Permitir a retransmissão anônima em servidores do Exchange

  • Artigo

Abrir retransmissão é uma coisa muito ruim para servidores de mensagens na Internet. Servidores de mensagens que são configurados acidentalmente ou intencionalmente como retransmissões abertas permitem que o email de qualquer fonte seja redirecionado de forma transparente por meio do servidor de retransmissão aberta. Esse comportamento mascara a origem original das mensagens e faz com que pareça que o email se originou do servidor de retransmissão aberta. Os servidores de retransmissão aberta são ansiosamente procurados e usados por spammers, portanto, você nunca deseja que seus servidores de mensagens sejam configurados para retransmissão aberta.

Por outro lado, a retransmissão anônima é um requisito comum para muitas empresas que têm servidores Web internos, servidores de banco de dados, aplicativos de monitoramento ou outros dispositivos de rede que geram mensagens de email, mas são incapazes de realmente enviar essas mensagens.

Em Exchange Server, você pode criar um conector de Recebimento dedicado no serviço de Transporte front-end em um servidor de caixa de correio que permite a retransmissão anônima de uma lista específica de hosts de rede internos. Aqui estão algumas considerações importantes para o conector de recebimento de retransmissão anônima:

  • Você precisa criar um conector de Recebimento dedicado para especificar os hosts de rede que têm permissão para retransmitir mensagens anonimamente, para que você possa excluir qualquer pessoa ou qualquer outra coisa de usar o conector. Não tente adicionar a funcionalidade de retransmissão anônima aos conectores de recebimento padrão criados pelo Exchange. Restringir o acesso ao conector De recebimento é fundamental, pois você não deseja configurar o servidor como um retransmissão aberta.

  • Você precisa criar o conector de Recebimento dedicado no serviço de transporte front-end, não no serviço de transporte. Em Exchange Server, o serviço de Transporte front-end e o serviço de transporte estão sempre localizados juntos em servidores de caixa de correio. O serviço de transporte front-end tem um conector de recebimento padrão chamado Default Frontend <ServerName> configurado para ouvir conexões SMTP de entrada de qualquer fonte na porta TCP 25. Você pode criar outro conector De recebimento no serviço de Transporte front-end que também escuta conexões SMTP de entrada na porta TCP 25, mas você precisa especificar os endereços IP que têm permissão para usar o conector. O conector de Recebimento dedicado sempre será usado para conexões de entrada desses hosts de rede específicos (o conector De recebimento configurado com a correspondência mais específica com o endereço IP do servidor de conexão ganha).

    Em contraste, o serviço de transporte tem um conector de recebimento padrão chamado Default< ServerName> que também está configurado como listado para conexões SMTP de entrada de qualquer origem, mas esse conector escuta na porta TCP 2525 para que ele não entre em conflito com o conector De entrada no serviço de Transporte front-end. Além disso, espera-se que apenas outros serviços de transporte e servidores exchange em sua organização usem esse conector De recebimento, de modo que os métodos de autenticação e criptografia sejam definidos de acordo.

    Para obter mais informações, confira Fluxo de email e pipeline de transporte e conectores de recebimento padrão criados durante a instalação.

  • Depois de criar o conector de Recebimento dedicado, você precisará modificar suas permissões para permitir a retransmissão anônima apenas pelos hosts de rede especificados, conforme identificado por seus endereços IP. No mínimo, os hosts de rede precisam das seguintes permissões no conector Receber para retransmitir mensagens anonimamente:

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Para obter mais informações sobre permissões em Receber conectores, consulte Receber grupos de permissões do conector e Receber permissões do conector.

      Há dois métodos diferentes que você pode usar para configurar as permissões necessárias para retransmissão anônima em um conector de Recebimento. Esses métodos são descritos na tabela a seguir.

Método Permissões concedidas Prós Contras
Adicione o grupo de permissões de usuários anônimos (Anonymous) ao conector Receber e adicione a Ms-Exch-SMTP-Accept-Any-Recipient permissão à NT AUTHORITY\ANONYMOUS LOGON entidade de segurança no conector Receber. As conexões usam a NT AUTHORITY\ANONYMOUS LOGON entidade de segurança com as seguintes permissões:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Concede as permissões mínimas necessárias para permitir a retransmissão anônima. Mais difícil de configurar (deve usar o Shell de Gerenciamento do Exchange).

Os hosts de rede são considerados remetentes anônimos. As mensagens não ignoram verificações de limite de tamanho de mensagem ou antispam e o endereço de email do remetente não pode ser resolvido para o nome de exibição correspondente (se houver) na lista de endereços global.
Adicione o grupo de permissões de servidores do Exchange (ExchangeServers) e o mecanismo de autenticação externamente protegido (ExternalAuthoritative) ao conector De recebimento. As conexões usam a MS Exchange\Externally Secured Servers entidade de segurança com as seguintes permissões:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 Mais fácil de configurar (pode fazer tudo no centro de administração do Exchange).

