Domaine dahil olmuş bilgisayarımıza bulaşmış bir zararlı yazılımı tıkladığımızda kendi yetkilerimizi kullanarak ilgili yazılım mail gönderimi yapabilir. Veya meraklı kullanıcılar birbirleri arasında telnet üzerinden mail gönderimi yapabilir. Bunu engellemek için ya domain bilgisayarlarımızla exchange arasında ilgili smtp erişim portlarına (connector) erişimi kapatacağız ya da ilgili smtp connectorlerin üzerinden anonymous gönderimi engelleyeceğiz:
Örn:
from: <a@tapdk.gov.tr>
to: <b@tapdk.gov.tr>
İlgili SMTP connector(ler) açılır:
Normalde Konsol üzerinden Anonymous kaldırdığımızda dış domainlerden de mail alamayız. O yüzden ayarı buradan yapmıyoruz :
Exchange power shell açılır ve aşağıdaki komut girilir.
Önce ilgili receive connector öğrenilir:
>Get-ReceiveConnector
Identity Bindings Enabled
-------- -------- -------
DOMAIN\Receive-Port 25 {:::25, 0.0.0.0:25} True
DOMAIN\Client-Port 587 {:::587, 0.0.0.0:587} True
DOMAIN\Relay_Port_50_use_carefully {0.0.0.0:50} False
Aşağıdaki komut çalıştırılır:
>Get-ReceiveConnector "DOMAIN\Receive_Port_25" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission
Confirm
Are you sure you want to perform this action?
Removing Active Directory permission "TAPDKPOSTA\Receive_Port_25" for user "NT AUTHORITY\ANONYMOUS LOGON" with access rights "'ExtendedRight'".
[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): Y
Artık domaine login olmuş bir bilgisayardan telnet ile mail atılamıyor ama dış domainlerden ilgili connector mail kabul etmektedir:
220 mail.tapdk.gov.tr
EHLO mail.tapdk.gov.tr
250-mail.tapdk.gov.tr Hello [x.x.x.x]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-AUTH NTLM LOGIN
250-8BITMIME
250-BINARYMIME
250 CHUNKING
MAIL FROM:<a@tapdk.gov.tr>
250 2.1.0 Sender OK
RCPT TO:<b@tapdk.gov.tr>
250 2.1.5 Recipient OK
DATA
354 Start mail input; end with <CRLF>.<CRLF>
subject: test
test yapalim bakalim
.
550 5.7.1 Client does not have permissions to send as this sender
Hiç yorum yok:
Yorum Gönder