SBS/Exchange 2003 Open Relay на неверно сформированный адрес электронной почты

Question

SBS/Exchange 2003 Open Relay на неверно сформированный адрес электронной почты

У меня есть Small Business Server 2003 (Exchange 2003 SP2). Во время аудита соответствия PCI он был помечен как сбой открытого реле. Я использовал telnet для тестирования, и вот что я нашел:

 MAIL FROM: <test@test.com>
 250 2.1.0 test@test.com....Sender OK
 RCPT TO: <"relaytest@test.com">
 250 2.1.5 "relaytest@test.com"@mydomain.com

Реле выходит из строя каждый раз, когда адрес искажен. Сервер всегда возвращает статус 250, но также всегда добавляет мое доменное имя в конец адреса.

У меня есть сервер, настроенный на ретрансляцию только для внутреннего IP-адреса, настроенного в модуле отчетов об ошибках сайта IIS.

Тестирование с действительным адресом электронной почты (но с искаженными кавычками и угловыми скобками) не привело к получению почты. Есть ли способ использовать это, и если так, как я могу отключить это?

2

smtp exchange-2003

Источник

Dave Simione 30 май '12 в 01:02

1 ответ

Решение

Другие вопросы по тегам smtp exchange-2003

Shane Madden 30 май '12 в 15:46 2012-05-30 15:46 · Accepted Answer · 2012-05-30 15:46

Я бы сказал, что бремя доказывания лежит на них - они должны продемонстрировать, что это действительно относится к инкапсулированному адресу, чтобы это было уязвимостью.

Вы не можете доказать отрицание; у вас нет возможности продемонстрировать, что любая возможная комбинация искажения адреса будет отклонена. От вас не следует ожидать размытия поля адреса получателя вашего почтового сервера, чтобы доказать соответствие; проверка этих вещей и сообщение о любых обнаруженных проблемах - это то, за что платят сканеры.

Ответ о приеме происходит постоянно для сообщений, которые не были доставлены (в частности, для спама) - они безответственно принимают открытую ретрансляцию на основе определенного кода ответа. Каждый поставщик сканеров такого типа, который я видел, на самом деле отправляет сообщение на интернет-адрес, чтобы они могли подтвердить, могут ли они успешно ретранслировать.

Ваше тестирование показало, что, несмотря на код ответа, сообщение не ретранслируется, и добавление вашего домена в конце является дополнительным доказательством того, что сообщение никуда не идет. Тем не менее, они могли исказить адрес по-другому и увидеть другое поведение. Спросите их о точном трафике, который они отправляют, и о том, какой точный ответ они получили, и подтвердило ли их сканирование ретрансляцию через Интернет. Если они сделали, воспроизведите это; это должно быть той степенью должной осмотрительности, которую вам необходимо выполнить здесь.

Если они не докажут, что вы на самом деле уязвимы к этой уязвимости, то их сканирование не имеет смысла, и вы должны оспорить их выводы.