K
Или нахер послал, если ты вовней)
TRUE!
Size: a a a
2020 July 29
II
Или нахер послал, если ты вовней)
ну или просто нахер послал безусловно
II
попутно посылая нахер обьяснил как оно работает
K
да Серега норм парень, просто бывает
EV
Или нахер послал, если ты вовней)
Раунд!!!!
VG
А я тут причем вообще?
Я к тому, что много лет назад в MS были приняты полезные с точки зрения бизнеса, но не очень полезные с точки зрения клиента вещи:
- все в облака
- дружно забиваем на документацию, на community
- полностью передаем фактическое QA на сторону клиента и мучаем их ежемесячными обновлениями
Суть понятна конечно, но осадочек неприятный.
Я к тому, что много лет назад в MS были приняты полезные с точки зрения бизнеса, но не очень полезные с точки зрения клиента вещи:
- все в облака
- дружно забиваем на документацию, на community
- полностью передаем фактическое QA на сторону клиента и мучаем их ежемесячными обновлениями
Суть понятна конечно, но осадочек неприятный.
Все познается в сравнении. Если помнить доки, которые были для того же эксча 2003, можно сделать вывод, что да, доки стали хуже. Но 2010+ как продукт и сложнее намного, я не вижу смысла это сравнивать. И ок, чего к примеру не хватило в доках, раз уж на то пошло? Не считая небольших недочетов в описании параметров? За последние пару лет ко мне приходили только раз - когда заказчик решил использовать loose truncation с бэкапом. И в статье это не было описано (вопрос релевантности такого решения остается за кадром). Плохо документирована managed availability... Но про нее многие вообще не знают, используют по мониторинга, которое тоже про нее не знает, да и лезть туда мало кто будет😔
K
поверьте мне, доки в мс на много НА МНОГО ЛУЧШЕ
K
чем то с чем я работаю )) блеа я кажется уже свихнулся
VG
поверьте мне, доки в мс на много НА МНОГО ЛУЧШЕ
Мне так мой ментор говорил, когда я на доки по 2003-му эксчу жаловалась))
S
Коллеги.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
VG
Simoron
Коллеги.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
Если вы локальный админ на сервере, то по smtp отправить можно от имени любого адреса. Ограничить, насколько я знаю, нельзя. УЗ от которой отправляют, какими правами на Exchange и AD обладает?
A1
Если вы локальный админ на сервере, то по smtp отправить можно от имени любого адреса. Ограничить, насколько я знаю, нельзя. УЗ от которой отправляют, какими правами на Exchange и AD обладает?
Разве дефолтовый коннектор не принимает почту на 25 порт от анонимов при условии, что в получателе внутренний домен?
EV
Andrey 1
Разве дефолтовый коннектор не принимает почту на 25 порт от анонимов при условии, что в получателе внутренний домен?
Принимает конечно.
S
Ограниченными, то есть права на exchange как у стандартного юзера, без дополнительных привелегий.
Стандартные я имею ввиду просто уз в ад + ящик, и права админа на своей локальной тачке.
Стандартные я имею ввиду просто уз в ад + ящик, и права админа на своей локальной тачке.
EV
Главное безопасникам не рассказывать, что у них открыт внутренний анонимный коннектор all network wide для своих доменов)))
А то опять кондратий хватит, как и с доступом по activesync в 24 часа после отключения учеток))
А то опять кондратий хватит, как и с доступом по activesync в 24 часа после отключения учеток))
K
Главное безопасникам не рассказывать, что у них открыт внутренний анонимный коннектор all network wide для своих доменов)))
А то опять кондратий хватит, как и с доступом по activesync в 24 часа после отключения учеток))
А то опять кондратий хватит, как и с доступом по activesync в 24 часа после отключения учеток))
ахаха, ну у нас в постфиксине это первое правило
A1
Simoron
Ограниченными, то есть права на exchange как у стандартного юзера, без дополнительных привелегий.
Стандартные я имею ввиду просто уз в ад + ящик, и права админа на своей локальной тачке.
Стандартные я имею ввиду просто уз в ад + ящик, и права админа на своей локальной тачке.
1) Как мне кажется, такова логика работы SMTP Exchange: если вы объявляете внутренний домен, то любое письмо в этот сервис, направленное внутреннему получателю, будет доставлено. При этом дефолтный коннектор принимает на 25 порт соединения не только изнутри, но и снаружи сети (источник отправки) без какой-либо аутентификации. И да, отправителем может быть вообще любой адрес, хоть биллгей-тсс@microsoft.com. Там есть какие-то транспортные агенты, но я в них не вникал.
2) Вариантов ограничения несколько:
- S/Mime;
- использовать SMTP-шлюз только снаружи сети, на Exchange по SMTP почту получать с него. Изнутри закрыть к чертям;
- если изнутри нужен SMTP, то настроить требование аутентификации, либо ограничить по IP список отправителей.
3) Вы не указали явно, что именно стоит ограничить: любую отправку изнутри от имени "gendirektor@contoso.com", требовать проверку обратного адреса или что-то еще. Например, Exchange не видит проблем в том, чтобы снаружи ему прилетело фейковое письмо от @contoso.com на @contoso.com. Насколько я помню, подобный вид атаки называется spoofing, для защиты от него приходится ставить дополнительный шлюз.
2) Вариантов ограничения несколько:
- S/Mime;
- использовать SMTP-шлюз только снаружи сети, на Exchange по SMTP почту получать с него. Изнутри закрыть к чертям;
- если изнутри нужен SMTP, то настроить требование аутентификации, либо ограничить по IP список отправителей.
3) Вы не указали явно, что именно стоит ограничить: любую отправку изнутри от имени "gendirektor@contoso.com", требовать проверку обратного адреса или что-то еще. Например, Exchange не видит проблем в том, чтобы снаружи ему прилетело фейковое письмо от @contoso.com на @contoso.com. Насколько я помню, подобный вид атаки называется spoofing, для защиты от него приходится ставить дополнительный шлюз.
EV
Andrey 1
1) Как мне кажется, такова логика работы SMTP Exchange: если вы объявляете внутренний домен, то любое письмо в этот сервис, направленное внутреннему получателю, будет доставлено. При этом дефолтный коннектор принимает на 25 порт соединения не только изнутри, но и снаружи сети (источник отправки) без какой-либо аутентификации. И да, отправителем может быть вообще любой адрес, хоть биллгей-тсс@microsoft.com. Там есть какие-то транспортные агенты, но я в них не вникал.
2) Вариантов ограничения несколько:
- S/Mime;
- использовать SMTP-шлюз только снаружи сети, на Exchange по SMTP почту получать с него. Изнутри закрыть к чертям;
- если изнутри нужен SMTP, то настроить требование аутентификации, либо ограничить по IP список отправителей.
3) Вы не указали явно, что именно стоит ограничить: любую отправку изнутри от имени "gendirektor@contoso.com", требовать проверку обратного адреса или что-то еще. Например, Exchange не видит проблем в том, чтобы снаружи ему прилетело фейковое письмо от @contoso.com на @contoso.com. Насколько я помню, подобный вид атаки называется spoofing, для защиты от него приходится ставить дополнительный шлюз.
2) Вариантов ограничения несколько:
- S/Mime;
- использовать SMTP-шлюз только снаружи сети, на Exchange по SMTP почту получать с него. Изнутри закрыть к чертям;
- если изнутри нужен SMTP, то настроить требование аутентификации, либо ограничить по IP список отправителей.
3) Вы не указали явно, что именно стоит ограничить: любую отправку изнутри от имени "gendirektor@contoso.com", требовать проверку обратного адреса или что-то еще. Например, Exchange не видит проблем в том, чтобы снаружи ему прилетело фейковое письмо от @contoso.com на @contoso.com. Насколько я помню, подобный вид атаки называется spoofing, для защиты от него приходится ставить дополнительный шлюз.
- s/mime тут причем вообще??
EV
Simoron
Коллеги.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.
Опишите задачу полностью пожалуйста.
O
- s/mime тут причем вообще??
ну у нас тоже было когда-то такое.
Выставили везде обязательную авторизацию и подписи.
Выставили везде обязательную авторизацию и подписи.