邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 本域发信密码问题 [打印本页]

作者: gaowl 时间: 2006-11-10 09:53
标题: 本域发信密码问题
各位老大，请帮我解决以下问题。
是这样的，最近我发现我们公司的exchange2003邮件服务器，在本域用户之间发邮件时不需要密码验证的，如需要发到本域之外是需要验证的。这样的话太不安全了，怎样可以做到同一个域内用户互发邮件也需要密码？谢谢。比较急，希望知道怎样设置的老大不惜赐教。

作者: abdxj 时间: 2006-11-10 09:59
内部是这样

作者: gaowl 时间: 2006-11-10 10:01
难道没有办法解决吗？我想不太可能吧，这样他这系统太不安全了。

作者: abdxj 时间: 2006-11-10 10:03
内部发信不用认证，但是不是说内部不用密码你就可以登陆outlook

作者: gaowl 时间: 2006-11-10 10:09
内部登陆outlook需要密码，但是发发给本域的邮件是不需要验证的，也就是说你可以假冒你老板的邮件给你全体员工发一封邮件说明天放假不用来上班，这个问题很严重阿。

作者: sz98li021 时间: 2006-11-10 10:40
可以的。。

作者: yinjie 时间: 2006-11-10 10:48
关闭对内的SMTP协议，只允许使用OUTLOOK MAPI或OWA发送，这样用户即不能伪造身份了。另外，如果你接收的邮件的发信人提示是一个标准SMTP地址，则该邮件是匿名提交的，可能为伪造。只有显示为GAL显示名的才是合法验证的邮件，这很容易识别。不过如果你公司都是用OE或其他软件来收发邮件的，就只能取消SMTP的匿名访问了，但请注意：负责接收外部邮件的SMTP是不能关闭匿名访问的！

作者: gaowl 时间: 2006-11-10 11:09
我们公司现在对内对外都是一个SMTP，因此无法关闭SMTP匿名访问，只能使用SMTP方法来发邮件，有没有不关闭SMTP就可以做到发送邮件都要输入密码的方法？

作者: kkyou 时间: 2006-11-10 11:48
为什么内部客户一定要用ＳＭＴＰ发送ＥＭＡＩＬ，office outlook 2003的exchange cache mode 配ex2003有非常强大的功能，而且有kerberos的身份验证．

作者: 砸锅卖铁 时间: 2006-11-10 11:51
建一个对内的SMTP虚拟服务器，把匿名取消
合理修改默认SMTP虚拟服务器

作者: gaowl 时间: 2006-11-10 12:15
虚拟服务器什么意思啊，能不能说得清楚点

作者: 砸锅卖铁 时间: 2006-11-10 12:49
标题: 回复 #11 gaowl 的帖子
打开ESM里的协议-SMTP

作者: gaowl 时间: 2006-11-10 13:16
有没有详细点的文档连接阿，谢谢

作者: gaowl 时间: 2006-11-10 13:39
请问一下，别的邮件系统也存在这种情况吗？还是就exchange有这种情况阿。

作者: gaowl 时间: 2006-11-10 15:56
我试了一下该方法，可还是有漏洞，我可以绕开禁止匿名的smtp虚拟服务器，来发匿名信。比如我禁止的是内网的smtp虚拟服务器，那我可以跑外网通过外网的smtp虚拟服务器，来发匿名邮件阿。有没有更好更彻底的方法阿

作者: 砸锅卖铁 时间: 2006-11-10 16:11
标题: 回复 #15 gaowl 的帖子
难道你的外部邮件进来都是经过身份验证的？

作者: gaowl 时间: 2006-11-10 16:57
我的意思是说，我可以拿我xxx@aaa.com的帐号通过外网的outlook发到yyy@aaa.com
的邮箱里，但是xxx@aaa.com 在发信时并不需要他自己的密码验证，也就是说我可以假冒我老板的邮件帐号，在不知道密码的情况下在外网，向aaa.com这个域发邮件。这样不是绕过原先设在内网，为防止假冒邮件而禁止匿名发信的虚拟SMTP了吗？
我刚才加了leon19821015的MSN，希望可以直接联系。

作者: kclijh 时间: 2006-11-12 10:46
关注

作者: 砸锅卖铁 时间: 2006-11-12 13:50
标题: 回复 #17 gaowl 的帖子
对外的SMTP虚拟服务器把公司的SMTP域名筛选掉不就行了

作者: dainh 时间: 2006-11-12 21:13
就算你对内部用户要求验证了
Internet上的任何一个人都可以冒充你老板发信的

对内使用单独的需要验证的SMTP虚拟服务器是正确的方向
如果你担心用户连到外部的SMTP虚拟服务器发信，你可以考虑反向解析等手段来控制

作者: gaowl 时间: 2006-11-13 16:02
如果对外的SMTP虚拟服务器把公司的SMTP域名筛选掉那么在公司外部的员工就不能通过SMTP来发邮件了。

作者: gaowl 时间: 2006-11-13 16:19
反向解析好像是无法控制用户连到外部的SMTP虚拟服务器发信,有没有更好的办法，或者是有谁已经能够彻底解决掉exchange内部发信不进行验证的问题。加双网卡只能解决部分问题，并不能彻底解决，漏洞依然存在。

作者: liuzuen 时间: 2006-11-13 19:24
这个是本身也是SMTP协议的一个漏洞.
较困难来解决. 以前也有人讨论采用两个SMTP虚拟服务器来处理.但问题同样存在.

以前玩LOTUS DOMINO 时,是可以解决此问题的.

作者: atong999888 时间: 2006-11-13 20:23
看看我以前的贴子, 你们说的问题我都解决掉了.
请看: http://www.5dmail.net/bbs/viewthread.php?tid=155370
只是那贴后面的讨论偏离主题.

[ 本帖最后由 atong999888 于 2006-11-13 20:25 编辑 ]

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)