隐藏邮件头中Exchange服务器信息(IP和主机名)
本帖最后由 4532132 于 2017-1-17 09:55 编辑一、现象描述============================================================================================== 通过Exchange发送到公网的邮件,我们查看邮件头的时候,邮件头中会显示邮件路由的所有SMTP路径。这些路径中记录是邮件经过的所有SMTP服务器,这些路径中包含了服务器的FQDN和IP地址。而内部的服务器FQDN和IP地址这些信息泄露到公网不利于服务器安全(个人建议可以保留邮件头信息。下图显示的是默认请下发送邮件到163邮箱后,查看邮件头能够查看到内部Exchange服务器的FQDN和IP信息。如图。 通过了解发现,发送到公网邮件的邮件头中之所以会显示内部Exchange服务器的FQDN和IP地址信息,是因为在发送连接器中默认开启了Ms-Exch-Send-Headers-Routing权限(Exchange发送到公网的邮件都是使用的是NT AUTHORITY\ANONYMOUS LOGON验证方式),Ms-Exch-Send-Headers-Routing 会在邮件头中显示所有SMTP服务器的FQDN信息。发送连接器的权限说明如下:
发送连接器权限 说明
ms-Exch-Send-Exch50此权限允许会话发送包含 EXCH50 命令的邮件。如果未授予此权限,并且发送了包含 EXCH50 命令的邮件,则服务器将发送邮件,但不包含 EXCH50 命令。
Ms-Exch-Send-Headers-Routing此权限允许会话发送所有接收的头保持不变的邮件。如果未授予该权限,则服务器将删除所有接收的头。
Ms-Exch-Send-Headers-Organization此权限允许会话发送所有组织头保持不变的邮件。组织标头均以 X-MS-Exchange-Organization- 作为开头。如果未授予该权限,发送服务器将删除所有组织标头。
Ms-Exch-Send-Headers-Forest此权限允许会话发送所有林头保持不变的邮件。林头全部以 X-MS-Exchange-Forest- 作为开头。如果未授予该权限,发送服务器将删除所有林头。
在Exchange服务器上通过如下命令获取发送连接器的权限:Get-SendConnector | Get-ADPermission| Where-Object{$_.ExtendedRights -like "*Routing*"} | fl name,user,*right*
二、具体操作======================================================================= 我们如果要设置Exchange发送到公网的邮件隐藏内部Exchange的服务器信息,我们可以进行如下设置:1、使用如下命令,删除接收连接器的ms-Exch-Send-Headers-Routing权限操作如下:Get-SendConnector"To 163.com" | Remove-ADPermission -AccessRights Extendedright -ExtendedRightsms-Exch-Send-Headers-Routing -User "NT AUTHORITY\ANONYMOUS LOGON"
2、设定发送连接器的响应FQDN 接下来,设置发送连接器的响应FQDN,这个FQDN将显示在邮件头。可以自定义显示的名称。下面的发送连接器To 163.com直接发送邮件到Internet。具体设置如图:
三、显示效果==============================================================1、给163.com发送一封测试邮件查看显示的邮件头效果 我们看到邮件头中显示的是mx.contoso.com,为我们在发送连接器上设置的FQDN。
2、下面让Exchange发送到163.com的邮件通过Office 365的EOP进行转发 通过Office 365转发后的邮件头显示效果,在邮件头中只显示了Exchange出口的公网IP地址信息,而不包含内部Exchange服务器信息。
页:
[1]