Что с паролями?)

совет нужен, ломанули одну контору
exch2010, один сервер. напрямую смотрит наружу (антиспам встроенный)
spf настроен, sender policy - стоит reject на подмену. НО
письма прилетают снаружи, от имени организации. при этом они (письма) содержат действующие переписки из почтовой базы с вложениями.
отключаем на прокси приём почты снаружи, спам перестаёт прилетать. То есть спам летит с инета, но содержит действующие письма организации.
анонимную отправку на коннекторах отрубил

утекли походу, psexec нашёл в службах

2010 с открытым напрямую 25 портом на внешку
защищается вот этой командой, если он SP3 + актуальный RU

https://social.technet.microsoft.com/Forums/en-US/18d8e518-92ff-4d5d-b6fd-3852b87c9d1b/exchange-server-2013-and-msexchsmtpacceptauthoritativedomainsender?forum=exchangesvrsecuremessaging

Remove-ADPermission <ReceiveConnector Name> –user “NT AUTHORITY\Anonymous Logon” –ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

На  Default Frontend Connector.

Что не написать?

if sender outside your organization  and domain like <your domain> - delete message without notification anyone

не пойдёт, from to указан организации(выводимое имя), а в заголовках левые адреса всякие :(

пруф искать лень, но это в итоге не работает

на 2010 еще работает)

пруф искать лень, но это в итоге не работает

В 2010 работает. на edge обычно делается. В 2013+ нет - на front end коннекторах, только на HubTransport