Share via

Como permitir retransmissão anônima em um Conector de Recebimento

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2007-07-02

Este tópico explica como usar o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange para criar e configurar um conector de recebimento que permita retransmissão anônima. O conector de recebimento é configurado nos servidores que tenham a função de servidor Transporte de Hub ou Transporte de Borda do Microsoft Exchange Server 2007 instalada.

Retransmissão é a transferência de mensagens de um servidor de mensagens SMTP para outro quando o servidor de mensagens SMTP de aceitação não é o destino final da mensagem. Quando irrestrita, a retransmissão anônima em servidores de mensagens SMTP da Internet constitui uma deficiência séria na segurança que poderá ser explorada por remetentes de emails comerciais não solicitados, ou spammers, para ocultar a origem de suas mensagens. Dessa forma, são colocadas restrições nos servidores de mensagens voltados para a Internet para impedir a retransmissão para destinos não autorizados.

No Exchange 2007, a retransmissão é normalmente tratada usando-se domínios aceitos. Os domínios aceitos são configurados no servidor de Transporte de Borda ou Transporte de Hub. Os domínios aceitos são adicionalmente classificados como domínios de retransmissão interna ou externa. Para obter mais informações sobre domínios aceitos, consulte Gerenciando domínios aceitos.

Você também pode restringir a retransmissão anônima com base na origem das mensagens de entrada. Este método é útil quando um aplicativo ou servidor de mensagens não autenticado deve usar o servidor de Transporte de Hub ou de Transporte de Borda como um servidor de retransmissão.

Antes de começar

Para executar este procedimento, você deve usar uma conta à qual estejam delegadas as seguintes funções:

  • Função Administrador do Exchange Server e grupo Administradores local para o servidor de destino

Para executar os procedimentos a seguir em um computador em que a função de servidor de Transporte de Borda esteja instalada, você deve fazer logon usando uma conta que seja membro do grupo Administradores local no computador.

Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão

Criando um conector de recebimento que concede a retransmissão anônima a endereços IP de origem específicos

Ao criar o conector de recebimento que é configurado para permitir a retransmissão anônima, você deve impor as seguintes restrições no conector de recebimento:

  • Configurações de Rede Local   Restringe o conector de recebimento para escutar apenas o adaptador de rede adequado no servidor de Transporte de Hub ou Transporte de Borda.

  • Configurações de rede remota   Restringe o conector de recebimento para aceitar somente conexões do servidor ou dos servidores especificados. Essa restrição é necessária, porque o conector de recebimento é configurado para aceitar retransmissão de usuários anônimos. Restringir os servidores de origem por endereço IP é a única medida de proteção permitida nesse conector de recebimento.

Para conceder a permissão de retransmissão a usuários anônimos no conector de recebimento, você pode usar uma das estratégias descritas nas seções a seguir. Cada estratégia apresenta vantagens e desvantagens.

Conceder a permissão de retransmissão a conexões anônimas

Essa estratégia envolve as seguintes tarefas:

  • Criar um novo conector de recebimento com o tipo de uso definido como Custom.

  • Adicionar o grupo de permissão Anônimo ao conector de recebimento.

  • Atribuir a permissão de retransmissão à entidade de segurança Logon Anônimo no conector de recebimento.

O grupo de permissão Anônimo concede as seguintes permissões à entidade de segurança Logon Anônimo no conector de recebimento:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

Entretanto, para permitir a retransmissão anônima nesse conector de recebimento, você também deve conceder a seguinte permissão à entidade de segurança Logon Anônimo no conector de recebimento:

  • Ms-Exchange-SMTP-Accept-Any-Recipient

A vantagem dessa estratégia é que ela concede as permissões mínimas necessárias para retransmitir aos endereços IP remotos especificados.

As desvantagens dessa estratégia são as seguintes:

  • Você só pode atribuir a permissão de retransmissão à conta Logon Anônimo no conector de recebimento usando o Shell de Gerenciamento do Exchange em uma etapa separada depois de criar o conector de recebimento.

  • As mensagens que se originam dos endereços IP especificados são tratadas como mensagens anônimas. Portanto, as mensagens não ignoram verificações anti-spam, nem verificações de limite de tamanho de mensagem, e os remetentes anônimos não podem ser resolvidos. O processo de resolução de remetentes anônimos força uma tentativa de correspondência entre o endereço de email do remetente anônimo e o nome para exibição correspondente na lista de endereços global.

    Dica

    Se o Exchange 2007 Service Pack 1 (SP1) for implantado em um computador que esteja executando o Windows Server 2008, você poderá inserir endereços IP e intervalos de endereços IP nos formatos IPv4 e IPv6, ou em ambos os formatos. Uma instalação padrão do Windows Server 2008 permite suporte para IPv4 e IPv6.
    É altamente recomendável não configurar Conectores de Recebimento para que aceitem conexões anônimas de endereços IPv6 desconhecidos. Se você configurar um Conector de Recebimento para aceitar conexões anônimas de endereços IPv6 desconhecidos, a quantidade de spam que entrará em sua organização provavelmente aumentará. Atualmente, não há um protocolo padrão amplamente aceito pelo setor para a busca de endereços IPv6. A maioria dos provedores de Lista de Bloqueios de IP não oferece suporte para endereços IPv6. Portanto, se você permitir conexões anônimas de endereços IPv6 desconhecidos em um Conector de Recebimento, aumentará a probabilidade de spammers conseguirem ignorar os provedores de Lista de Bloqueios de IP e enviarem spam com êxito para sua organização.
    Para obter mais informações sobre o suporte do Exchange 2007 SP1 para endereços IPv6, consulte Suporte a IPv6 no Exchange 2007 SP1 e SP2. Para obter mais informações sobre a filtragem de conexão, sobre como adicionar endereços IP à Lista de Permissões de IP e à Lista de Bloqueios de IP, além de como configurar serviços de provedores de Lista de Bloqueios de IP e Lista de Permissões de IP, consulte Configurando a filtragem de conexão.

Para usar o Console de Gerenciamento do Exchange para criar um novo conector de recebimento que conceda a permissão de retransmissão a conexões anônimas

  1. Abra o Console de Gerenciamento do Exchange. Execute uma das seguintes etapas:

    1. Para criar um conector de recebimento em um computador com a função de servidor Transporte de Borda instalada, selecione Transporte de Borda e, no painel de trabalho, clique na guia Conectores de recebimento.

    2. Para criar um conector de recebimento em uma função de servidor de Transporte de Hub, na árvore do console, expanda Configuração do Servidor e selecione Transporte de Hub. No painel de resultados, selecione o servidor no qual deseja criar o conector e clique na guia Conectores de Recebimentos.

  2. No painel de ações, clique em Novo Conector de Recebimento. O assistente de Novo Conector de Recebimento SMTP é iniciado.

  3. Na página Introdução, siga estas etapas:

    1. No campo Nome:, digite um nome significativo para este conector. Esse nome é usado para identificar o conector.

    2. No campo Selecionar o uso pretendido para este conector:, , selecione Personalizado.

    3. Clique em Avançar.

  4. Na página Configurações de rede local, siga estas etapas:

    1. Selecione a entrada Todos Disponíveis já existente e clique em ícone Remover.

    2. Clique em Adicionar. Na caixa de diálogo Adicionar Ligação de Conector de Recebimento, selecione Especificar um endereço IP. Digite um endereço IP que esteja atribuído a um adaptador de rede no servidor local que melhor se comunica com o servidor de mensagens remotas.

    3. Na página Configurações de Rede Local, no campo Porta, digite 25 e clique em OK.

    4. Clique em Avançar.

  5. Na página Configurações de rede remota, siga estas etapas:

    1. Selecione a entrada 0.0.0.0 - 255.255.255.255 já existente e clique em ícone Remover.

    2. Clique em Adicionar ou na seta suspensa localizada ao lado de Adicionar e digite o endereço IP ou a faixa de endereços IP para o servidor remoto de mensagens ou servidores que podem retransmitir mensagens nesse servidor. Quando você tiver concluído a inserção dos endereços IP, clique em OK.

    3. Clique em Avançar.

  6. Na página Novo Conector, examine o resumo da configuração do conector. Se desejar modificar as configurações, clique em Voltar. Para criar o conector de recebimento com as configurações do resumo da configuração, clique em Novo.

  7. Na página Conclusão, clique em Concluir.

  8. No painel de trabalho, selecione o conector de recebimento criado.

  9. No nome do conector de recebimento no painel de ações, clique em Propriedades para abrir a página Propriedades.

  10. Clique na guia Grupos de Permissões. Selecione Usuários anônimos.

  11. Clique em OK para salvar suas alterações e sair da página Propriedades.

  12. Abra o Shell de Gerenciamento do Exchange.

  13. Execute o comando a seguir usando o nome do conector de recebimento que você criou nas etapas 1 a 11:

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Para usar o Shell de Gerenciamento do Exchange para criar um novo conector de recebimento que conceda a permissão de retransmissão a conexões anônimas

  1. Execute o seguinte comando:

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Por exemplo, para criar um novo conector de recebimento chamado "Retransmissão Anônima" que escuta no endereço IP local 10.2.3.4 na porta 25 de um servidor de origem no endereço IP 192.168.5.77, execute o seguinte comando:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

  2. Execute o comando a seguir usando o nome do conector de recebimento que você criou na etapa 1:

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configurar o conector de recebimento como Protegido Externamente

Essa estratégia envolve as seguintes tarefas:

  • Criar um novo conector de recebimento com o tipo de uso definido como Custom.

