1) Как мне кажется, такова логика работы SMTP Exchange: если вы объявляете внутренний домен, то любое письмо в этот сервис, направленное внутреннему получателю, будет доставлено. При этом дефолтный коннектор принимает на 25 порт соединения не только изнутри, но и снаружи сети (источник отправки) без какой-либо аутентификации. И да, отправителем может быть вообще любой адрес, хоть биллгей-тсс@microsoft.com. Там есть какие-то транспортные агенты, но я в них не вникал.
2) Вариантов ограничения несколько:
- S/Mime;
- использовать SMTP-шлюз только снаружи сети, на Exchange по SMTP почту получать с него. Изнутри закрыть к чертям;
- если изнутри нужен SMTP, то настроить требование аутентификации, либо ограничить по IP список отправителей.
3) Вы не указали явно, что именно стоит ограничить: любую отправку изнутри от имени "gendirektor@contoso.com", требовать проверку обратного адреса или что-то еще. Например, Exchange не видит проблем в том, чтобы снаружи ему прилетело фейковое письмо от @contoso.com на @contoso.com. Насколько я помню, подобный вид атаки называется spoofing, для защиты от него приходится ставить дополнительный шлюз.

ну у нас тоже было когда-то такое.
Выставили везде обязательную авторизацию и подписи.

Разве дефолтовый коннектор не принимает почту на 25 порт от анонимов при условии, что в получателе внутренний домен?

По умолчанию принимает. Но коллега уточнил в описании проблемы, что анонимная аутентификация ОТКЛЮЧЕНА.

Безопы стригерились. Не нравится что без выданных прав send as отправляешь хоть от кого внутри сети

Безопы стригерились. Не нравится что без выданных прав send as отправляешь хоть от кого внутри сети

Коллеги.
Подскажите плиз. Через powershell если отправить письмо через send-mailmessage -from: anyaddress@contoso.com -to ivanov@contoso.com -subject: test -body test -smtpserver mail.contoso.com
Прийдёт письмо, причем с любого несуществующего адреса, сразу скажу на дефолтном коннекторе anonymous user отключена. То есть в итоге получается что внутри организации можно отправить через Шелл с любого адреса. По логам smtp видно что отправка идёт с аутентфикацией из под учётки под которой запущен шелл отправка через дефолтный коннектор. В итоге что разрешает отправлять send as с любого адреса внутри сети. И можно ли ограничить это? Кто сталкивался.

То есть создать второй коннектор как дефолтный но более с узким диапазоном чтобы был в приоритете. Тогда дефолтный вообще ненужен будет. Т.к. там диапазон вся сеть

The Send-MailMessage cmdlet is obsolete. This cmdlet does not guarantee secure connections to SMTP servers. While there is no immediate replacement available in PowerShell, we recommend you do not use Send-MailMessage. For more information, see Platform Compatibility note DE0005.

То есть создать второй коннектор как дефолтный но более с узким диапазоном чтобы был в приоритете. Тогда дефолтный вообще ненужен будет. Т.к. там диапазон вся сеть

дефолт, это какой?
Который с инета тянет?
Ну если не нужен, удаляйте))

Делается новый конектор, с обозначенными границами и только ексч юзерс.

- s/mime тут причем вообще??

дефолт, это какой?
Который с инета тянет?
Ну если не нужен, удаляйте))

Делается новый конектор, с обозначенными границами и только ексч юзерс.

Решит вопрос "а мне тут письмо от гендиректора пришло"

The Send-MailMessage cmdlet is obsolete. This cmdlet does not guarantee secure connections to SMTP servers. While there is no immediate replacement available in PowerShell, we recommend you do not use Send-MailMessage. For more information, see Platform Compatibility note DE0005.

Не прокатит, так как можно поменять обратный адрес в командлете либо любом SMTP-клиенте.

smime решит этот вопрос? но как??

подпись видишь? Это директор!
Не видишь, у вас случился кринж в периметре. Другое дело, что с мобилками сложнее, но всеж