Мое требование немного отличается от этого вопроса:Разрешение только аутентифицированному пользователю на хосте ретранслировать электронные письма на внешний адрес в Exchange Server 2013
Мы используем Exchange-2016 и нам нужно отправлять анонимную почту (не имеющую почтового ящика) на внешний домен, например Gmail, с выделенного сервера приложений/баз данных, который имеет ограниченный доступ, а его IP-адрес поддерживается в почтовом ретрансляторе приложения сервера Exchange.
Например: IP-адрес сервера базы данных добавляется в почтовый ретранслятор приложения Exchange Server.
Следующее сообщение действительно, так как From Mail —[email protected]
EXEC msdb.dbo.sp_send_dbmail
@profile_name='AutomatedMail',
@body = 'test body',
@from_address='AutomatedMail <[email protected]>',
@body_format ='HTML',
@recipients = '[email protected]',
@subject = 'test Email';
Но нижеприведенная почта является поддельной и должна быть остановлена, так как From Mail[email protected]или это может быть мой коллега (в основном хочу остановить внутренний спуфинг)
EXEC msdb.dbo.sp_send_dbmail
@profile_name='AutomatedMail',
@body = 'Kindly Transfer 10000$ to Account in my bank ASAP',
@from_address='ManagingDirector <[email protected]>',
@body_format ='HTML',
@recipients = '[email protected]',
@subject = 'Send Money urgently';
Пожалуйста, предложите, можем ли мы добавить список адресов электронной почты в анонимный адрес электронной почты, как в следующей команде
[PS] C:\>Set-ReceiveConnector "EXSERVER\Anon Relay EXSERVER" -PermissionGroups AnonymousUsers
[PS] C:\>Get-ReceiveConnector "EXSERVER\Anon Relay EXSERVER" | Add-ADPermission -User 'NT AUTHORITY\Anonymous Logon' -ExtendedRights MS-Exch-SMTP-Accept-Any-Recipient*
есть ли опция -ExtendedRights MS-Exch-SMTP-Send-Filter-Sender "[email protected];[email protected]" которые позволяют отправлять только анонимные электронные письма с предопределенным адресом электронной почты?
(MS-Exch-SMTP-Send-Filter-Sender — это всего лишь пример, а не фактический параметр. У меня мало информации об обмене)
Если это не разрешено, то всегда можно использовать аутентифицированного отправителя (или DKIM и т. д.)
решение1
На основе моих исследований и знаний, коллекция анонимных пользователейNT AUTHORITY\ANONYMOUS LOGONиспользуется, когда мы хотим добавить/отказать в разрешениях анонимному пользователю, и он создается по умолчанию(Что такое учетная запись пользователя «NT AUTHORITY\ANONYMOUS LOGON»). Я попытался найти/изменить этот объект, но не смог найти никаких объектов о нем, запустив следующие командлеты в Powershell:
Таким образом, похоже, что мы могли ограничить только удаленный IP-адрес клиента, но не могли ограничить конкретный адрес отправителя:
