Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - kozb

Страницы: [1] 2
1
Windows / Active Directory Delegate Permission
« : 09 мая 2018, 16:39:15 »
Всем привет, нужна помощь понять что я упускаю, ситуация следующая:
Тех. поддержка выполняет много административных функций и исторически так сложилось что они в группе Domain Admins.
Я хочу убрать их из группы и дать им Delegate Permisions на уровне домена.
Создаю новую группу "Security_Helpdesk" и даю делегацию, добавляю людей в группу, убираю из Domain Admins , меняю значение Admin Count с 1 на 0 (иначе защитный механизм AdminSDHolder и SDPROP сбросит изменения ). Все вроде хорошо, но по какой-то причине они всё еще могут сами вернуть себя в группу Domain Admins хотя Delegate Permisisons не распространяются на защищенные группы как Domain Admins и я вижу что нет делегации на  Domain Admins у группы "Security_Helpdesk" .
Но если убираю из "Security_Helpdesk"группы , то не могут. Вот и не пойму в чём дело, что я упускаю ?

2
Unix / Особенный SMTP relay
« : 01 октября 2017, 21:24:21 »
Добрый день. Не вижу ничего особенного в задаче, она стандартная.
Если в линукс, то настраиваем PostFix на получение без авторизации от конкретного IP на зарегистрированные домены, например только письма на @guru.ru
https://habrahabr.ru/post/258407/

Если Microsoft Exchange  тоже самое , создаем новый Recieve Connector без авторизации который будет принимать письма только с определённого IP или всей подсети.Настройка будет зависtть от версии Exchange.



3
MS Exchange / spam
« : 19 октября 2016, 14:22:13 »
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.


Добрый день!
Вот новая проблема, где прописать в postfix для приема noreply@domain.ru от моего домена?



Я думаю что достаточно ввести noreply@domain.ru в белый лист. О том как создать белый лист смотрите тут http://www.odmin4eg.ru/2010/postfix-belyj-list-postfix-whitelist/

4
MS Exchange / spam
« : 06 октября 2016, 16:08:25 »
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
А, теперь дошло. Я неправильно понимал, как оно работает.
Но, опять-таки, если smtp отправителя - open relay, то проверка завершится успехом, так ведь?
К сожалению да, но большинство недоспамеров все же может отсеить.

5
MS Exchange / spam
« : 06 октября 2016, 16:03:07 »
reject_unverified_sender
а не приведет ли это к тому, что почта от не
reject_unverified_sender # проверка отправителя.
Это не совсем то. Ведь спамеры могут пытаться отправить письма и c существующего у вас в системе адреса.

Да, и еще, выходит, ваш postfix должен знать о всех существующих пользователях exch, чтобы выполнять такую проверку? Или он эту проверку выполняет, соединяясь с exch?  ???
Shs,проверка отправителя в PostFix работает путём пробного письма , Postfix просто проверяет что SMTP отправителя может принять почту на указанный адрес отправителя.
Если отправитель сделал ложное письмо с существующим внутренним адресом, то проверка пройдёт нормально и письмо к сожалению пройдет.
Но так как автор уже заблокировал приём писем со своего домена, то все в порядке. Проблема будет только принять письма с адресов типа noreply@domain.ru т.к. такой адрес не пройдет проверку. Кстати для этого тоже есть решение, можно сделать некоторым адресам исключение.

6
MS Exchange / spam
« : 29 сентября 2016, 15:34:43 »
Я не знаком с Spamassassin , но советую проверить как с его помощью это остановить.
По большому счету вам нужно определить что IP отправителя соответствует домену указанному в адресе отправителя,
Стандартная проверка PTR лишь проверяет наличие записи, а не соответсвие с доменом указанным в адресе отправителя.

Если у вас нет внешних источников, которые отсылают письма с вашым доменом, вы можете вообще запретить прием писем с вашего домена.

7
MS Exchange / spam
« : 28 сентября 2016, 18:34:46 »
shs , я очень сильно сомниваюсь что спам приходит используя локальный серевер как Relay, но может я не правильно понял. Если так, то это намного хуже и нужно тестировать не являеться ли сервер открытым Relay.


supervisor2005 , возьмите весь header из сообщения и поместите на этот сайт http://mxtoolbox.com/EmailHeaders.aspx, он наглядно покажет откуда и куда пришло.

8
MS Exchange / Custom Address List в Exchange 2016
« : 28 сентября 2016, 18:08:31 »
Retif , похоже я тут ничем помочь не могу , не сталкивался с такой проблемой.
Может это новая проблема в Exchange2016 , а глобальный лист тоже не обновляеться ?

Проверьте сервис "Exchange System Attendant service" , он должен работать.
Я бы еще покалупался в EventViewer на серевере.

9
MS Exchange / spam
« : 28 сентября 2016, 17:55:20 »
То , о чем вы говорите называеться Spoofing .
Если платное решение вам не подходит , я бы посоветовал несколько вещей :

1.  Использовать DMARC запись в DNS. Неплохое обьяснение есть на этом сайте https://habrahabr.ru/post/253705/.
2.  Использовать подпись исходящих сообщений DKIM https://habrahabr.ru/post/106589/.
3.  Использовать правило траспорта Exchange для отсеивания таких сообщений. Есть хорошее пояснение на английском http://markgossa.blogspot.co.il/2016/01/block-spoofed-email-exchange-2010-2013-2016-part2.html


10
Всем привет, нашел ответ самостоятельно.

По умолчанию, если на  Receive Connector дать права "Anonymous users" , то это как раз позволяет анонимным пользователям отправлять сообщения только внутри организации, но есть НО.
Если дать дополнительно расширенное право "ms-Exch-SMTP-Accept-Any-Recipient"  на этот Receive Connector пользователю "NT AUTHORITY\ANONYMOUS LOGON" , тогда анонимные пользователи могут отсылать почту и за пределы организации.

Как оказалось, это и было сделано до меня в этой компании, но визуально вы этого нигде не увидите. Команда которую я использовал чтоб это найти
Get-ReceiveConnector | Get-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" | ft identity,user,extendedrights,accessrights

11
MS Exchange / Custom Address List в Exchange 2016
« : 27 сентября 2016, 21:20:06 »
Я думаю что проблемы у вас никакой нет. Обновления листа происходят с задержкой.
Глобальный лист например обновляеться как только репликация между AD закончиться, но клиент скачает обновления раз в 24 часа.
Оффлайн листы обнавляються раз в 24 часа . реплицируются в CAS до 8 часов.

12
Цитировать
Тогда вам необходимо через транспортные правила  установить ограничения.[/size][/font][/size]Есть правда один момент  - NDR, хотя, можно будет проверить работает ли правило через NDR - а затем отключить оповещение.


Спасибо за совет.
Таким образом я могу конечно блокировать отсылку наружу , но это будет проверять имя отправителя, а не IP отправителя.
Т.е. достаточно поменять отправителя чтоб обойти ограничения.


Ну , все равно спасибо за старания.

13
Цитировать
вам наверное send connector нужен?


К сожалению это никак мне не помогает.
Send Connector создаеться только для настройки отправки почты из Exchange  и привязать к нему можно только сервера CAS , ну никак не список серверов внутри сети.


Если я что-то упускаю и у вас есть решение , пожалуйста обьясните.

14
Добрый день форумчане.

Стоит Exchange 2010 , есть стандартные 2 получающих соединителя. Перый для клиентов Outlook порт 587 и второй на порт 25 для всего остального.

Есть сервисы на разных серверах, которые отправлют уведомления только на внутренний почтовый адресс.
Соединения проходит без айтентификации т.к. часть из них не боддерживает такую опцию , для того чтоб это работало я добавляю IP серверов в Receive Connector.
Тут вроде как все хорошо, но эти сервера таким образом имеют право отсылать почту также на внешние адреса.

Вопрос : Можно ли создать получающий соеденитель таким образом чтоб пропускал почту только на внутренние адреса ? Или может знаете другое решение на связанное с получающим соеденителем ?

15
Ребят, если это еще кому-то актуально , при экспорте фунцию командлет FT (Feat Format Table) заменяем на Select и все будет хорошо.
Кроме того, мне привычней делать экспорт в CSV файл.


Get-Mailbox | sort DisplayName | Select DisplayName, EmailAddresses | Export-CSV C:\smtp.csv

Страницы: [1] 2