Partilhar via

Permitir a retransmissão anônima em servidores do Exchange

  • Artigo

O reencaminhamento aberto é muito mau para os servidores de mensagens na Internet. Os servidores de mensagens configurados acidentalmente ou intencionalmente como reencaminhamentos abertos permitem que o correio de qualquer origem seja reencaminhado de forma transparente através do servidor de reencaminhamento aberto. Este comportamento mascara a origem original das mensagens e faz com que pareça que o correio teve origem no servidor de reencaminhamento aberto. Os servidores de reencaminhamento abertos são procurados e utilizados por spammers, pelo que nunca pretende que os servidores de mensagens sejam configurados para reencaminhamento aberto.

Por outro lado, o reencaminhamento anónimo é um requisito comum para muitas empresas que têm servidores Web internos, servidores de bases de dados, aplicações de monitorização ou outros dispositivos de rede que geram mensagens de e-mail, mas que são incapazes de enviar essas mensagens.

No Exchange Server, pode criar um conector de Receção dedicado no serviço de Transporte front-end num servidor de Caixa de Correio que permite o reencaminhamento anónimo a partir de uma lista específica de anfitriões de rede internos. Seguem-se algumas considerações-chave para o conector de Receção de reencaminhamento anónimo:

  • Tem de criar um conector de Receção dedicado para especificar os anfitriões de rede que têm permissão para reencaminhar mensagens de forma anónima, para que possa excluir qualquer pessoa ou qualquer outra pessoa da utilização do conector. Não tente adicionar a capacidade de reencaminhamento anónimo aos conectores de Receção predefinidos criados pelo Exchange. Restringir o acesso ao conector Receber é fundamental porque não quer configurar o servidor como um reencaminhamento aberto.

  • Tem de criar o conector de Receção dedicado no serviço transporte front-end, não no serviço transporte. No Exchange Server, o serviço transporte front-end e o serviço transporte estão sempre localizados em conjunto nos servidores da Caixa de Correio. O serviço de Transporte front-end tem um conector de Receção predefinido com o nome Predefinido Frontend< ServerName> configurado para escutar ligações SMTP de entrada a partir de qualquer origem na porta TCP 25. Pode criar outro Conector de Receção no serviço transporte front-end que também escuta as ligações SMTP recebidas na porta TCP 25, mas tem de especificar os endereços IP que têm permissão para utilizar o conector. O conector de Receção dedicado será sempre utilizado para ligações de entrada desses anfitriões de rede específicos (ganha o Conector de receção configurado com a correspondência mais específica ao endereço IP do servidor de ligação).

    Por outro lado, o serviço Transporte tem um conector de receção Predefinido com o nome Default< ServerName> que também está configurado para ser listado para ligações SMTP de entrada a partir de qualquer origem, mas este conector escuta na porta TCP 2525 para que não entre em conflito com o conector Receber no serviço transporte front-end. Além disso, espera-se que apenas outros serviços de transporte e servidores Exchange na sua organização utilizem este Conector de receção, pelo que os métodos de autenticação e encriptação são definidos em conformidade.

    Para obter mais informações, consulte Fluxo de correio e o pipeline de transporte e Conectores de Receção Predefinidos criados durante a configuração.

  • Depois de criar o conector de Receção dedicado, tem de modificar as respetivas permissões para permitir o reencaminhamento anónimo apenas pelos anfitriões de rede especificados, conforme identificados pelos respetivos endereços IP. No mínimo, os anfitriões de rede precisam das seguintes permissões no conector Receber para reencaminhar mensagens anonimamente:

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Para obter mais informações sobre permissões em Receber conectores, veja Receber grupos de permissões do conector e Receber permissões do conector.

      Existem dois métodos diferentes que pode utilizar para configurar as permissões necessárias para o reencaminhamento anónimo num conector de Receção. Estes métodos estão descritos na tabela seguinte.

Método Permissões concedidas Prós Contras
Adicione o grupo de permissões Utilizadores anónimos (Anonymous) ao conector Receber e adicione a Ms-Exch-SMTP-Accept-Any-Recipient permissão ao NT AUTHORITY\ANONYMOUS LOGON principal de segurança no conector Receber. As ligações utilizam o NT AUTHORITY\ANONYMOUS LOGON principal de segurança com as seguintes permissões:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Concede as permissões mínimas necessárias para permitir o reencaminhamento anónimo. Mais difícil de configurar (tem de utilizar a Shell de Gestão do Exchange).

Os anfitriões de rede são considerados remetentes anónimos. As mensagens não ignoram as verificações de antispam ou limite de tamanho da mensagem e o endereço de e-mail do remetente não pode ser resolvido para o nome a apresentar correspondente (se existir) na lista de endereços global.
Adicione o grupo de permissões servidores exchange (ExchangeServers) e o mecanismo de autenticação Protegido externamente (ExternalAuthoritative) ao conector De receção. As ligações utilizam o MS Exchange\Externally Secured Servers principal de segurança com as seguintes permissões:
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 É mais fácil configurar (pode fazer tudo no centro de administração do Exchange).

Os anfitriões de rede são considerados remetentes autenticados. As mensagens ignoram as verificações de antispam e limite de tamanho da mensagem e o endereço de e-mail do remetente pode ser resolvido para um nome a apresentar correspondente na lista de endereços global.

 Concede as permissões para submeter mensagens como se fossem provenientes de remetentes internos na sua organização do Exchange. Os anfitriões de rede são considerados completamente fidedignos, independentemente do volume, tamanho ou conteúdo das mensagens que enviam.

Em última análise, tem de decidir qual é a abordagem mais adequada às necessidades da sua organização. Vamos mostrar-lhe como configurar ambos os métodos. Lembre-se apenas de que é um método ou outro e não ambos ao mesmo tempo.

Do que você precisa saber para começar?

  • Tempo estimado para a conclusão da tarefa: 10 minutos.

  • Alguns destes procedimentos requerem a Shell de Gestão do Exchange. Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Conectores de recebimento" no tópico Permissões de fluxo de email.

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Passo 1: Criar um conector de Receção dedicado para reencaminhamento anónimo

Pode criar o conector Receber no EAC ou na Shell de Gestão do Exchange.

Utilizar o EAC para criar um conector de Receção dedicado para reencaminhamento anónimo

  1. No EAC, navegue para Fluxo> de correioReceber conectores e, em seguida, clique em Adicionar ícone Adicionar.. Esta ação inicia o assistente Novo Conector de Receção .

  2. Na primeira página, introduza as seguintes informações:

    • Nome: introduza um nome descritivo para o conector Receber, por exemplo, Reencaminhamento Anónimo.

    • Função: selecione Transporte de Front-end.

    • Tipo: selecione Personalizado.

      Ao terminar, clique em Avançar.

  3. Na página seguinte, na secção Enlaces da placa de rede , efetue um dos seguintes procedimentos:

    • Se o servidor Exchange tiver um adaptador de rede e não segregar o tráfego interno e externo através de sub-redes diferentes, aceite a entrada existente (Todos os IPv4 disponíveis) na porta 25.

    • Se o servidor Exchange tiver uma placa de rede interna e uma placa de rede externa e segregar o tráfego de rede interna e externa através de sub-redes diferentes, pode melhorar ainda mais a segurança do conector ao limitar a utilização do conector a pedidos com origem na placa de rede interna. Para fazer isso:

      1. Selecione a entrada existente (Todos os IPv4 disponíveis), clique em Removerícone Remover e, em seguida, clique em Adicionar ícone Adicionar.

      2. Na caixa de diálogo Enlaces da Placa de Rede resultante, selecione Especificar um endereço IPv4 ou um endereço IPv6 e introduza um endereço IP válido e disponível configurado na placa de rede interna e, em seguida, clique em Guardar.

    Ao terminar, clique em Avançar.

  4. Na página seguinte, na secção Definições de rede remota , efetue os seguintes passos:

    1. Selecione a entrada existente 0.0.0.0-255.255.255.255 e, em seguida, clique em Removerícone Remover e, em seguida, clique em Adicionarícone Adicionar.

    2. Na caixa de diálogo Definições de Endereço Remoto resultante, introduza um endereço IP ou intervalo de endereços IP que identifique os anfitriões de rede permitidos, utilize este conector e, em seguida, clique em Guardar. Pode repetir este passo para adicionar vários endereços IP ou intervalos de endereços IP. Erro do lado de ser demasiado específico em vez de demasiado geral para identificar claramente os anfitriões de rede que estão autorizados a utilizar este conector.

    Quando tiver terminado, clique em Concluir.

Utilizar a Shell de Gestão do Exchange para criar um conector de Receção dedicado para reencaminhamento anónimo

Para criar o mesmo Conector de receção na Shell de Gestão do Exchange, utilize a seguinte sintaxe:

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

Este exemplo cria um novo Conector de receção com as seguintes opções de configuração:

  • Nome: Reencaminhamento Anónimo

  • Função de transporte: FrontEndTransport

  • Tipo de utilização: Personalizado

  • Enlaces: 0.0.0.0:25 (escutar mensagens de entrada em todos os endereços IP configurados em todos os adaptadores de rede no servidor Exchange na porta TCP 25.)

  • Endereços IP remotos que têm permissão para utilizar este conector: 192.168.5.10 e 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Observações:

  • O parâmetro Bindings é necessário quando especificar o Tipo de utilização personalizada.

  • O parâmetro RemoteIpRanges aceita um endereço IP individual, um intervalo de endereços IP (por exemplo, 192.168.5.10-192.168.5.20) ou Um Encaminhamento De InterDomínio Sem Classe (CIDR) (por exemplo, 192.168.5.1/24). Vários valores, separados por vírgulas, podem ser especificados.

Passo 2: Configurar as permissões para o reencaminhamento anónimo no conector de Receção dedicado

Conforme descrito na introdução, existem dois métodos diferentes que pode utilizar para configurar as permissões necessárias no conector Receber:

  • Configure as ligações como anónimas.

  • Configure as ligações como protegidas externamente.

Escolha um método ou o outro. Os exemplos utilizam o conector Receber com o nome Reencaminhamento Anónimo que criou no Passo 1.

Configurar as ligações como anónimas

Execute os seguintes comandos na Shell de Gestão do Exchange:

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configurar as ligações como protegidas externamente

  1. No EAC, navegue para Fluxo> de correioReceber conectores, selecione o conector Reencaminhamento Anónimo e, em seguida, clique em Editarícone Editar..

  2. Nas propriedades do conector, clique em Segurança e faça as seguintes seleções:

    • Autenticação: desselecione Transport Layer Security (TLS) e selecione Protegido externamente (por exemplo, com IPsec).

    • Grupos de permissões: selecione Servidores do Exchange.

    Quando concluir, clique em Salvar.

Para executar estes mesmos passos na Shell de Gestão do Exchange, execute o seguinte comando:

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Como saber se funcionou?

Para verificar se configurou o reencaminhamento anónimo com êxito, siga os seguintes passos:

  • Verifique a configuração do conector de Receção dedicado.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Verifique as permissões no conector de Receção dedicado.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    Ou

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Utilize Telnet para testar se um ou mais dos anfitriões de rede especificados se podem ligar ao conector de Receção dedicado e podem reencaminhar e-mails de forma anónima através do conector. Por predefinição, o Cliente Telnet não está instalado na maioria das versões de cliente ou servidor do Microsoft Windows. Para instalá-lo, confira Instalar cliente Telnet.

    Para obter mais informações, consulte Usar Telnet para testar a comunicação SMTP em servidores do Exchange.

    Se o anfitrião de rede for um dispositivo que não tem Telnet, pode adicionar temporariamente o endereço IP de um computador ao conector Receber e, em seguida, remover o endereço IP do conector Receber quando terminar o teste.

    Para o teste, precisará dos seguintes valores:

    • Destino: este é o endereço IP ou FQDN que utiliza para ligar ao conector de Receção dedicado. Este é provavelmente o endereço IP do servidor da Caixa de Correio onde o conector Receber está definido. Isto está relacionado com a propriedade Enlaces do adaptador de rede (ou o valor do parâmetro Bindings ) que configurou no conector. Terá de utilizar o valor válido para o seu ambiente. Neste exemplo, vamos utilizar 10.1.1.1.

    • Endereço de e-mail do remetente: provavelmente irá configurar os servidores ou dispositivos que estão a reencaminhar e-mail de forma anónima para utilizar um endereço de e-mail de envio que esteja num domínio autoritativo para a sua organização. Neste exemplo, vamos utilizar chris@contoso.com.

    • Endereço de e-mail do destinatário: utilize um endereço de e-mail válido. Neste exemplo, vamos utilizar kate@fabrikam.com.

    • Assunto da mensagem: Teste

    • Corpo da mensagem: Esta é uma mensagem de teste

    1. Abra uma janela do Prompt de Comando, digite telnet e pressione Enter.

    2. Digite set localecho e pressione Enter.

    3. Escreva OPEN 10.1.1.1 25 e, em seguida, prima Enter.

    4. Escreva EHLO e, em seguida, prima Enter.

    5. Escreva CORREIO DE:chris@contoso.come, em seguida, prima Enter.

    6. Escreva RCPT TO:kate@fabrikam.come, em seguida, prima Enter.

      • Se receber a resposta 250 2.1.5 Recipient OK, o conector Receber permite o reencaminhamento anónimo do anfitrião de rede. Avance para o passo seguinte para concluir o envio da mensagem de teste.

      • Se receber a resposta 550 5.7.1 Unable to relay, o conector Receber não permite o reencaminhamento anónimo do anfitrião de rede. Se isto acontecer, faça o seguinte:

        • Verifique se está a ligar ao endereço IP ou FQDN correto para o conector de Receção dedicado.

        • Verifique se o computador onde está a executar o Telnet tem permissão para utilizar o Conector de receção.

        • Verifique as permissões no conector Receber.

    7. Digite DATA e pressione Enter.

      Deverá receber uma resposta semelhante à seguinte:

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Escreva Assunto: Teste e, em seguida, prima Enter.

    9. Pressione Enter novamente.

    10. Digite Esta é uma mensagem de teste e pressione Enter.

    11. Prima Enter, escreva um ponto final ( . ) e, em seguida, prima Enter.

      Deverá receber uma resposta semelhante à seguinte:

      250 2.6.0 <GUID> Queued mail for delivery

    12. Para se desconectar do servidor SMTP, digite QUIT e pressione Enter.

      Deverá receber uma resposta semelhante à seguinte:

      221 2.0.0 Service closing transmission channel

    13. Para finalizar a sessão Telnet, digite quit e pressione Enter.

  • Se o reencaminhamento anónimo funcionar intermitentemente, poderá ter de modificar a taxa de mensagens predefinida e os limites de limitação no conector Receber. Para obter mais informações, consulte Limitação de mensagens em Conectores de receção.