Uno de los principales problemas asociados al spam es recibir spam anónimo desde tu propio dominio.
Cuando esto sucede muchos usuarios se alarman y creen que han sido infectados, o han accedido a su cuenta, ya que muchas veces les llega spam desde su propia cuenta de correo.
Obviamente este spam proviene de alguien que ha spoofeado tu dominio o tu propia cuenta de correo.
El protocolo SMTP de por sí, permite spoofear las cabeceras de los correos fácilmente.
En Exchange 2007 la propiedad Accepted Domains indica cuáles son los dominios que pertenecen al propio Exchange y por lo tanto recibirá correos para esos dominios.
Atendiendo a esta propiedad y gracias a los permisos del servicio de Transporte http://technet.microsoft.com/en-us/library/aa997170.aspx , podemos fácilmente prevenir este spam.
En los conectores de recepción tenemos el permiso ms-exch-smtp-accept-authoritative-domain-sender, que nos dicta que Accepted Domains pueden aparecer en las cabeceras de correo.
Cualquier host que desde internet mande correo a tu Exchange, puede enviarte correo a tu dominio sin autenticación y de forma anónima, ya que tu aceptarás cualquier correo perteneciente a tu dominio (Accepted Domains).
Para prevenir que estos senders anónimos te manden correo utilizando tu propio dominio, necesitamos eliminar el permiso ms-exch-smtp-accept-authoritative-domain-sender en tu conector de recepción de Exchange que conecta a internet.
Utiliza el siguiente comando para eliminar el permiso NT Authority\Anonymous Logon en ms-exch-smtp-accept-authoritative-domain-sender en tu conector de recepción de Exchange que conecta directamente con internet:
Get-ReceiveConnector “My Internet ReceiveConnector” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission
Una vez quitado el permiso, cuando un sender anónimo intenta mandarte correo utilizando tu propio dominio, esta es la conversación SMTP que se genera:
220 E12Postcard.eltate.net Microsoft ESMTP MAIL Service ready at Wed, 9 Oct 2009 10:34:43 -0700
helo
250 E12Postcard.eltate.net Hello [173.48.4.190]
mail from:usuario@eltate.net
550 5.7.1 Client does not have permissions to send as this sender
El Exchange ha sido capaz de parar el spoofing de la cabecera P1, ahora vamos a seguir e intentarlo con la cabecera P2:
mail from:alguien@dominiexterno.com
250 2.1.0 Sender OK
rcpt to:usuario@eltate.net
250 2.1.5 Recipient OK
data
354 Start mail input; end with .
from:usuario@eltate.net
subject: Header spoofing
.
550 5.7.1 Client does not have permissions to send as this sender
quit
221 2.0.0 Service closing transmission channel
Como puedes comprobar quitando el permiso ms-exch-smtp-accept-authoritative-domain-sender, evitamos el spoofing de la cabecera P1 y P2.
¿Cuándo no quitar el permiso?
No se debe quitar el permiso en los conectores de recepción cuando el mail proviene de nuestra red interna o de un trusted SMTP host (Por ejemplo, impresoras, scanners, aplicaciones de terceros) que no se autentican en el servidor para mandar correo.
Aunque estas impresoras, scanners o aplicaciones de terceros, las debes tener configuradas en un conector de recepción dedicado, al que permites hacer relay desde ciertas IP´s de tu red.
En un próximo artículo indicaremos cómo crearnos este relay SMTP en un Exchange 2007.
Si por alguna razón queremos volver a agregar el permiso, porque no es operativo lo que hemos aplicado, basta con irnos al conector de recepción de nuevo y habilitar el acceso anónimo:
Trackbacks /
Pingbacks