  • Adicionar o grupo de permissão ExchangeServers ao conector de recebimento.

  • Adicionar o mecanismo de autenticação ExternalAuthoritative ao conector de recebimento.

O grupo de permissão ExchangeServers é necessário quando você seleciona o mecanismo de autenticação ExternalAuthoritative. Esta combinação de método de autenticação e grupo de permissão concede as seguintes permissões para qualquer conexão de entrada que seja permitida no conector de recebimento:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-SMTP-Accept-Authentication-Flag

As vantagens dessa estratégia são as seguintes:

  • Facilidade de configuração

  • As mensagens que se originam dos endereços IP especificados são tratadas como mensagens autenticadas. As mensagens ignoram verificações anti-spam e verificações de limite de tamanho mensagens e podem resolver os remetentes anônimos.

A desvantagem dessa estratégia é que os endereços IP remotos são considerados totalmente dignos de confiança. As permissões que são concedidas aos endereços IP remotos possibilitam que o servidor de mensagens remoto envie as mensagens como se elas fossem originadas de remetentes internos na sua organização do Exchange.

Para usar o Console de Gerenciamento do Exchange para criar um novo conector de recebimento configurado como protegido externamente

  1. Abra o Console de Gerenciamento do Exchange. Execute uma das seguintes etapas:

    1. Para criar um conector de recebimento em um computador com a função de servidor Transporte de Borda instalada, selecione Transporte de Borda e, no painel de trabalho, clique na guia Conectores de Recebimento.

    2. Para criar um conector de recebimento em uma função de servidor de Transporte de Hub, na árvore do console, expanda Configuração do Servidor e selecione Transporte de Hub. No painel de resultados, selecione o servidor no qual deseja criar o conector e clique na guia Conectores de Recebimentos.

  2. No painel de ações, clique em Novo Conector de Recebimento. O assistente de Novo Conector de Recebimento SMTP é iniciado.

  3. Na página Introdução, siga estas etapas:

    1. No campo Nome:, digite um nome significativo para este conector. Esse nome é usado para identificar o conector.

    2. No campo Selecionar o uso pretendido para este conector:, , selecione Personalizado.

    3. Clique em Avançar.

  4. Na página Configurações de rede local, siga estas etapas:

    1. Selecione a entrada Todos Disponíveis já existente e clique em ícone Remover.

    2. Clique em Adicionar. Na caixa de diálogo Adicionar Ligação de Conector de Recebimento, selecione Especificar um endereço IP. Digite um endereço IP que esteja atribuído a um adaptador de rede no servidor local que melhor se comunica com o servidor de mensagens remotas.

    3. Na página Configurações de Rede Local, no campo Porta, digite 25 e clique em OK.

    4. Clique em Avançar.

  5. Na página Configurações de rede remota, siga estas etapas:

    1. Selecione a entrada 0.0.0.0 - 255.255.255.255 já existente e clique em ícone Remover.

    2. Clique em Adicionar ou na seta suspensa localizada ao lado de Adicionar e digite o endereço IP ou a faixa de endereços IP para o servidor remoto de mensagens ou servidores que podem retransmitir mensagens nesse servidor. Quando você tiver concluído a inserção dos endereços IP, clique em OK.

    3. Clique em Avançar.

  6. Na página Novo Conector, examine o resumo da configuração do conector. Se desejar modificar as configurações, clique em Voltar. Para criar o conector de recebimento com as configurações do resumo da configuração, clique em Novo.

  7. Na página Conclusão, clique em Concluir.

  8. No painel de trabalho, selecione o conector de recebimento criado.

  9. No nome do conector de recebimento no painel de ações, clique em Propriedades para abrir a página Propriedades.

  10. Clique na guia Grupos de Permissões. Selecione Servidores Exchange.

  11. Clique na guia Autenticação. Selecione Protegido Externamente (por exemplo, com IPsec).

  12. Clique em OK para salvar suas alterações e sair da página Propriedades.

Para usar o Console de Gerenciamento do Exchange para criar um novo conector de recebimento configurado como protegido externamente

  • Execute o seguinte comando:

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>

    Por exemplo, para criar um novo conector de recebimento chamado "Retransmissão Anônima" que escuta no endereço IP local 10.2.3.4 na porta 25 de um servidor de origem no endereço IP 192.168.5.77, execute o seguinte comando:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77

Para obter mais informações

Para obter mais informações, consulte os tópicos a seguir: