Bloccare lo spam interno (dal proprio dominio di posta) in Exchange Server

Questo articolo si applica a : Exchange Server 2007, 2010, 2013,2016

Capita spesso di ricevere mail di spam, dove l’indirizzo di posta del mittente rappresenta un’utenza vostra interna (es. Nomeutente@NomeVostroDominioDiPosta ) o addirittura rappresenta voi stessi (cioè ricevete spam da voi stessi!!!).

Questo capita perché gli spammer sono riusciti ad eseguire lo spoofing del vostro indirizzo di posta (o di quello di altre persone nella vostra azienda), inserendolo poi nelle intestazioni SMTP delle mail di tipo spam che essi lanciano.

Con i software antispam professionali, tipicamente, ci si difende agevolmente da questo tipo di spam.  Ma per chi vuole utilizzare esclusivamente i filtri antispam nativi (o altre impostazioni) di Exchange 2007/2010/2013, la difesa non è così immediata.

L’impostazione di default dei server Exchange è quella di ricevere qualunque mail proveniente dai cosiddetti “Domini Accettati” (”Accepted Domains”), inseriti nella configurazione del trasporto.  E il vostro dominio pubblico di posta è sicuramente configurato come ”Dominio Accettato”.  Inoltre, il Connettore di Ricezione che riceve mail da Internet è sicuramente configurato a non richiedere l’autenticazione ai mittenti delle mail (giustamente), altrimenti non si riceverebbero più mail dal mondo intero!

I Connettori di Ricezione di Exchange, però, hanno numerose altre autorizzazioni particolari, che si possono vedere e modificare solo con comandi di powershell.

Ecco un comando esemplificativo per visualizzare tutte le autorizzazioni assegnate ad un normale Connettore di Ricezione configurato per ricevere posta da Internet :

Get-ReceiveConnector “Nome Connettore” | Get-AdPermission | Ft User,AccessRights, ExtendedRights -Autosize

La particolare autorizzazione che ci interessa è la “MS-Exch-SMTP-Accept-Authoritative-Domain-Sender” assegnata all’identità speciale “Anonymous Logon”.  Questa autorizzazione permette a qualunque persona non autenticata (quindi anche agli spammer) di collegarsi al Connettore di Ricezione in oggetto, di dichiarare il vostro dominio di posta nell’intestazione SMTP “Mail From:”, e di essere comunque accettati.

Questa autorizzazione è assegnata ad un Connettore di Ricezione, quando esso è impostato a ricevere da Internet.

Ecco le autorizzazioni di “Anonymous Logon” su un connettore senza accesso anonimo :

rcv1.jpg    Fig 1 : se il connettore non ha l’accesso anonimo…

rcv2.jpg

Fig 2 :…. ecco quali sono le autorizzazioni di Anonymous Logon

Ecco invece come si presentano le autorizzazioni di “Anonymous Logon” su un connettore con l’accesso anonimo attivato :

rcv3.jpg    Fig. 3 : se il connettore ha l’accesso anonimo…

rcv4.jpg

Fig. 4 : …. ecco la presenza dell’autorizzazione “MS-Exh-SMTP-Accept-Authoritative-Domain-Sender”

Se un client di posta non autenticato tentasse ora di spedire mail insererendo un indirizzo di posta interno sia come mittente che come destinatario, gli esiti sarebbero questi (mail accettata!) :

rcv5.jpg    Fig. 5 : mail accettata

Il trucco per bloccare questo tipo di mail provenienti dall’esterno, sta nel rimuovere l’autorizzazione “ms-exch-smtp-accept-authoritative-domain-sender” ad “Anonymous Logon”.  Il comando per eseguire la rimozione è il seguente :

Get-ReceiveConnector “Nome Connettore” | Get-AdPermission -User “NT Authority\Accesso Anonimo” | Where {$_.ExtendedRights -Like “MS-Exch-SMTP-Accept-Authoritative-Domain-Sender”} | Remove-AdPermission

N.B. : nel precedente comando, l’identità speciale “Anonymous Logon” deve essere indicata esattamente come mostrato (cioè “NT Authority\Accesso Anonimo” se la lingua di installazione di Exchange è l’italiano, mentre deve essere indicata come “NT Authority\Anonymous Logon” se la lingua di installazione di Exchange è l’inglese.

Ecco l’esecuzione del comando :

rcv6.jpg

Fig. 6 : esecuzione del comando di rimozione dell’autorizzazione

Ed ecco ora il diverso comportamento per un client di posta non autenticato :

rcv7.jpg    Fig. 7 : mail rifiutata

Questa procedura riesce quindi a bloccare lo spam che utilizza indirizzi di posta interni “spoofati”.

Buon divertimento :-)

Share / Save :

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.