Пару месяцев назад начал приходить большой поток спама от имени получающего пользователя, то есть человек получал письмо как бы от себя самого. Так как адрес обслуживаемого домена заносится в список “Белых адресов”, стандартные средства антиспама данные письма благополучно пропускают.
Для того, чтобы настроить запрет на получение писем из интернет от имени внутренних пользователей, необходимо выполнить следующую команду:
|
1 |
Get-ReceiveConnector "Internet ReceiveConnector" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission |
Где “Internet Receive Connector” – ваш получающий соединитель. Как видно, данная команда настраивает разрешения для отправки от имени пользователей домена только авторизованным пользователям. Соответственно POP и ActiveSync пользователи должны быть настроены для авторизации перед отсылкой писем.
Также обращаю Ваше внимание на то, что очень желательно создать разные Receive Connector для внутренней сети и интернет!
Есть такая вещь как SPF, а подобные нестандартные решения легко забываются. Права могут слететь и после установки очередного sp… 🙂
Безусловно. Однако настройки фильтрации по SPF записи, в моей организации, привели к тому, что 20% “честных” писем недоходило. Видимо не все админы знают про SPF 🙂
Не знаю что у вас за система, но фильтровать по SPF можно по разному. У меня фильтруется только письма отправленые от имени чужого домена, для которых есть SPF запись. Фильтровать же все для чего нет SPF действительно не стоит 🙂