Vorgehen

E-Mails, deren Absender nicht dem tatsächlichen Absender entsprechen, bezeichnet man als gespoofte E-Mails. Bei diesen wurde der E-Mail Header im Rahmen eines anonymen SMTP-Logins vorsätzlich dahingehend verändert – sie stammen also meistens gar nicht von innerhalb der Domäne, sondern werden von extern versendet.
Der Ansatz in diesem Blogbeitrag ist, am zuständigen Empfangskonnektor des Exchange-Servers alle E-Mails anonymer SMTP-Logins zu blockieren, bei welchen als Absender eine Adresse aus der eigenen Domäne eingetragen ist. Jegliche anderen, externen E-Mails sollen dabei selbstverständlich weiter empfangen werden - genauso wie E-Mails authentifizierter Logins.

Umsetzung

Um das gewünschte Verhalten umzusetzen, muss dem für externen E-Mailverkehr zuständigen Empfangskonnektor - meist der Default Frontend Empfangskonnektor - die Berechtigung ms-exch-smtp-accept-authoritative-domain-sender für den NT AUTHORITY\Anonymous Logon Benutzer entzogen werden. Auf deutschen Systemen heißt der Account NT-AUTHORITÄT\Anonymous-Anmeldung. Dies lässt sich über folgenden Befehl in der Exchange Management Shell bewerkstelligen:
Get-ReceiveConnector “Default Frontend Empfangskonnektor” | Get-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” | ? {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

Sollte nach diesem Vorgehen die Problematik weiterhin bestehen, muss zusätzlich noch die ms-exch-smtp-accept-any-sender Berechtigung entzogen werden. Sitzungen ohne diese Berechtigung sind nicht mehr in der Lage, in irgendeiner Weise Spoofingüberprüfungen der Absenderadresse zu umgehen. Dies lässt sich über folgenden Befehl in der Exchange Management Shell bewerkstelligen:
Get-ReceiveConnector “Default Frontend Empfangskonnektor” | Get-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” | ? {$_.ExtendedRights -like “ms-exch-smtp-accept-any-sender”} | Remove-ADPermission

Der Name des Empfangskonnektors und des Benutzeraccounts muss je nach System und Konfiguration angepasst werden. Eine Liste mit Erklärungen zu den erweiterten Rechten finden Sie unter [1]. Zur Sicherheit sollte nach diesen Änderungen der Empfang und Versand erwünschter externer E-Mails überprüft werden. Falls es hierbei unerwarteter Weise zu Problemen kommen sollte, können die letzten Änderungen über folgende Befehle wieder rückgängig gemacht werden:
Get-ReceiveConnector “ Default Frontend Empfangskonnektor ” | Add-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” -ExtendedRights “ms-exch-smtp-accept-any-sender”
Get-ReceiveConnector “ Default Frontend Empfangskonnektor ” | Add-ADPermission -User “NT AUTHORITÄT\Anonymous-Anmeldung” -ExtendedRights “ ms-exch-smtp-accept-authoritative-domain-sender ”

Abschlussbemerkung

Nach diesem Vorgehen wird es anschließend nicht mehr möglich sein, SMTP Mails von einem anonymen Login mit einem auf eine Adresse innerhalb der Domäne verändertem E-Mailheader auf dem betroffenen Empfangskonnektor zu empfangen. Haben Sie also beispielsweise interne Ressourcen (Drucker, Software etc.) die auf diese Praxis zurückgreifen und entgegen der Best Practice für diese keinen separaten Empfangskonnektor eingerichtet, könnte dies zu Problemen führen.

Links

[1] https://technet.microsoft.com/de-de/library/jj673053(v=exchg.150).aspx