Os hosts de rede são considerados remetentes autenticados. As mensagens ignoram verificações de limite de tamanho de mensagem e antispam e e o endereço de email do remetente pode ser resolvido para um nome de exibição correspondente na lista de endereços global.

 Concede as permissões para enviar mensagens como se elas se originassem de remetentes internos em sua organização do Exchange. Os hosts de rede são considerados completamente confiáveis, independentemente do volume, tamanho ou conteúdo das mensagens enviadas.

Em última análise, você precisa decidir sobre a abordagem que melhor atende às necessidades da sua organização. Mostraremos como configurar ambos os métodos. Lembre-se apenas de que é um método ou outro, e não ambos ao mesmo tempo.

Do que você precisa saber para começar?

  • Tempo estimado para a conclusão da tarefa: 10 minutos.

  • Alguns desses procedimentos exigem o Shell de Gerenciamento do Exchange. Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Conectores de recebimento" no tópico Permissões de fluxo de email.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Etapa 1: criar um conector de recebimento dedicado para retransmissão anônima

Você pode criar o conector Receber no EAC ou no Shell de Gerenciamento do Exchange.

Usar o EAC para criar um conector de Recebimento dedicado para retransmissão anônima

  1. No EAC, navegue até Fluxo> de emailReceber conectores e clique em Adicionarícone Adicionar.. Isso inicia o assistente de conector Novo Recebimento .

  2. Na primeira página, insira as seguintes informações:

    • Nome: insira um nome descritivo para o conector Receber, por exemplo, Retransmissão Anônima.

    • Função: selecione Transporte front-end.

    • Tipo: selecione Personalizado.

      Ao terminar, clique em Avançar.

  3. Na próxima página, na seção Associações do adaptador de rede, faça um dos seguintes procedimentos:

    • Se o servidor exchange tiver um adaptador de rede e não separar o tráfego interno e externo usando sub-redes diferentes, aceite a entrada existente (Todas as IPv4 disponíveis) na porta 25.

    • Se o servidor exchange tiver um adaptador de rede interno e um adaptador de rede externo e segregar o tráfego de rede interno e externo usando sub-redes diferentes, você poderá aumentar ainda mais a segurança do conector limitando o uso do conector a solicitações originadas no adaptador de rede interno. Para fazer isso:

      1. Selecione a entrada existente (Todas as IPv4 disponíveis), clique em Removerícone.e clique em Adicionarícone Adicionar.

      2. Na caixa de diálogo Associações do Adaptador de Rede resultante, selecione Especificar um endereço IPv4 ou um endereço IPv6 e insira um endereço IP válido e disponível configurado no adaptador de rede interno e clique em Salvar.

    Ao terminar, clique em Avançar.

  4. Na próxima página, na seção Configurações de rede remota, faça as seguintes etapas :

    1. Selecione a entrada 0.0.0.0.0-255.255.255.255 existente e clique em Remover ícone.e, em seguida, clique em Adicionarícone.

    2. Na caixa de diálogo Configurações de Endereço Remoto resultantes, insira um endereço IP ou um intervalo de endereços IP que identifica os hosts de rede permitidos para usar esse conector e clique em Salvar. Você pode repetir esta etapa para adicionar vários endereços IP ou intervalos de endereços IP. Err no lado de ser muito específico em vez de muito geral para identificar claramente os hosts de rede que têm permissão para usar esse conector.

    Quando terminar, clique em Concluir.

Usar o Shell de Gerenciamento do Exchange para criar um conector de Recebimento dedicado para retransmissão anônima

Para criar o mesmo conector De recebimento no Shell de Gerenciamento do Exchange, use a seguinte sintaxe:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

Este exemplo cria um novo conector De recebimento com as seguintes opções de configuração:

  • Nome: Retransmissão Anônima

  • Função de transporte: FrontEndTransport

  • Tipo de uso: personalizado

  • Associações: 0.0.0.0:25 (ouça mensagens de entrada em todos os endereços IP configurados em todos os adaptadores de rede no servidor exchange na porta TCP 25.)

  • Endereços IP remotos que podem usar esse conector: 192.168.5.10 e 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Observações:

  • O parâmetro Associações é necessário quando você especifica o tipo de uso personalizado.

  • O parâmetro RemoteIpRanges aceita um endereço IP individual, um intervalo de endereços IP (por exemplo, 192.168.5.10-192.168.5.20), ou CIDR (roteamento interdomínio sem classe) (por exemplo, 192.168.5.1/24). Vários valores, separados por vírgulas, podem ser especificados.

Etapa 2: configurar as permissões para retransmissão anônima no conector de recebimento dedicado

Conforme descrito na introdução, há dois métodos diferentes que você pode usar para configurar as permissões necessárias no conector De recebimento:

  • Configure as conexões como anônimas.

