittenti autenticati. I messaggi ignorano i controlli antispam e di limite delle dimensioni dei messaggi e l'indirizzo di posta elettronica del mittente può essere risolto con un nome visualizzato corrispondente nell'elenco indirizzi globale.	Concede le autorizzazioni all'inoltro dei messaggi come se fossero originati da mittenti interni all'organizzazione di Exchange. Gli host di rete sono considerati affidabili, indipendentemente dal volume, dalle dimensioni o dal contenuto dei messaggi inviati.

Infine, è necessario scegliere l'approccio più adatto alle esigenze dell'organizzazione. Ecco come configurare entrambi i metodi. Occorre tenere presente che è possibile utilizzare o un metodo o l'altro, non entrambi contemporaneamente.

Che cosa è necessario sapere prima di iniziare

• Tempo stimato per il completamento di questa attività: 10 minuti.

• Alcune di queste procedure richiedono Exchange Management Shell. Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

• Per eseguire queste procedure, è necessario disporre delle autorizzazioni appropriate. Per sapere quali autorizzazioni sono necessarie, vedere "Connettori di ricezione" nell'argomento Autorizzazioni per il flusso di posta.

• Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Passaggio 1: Creare un connettore di ricezione dedicato per l'inoltro anonimo

È possibile creare il connettore di ricezione nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell.

Utilizzare l'interfaccia di amministrazione di Exchange per creare un connettore di ricezione dedicato per l'inoltro anonimo.

1. Nell'interfaccia di amministrazione di Exchange passare aConnettori di ricezioneflusso> di posta e quindi fare clic Viene avviata la procedura guidata Nuovo connettore di ricezione.

2. Nella prima pagina immettere le informazioni seguenti:

   • Nome: immettere un nome descrittivo per il connettore di ricezione, ad esempio Inoltro anonimo.

   • Ruolo: selezionare Trasporto front-end.

   • Tipo: selezionare Personalizzato.

     Al termine dell'operazione, fare clic su Avanti.

3. Nella pagina successiva, nella sezione Binding scheda di rete, eseguire una delle operazioni seguenti:

   • Se il server Exchange dispone di una scheda di rete e non separa il traffico interno ed esterno utilizzando subnet diverse, accettare la voce (Tutti gli IPv4 disponibili) sulla porta 25.

   • Se il server Exchange dispone di una scheda di rete interna e di una scheda di rete esterna, e separa il traffico di rete interno ed esterno utilizzando subnet diverse, è possibile migliorare ulteriormente la sicurezza per il connettore limitando l'uso del connettore alle richieste che hanno origine nella scheda di rete interna. Procedura:

     1. Selezionare la voce esistente (Tutti ipv4 disponibili), fare clic e quindi fare clic su Aggiungi.

     2. Nella finestra di dialogo Binding scheda di rete risultante, selezionare Specifica un indirizzo IPv4 o IPv6 e immettere un indirizzo IP valido e disponibile configurato nella scheda di rete interna, quindi fare clic su Salva.

   Al termine dell'operazione, fare clic su Avanti.

4. Nella pagina successiva, nella sezione Impostazioni di rete remota , seguire questa procedura:

   1. Selezionare la voce esistente 0.0.0.0-255.255.255.255 , quindi fare clic su Rimuovi e quindi su Aggiungi.

   2. Nella finestra di dialogo Impostazioni della rete remota, immettere un indirizzo IP o un intervallo di indirizzi IP che identifica gli host di rete autorizzati all'uso di questo connettore, quindi fare clic su Salva. È possibile ripetere questo passaggio per aggiungere più indirizzi IP o intervalli di indirizzi IP. Procedere con la massima precisione per identificare chiaramente gli host di rete che sono autorizzati a usare questo connettore.

   Al termine dell'operazione, scegliere Fine.

Utilizzare l'Exchange Management Shell per creare un connettore di ricezione dedicato per l'inoltro anonimo.

Per creare lo stesso connettore di ricezione in Exchange Management Shell, utilizzare la sintassi seguente:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

In questo esempio viene creato un nuovo connettore di ricezione con le seguenti opzioni di configurazione:

• Nome: Inoltro anonimo

• Ruolo trasporto: FrontEndTransport

• Tipo di utilizzo: Personalizzato

• Associazioni: 0.0.0.0:25 (in ascolto dei messaggi in ingresso su tutti gli indirizzi IP configurati in tutte le schede di rete nel server Exchange sulla porta TCP 25).

• Indirizzi IP remoti autorizzati a usare questo connettore: 192.168.5.10 e 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Note:

• Il parametro Bindings è obbligatorio quando si specifica il tipo di utilizzo personalizzato.

• Il parametro RemoteIpRanges accetta un singolo indirizzo IP, un intervallo di indirizzi IP (ad esempio, 192.168.5.10-192.168.5.20) o Il routing interdominio senza classe (CIDR) (ad esempio, 192.168.5.1/24). È possibile specificare più valori separati da virgole.

Passaggio 2: Configurare le autorizzazioni per l'inoltro anonimo sul connettore di ricezione dedicato

Come descritto nell'introduzione, esistono due metodi diversi che consentono di configurare le autorizzazioni necessarie per il connettore di ricezione:

• Configurare le connessioni come anonime.

• Configurare le connessioni come protette esternamente.