  • Configure as conexões como protegidas externamente.

Escolha um método ou outro. Os exemplos usam o conector De recebimento chamado Retransmissão Anônima que você criou na Etapa 1.

Configurar as conexões como anônimas

Execute os seguintes comandos no Shell de Gerenciamento do Exchange:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configurar as conexões como protegidas externamente

  1. No EAC, navegue até Fluxo> de email Receber conectores, selecione o conector deRetransmissão Anônima e clique em Editarícone..

  2. Nas propriedades do conector, clique em Segurança e faça as seguintes seleções:

    • Autenticação: desmarque O TLS (Transport Layer Security) e selecione Externamente protegido (por exemplo, com IPsec).

    • Grupos de permissões: selecione Servidores do Exchange.

    Quando concluir, clique em Salvar.

Para executar estas mesmas etapas no Shell de Gerenciamento do Exchange, execute o seguinte comando:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Como saber se funcionou?

Para verificar se você configurou com êxito a retransmissão anônima, siga as seguintes etapas:

  • Verifique a configuração do conector de Recebimento dedicado.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Verifique as permissões no conector de Recebimento dedicado.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    Ou

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Use o Telnet para testar se um ou mais dos hosts de rede especificados podem se conectar ao conector de Recebimento dedicado e podem retransmitir email anonimamente por meio do conector. Por padrão, o Cliente Telnet não está instalado na maioria das versões de cliente ou servidor do Microsoft Windows. Para instalá-lo, confira Instalar cliente Telnet.

    Para obter mais informações, consulte Usar Telnet para testar a comunicação SMTP em servidores do Exchange.

    Se o host de rede for um dispositivo que não tem Telnet, você poderá adicionar temporariamente o endereço IP de um computador ao conector Receive e remover o endereço IP do conector Receber quando terminar o teste.

    Para o teste, você precisará dos seguintes valores:

    • Destino: este é o endereço IP ou FQDN que você usa para se conectar ao conector de Recebimento dedicado. Esse é provavelmente o endereço IP do servidor caixa de correio em que o conector De recebimento é definido. Isso se relaciona com a propriedade associações do adaptador de rede (ou o parâmetro Associações ) que você configurou no conector. Você precisará usar o valor válido para seu ambiente. Neste exemplo, usaremos 10.1.1.1.

    • Endereço de email do remetente: você provavelmente configurará os servidores ou dispositivos que estão retransmitindo email anonimamente para usar um endereço de email de envio que está em um domínio autoritativo para sua organização. Neste exemplo, usaremos chris@contoso.com.

    • Endereço de email do destinatário: use um endereço de email válido. Neste exemplo, usaremos kate@fabrikam.com.

    • Assunto da mensagem: Teste

    • Corpo da mensagem: Esta é uma mensagem de teste

    1. Abra uma janela do Prompt de Comando, digite telnet e pressione Enter.

    2. Digite set localecho e pressione Enter.

    3. Digite OPEN 10.1.1.1 25 e pressione Enter.

    4. Digite EHLO e pressione Enter.

    5. Digite MAIL FROM:chris@contoso.come pressione Enter.

    6. Digite RCPT TO:kate@fabrikam.come pressione Enter.

      • Se você receber a resposta 250 2.1.5 Recipient OK, o conector Receber permitirá a retransmissão anônima do host de rede. Continue até a próxima etapa para concluir o envio da mensagem de teste.

      • Se você receber a resposta 550 5.7.1 Unable to relay, o conector De recebimento não permitirá a retransmissão anônima do host de rede. Se isso acontecer, faça o seguinte:

        • Verifique se você está se conectando ao endereço IP ou FQDN correto para o conector de Recebimento dedicado.

        • Verifique se o computador em que você está executando o Telnet tem permissão para usar o conector Receber.

        • Verifique as permissões no conector Receber.

    7. Digite DATA e pressione Enter.

      Você deve receber uma resposta semelhante a esta:

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Assunto de Tipo: Teste e pressione Enter.

    9. Pressione Enter novamente.

    10. Digite Esta é uma mensagem de teste e pressione Enter.

    11. Pressione Enter, digite um período ( . ), e pressione Enter.

      Você deve receber uma resposta semelhante a esta:

      250 2.6.0 <GUID> Queued mail for delivery

    12. Para se desconectar do servidor SMTP, digite QUIT e pressione Enter.

      Você deve receber uma resposta semelhante a esta:

      221 2.0.0 Service closing transmission channel

    13. Para finalizar a sessão Telnet, digite quit e pressione Enter.

  • Se a retransmissão anônima funcionar intermitentemente, talvez seja necessário modificar a taxa de mensagem padrão e os limites de limitação no conector De recebimento. Para obter mais informações, consulte Limitação de mensagens em Conectores de recebimento.