Scegliere uno di questi metodi. Negli esempi viene utilizzato il connettore di ricezione denominato Inoltro anonimo che è stato creato nella fase 1.

Configurare le connessioni come anonime

In Exchange Management Shell, eseguire i comandi seguenti:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configurare le connessioni come protette esternamente

1. Nell'interfaccia di amministrazione di Exchange passare aConnettori di ricezioneflusso> di posta, selezionare il connettore inoltro anonimo e quindi fare clic

2. Nelle proprietà del connettore, fare clic su Sicurezza e selezionare una delle opzioni seguenti:

   • Autenticazione: deselezionare Transport Layer Security (TLS) e selezionare Protezione esterna (ad esempio, con IPsec).

   • Gruppi di autorizzazioni: selezionare Server exchange.

   Al termine, fare clic su Salva.

Per ripetere questi stessi passaggi in Exchange Management Shell, eseguire il seguente comando:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Come verificare se l'operazione ha avuto esito positivo

Per verificare che l'inoltro anonimo sia stato configurato correttamente, seguire questa procedura:

• Verificare la configurazione del connettore di ricezione dedicato.

  Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges
  

• Verificare le autorizzazioni per il connettore di ricezione dedicato.

  Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
  

  Oppure

  Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
  

• Utilizzare Telnet per verificare se uno o più host di rete specificati sono in grado di connettersi al connettore di ricezione dedicato e di inviare la posta con l'inoltro anonimo mediante il connettore. Per impostazione predefinita, il client Telnet non è installato nella maggior parte delle versioni client o server di Microsoft Windows. Per installarlo, vedere Installare Client Telnet.

  Per ulteriori informazioni, vedere Utilizzare Telnet per testare le comunicazioni SMTP in server Exchange.

  Se l'host di rete è un dispositivo privo di Telnet, è possibile aggiungere momentaneamente l'indirizzo IP di un computer al connettore di ricezione, quindi rimuovere tale indirizzo IP dal connettore di ricezione al termine del test.

  Per il test, sono necessari i valori seguenti:

  • Destinazione: si tratta dell'indirizzo IP o del nome di dominio completo usato per connettersi al connettore di ricezione dedicato. Si tratta probabilmente dell'indirizzo IP del server Cassette postali in cui è stato definito il connettore di ricezione. Si tratta del valore della proprietà Network adapter bindings (o del parametro Bindings ) configurato nel connettore. È necessario usare il valore valido per l'ambiente in uso. In questo esempio verrà utilizzato 10.1.1.1.

  • Indirizzo di posta elettronica del mittente: probabilmente si configureranno i server o i dispositivi che inviano messaggi anonimi per usare un indirizzo di posta elettronica di invio che si trovi in un dominio autorevole per l'organizzazione. In questo esempio verrà usato chris@contoso.com.

  • Indirizzo di posta elettronica del destinatario: usare un indirizzo di posta elettronica valido. In questo esempio verrà usato kate@fabrikam.com.

  • Oggetto messaggio: Test

  • Corpo del messaggio: si tratta di un messaggio di test

  1. Aprire la finestra del prompt dei comandi, digitare telnet e quindi premere INVIO.

  2. Digitare set localecho e quindi premere INVIO.

  3. Digitare OPEN 10.1.1.1 25 e quindi premere INVIO.

  4. Digitare EHLO e premere INVIO.

  5. Digitare MAIL FROM:chris@contoso.com, quindi premere INVIO.

  6. Digitare RCPT TO:kate@fabrikam.com, quindi premere INVIO.

     • Se si riceve la risposta 250 2.1.5 Recipient OK, il connettore di ricezione consente l'inoltro anonimo dall'host di rete. Passare alla sezione successiva per completare l'invio del messaggio di prova.

     • Se si riceve la risposta 550 5.7.1 Unable to relay, il connettore di ricezione non consente l'inoltro anonimo dall'host di rete. In questo caso, eseguire le operazioni seguenti:

       • Verificare che ci si connette all'indirizzo IP o al nome di dominio completo corretto per il connettore di ricezione dedicato.

       • Verificare che il computer in cui si esegue Telnet sia autorizzato a usare il connettore di ricezione.

       • Verificare le autorizzazioni per il connettore di ricezione.

  7. Digitare DATA e quindi premere INVIO.

     Si riceverà una risposta simile alla seguente:

     354 Start mail input; end with <CLRF>.<CLRF>

  8. Digitare Subject: Test e quindi premere INVIO.

  9. Premere di nuovo INVIO.

  10. Digitare Messaggio di prova e quindi premere INVIO.

  11. Premere INVIO, digitare un punto ( . ) e premere INVIO.

      Si riceverà una risposta simile alla seguente:

      250 2.6.0 <GUID> Queued mail for delivery

  12. Per disconnettersi dal server SMTP, digitare QUIT e quindi premere INVIO.

      Si riceverà una risposta simile alla seguente:

      221 2.0.0 Service closing transmission channel

  13. Per chiudere la sessione Telnet, digitare quit e premere INVIO.

• Se l'inoltro anonimo funziona in modo intermittente, potrebbe essere necessario modificare la frequenza di messaggi predefinita e le limitazioni sul connettore di ricezione. Per ulteriori informazioni, vedere Limitazione della larghezza di banda della rete per i messaggi su connettori di ricezione.