Exchange - změna portu pro SMTP
Mám Exchange 2010 a chci změnit odchozí port SMTP na 26. Z toho důvodu, že chci zablokovat odchozí komunikaci na port 25.
Změnu jsem provedl v PowerShellu příkazem Set-SendConnector "Default Internet Connector" -Port 26
Po změně se v queue zobrazí connecting a nic se neodešle.
Vyzkoušel jsem i změnu portu pro příchozí poštu na port 26 a nic nedocházelo. Až poté, co jsem vrátil zpět na port 25, pošta došla.
Co dělám špatně?
A k cemu by to melo byt dobre? neni lepsi zabezpecit Exchange, aby pres nej nemohl odesialt nekdo nepovolany?
To je zabezpecene. Chci zablokovat odchozi port 25 pro celou sit z toho duvodu, kdyby byl v siti zavirovany pocitac a ten odesilal spam, tak aby nebyl mail server na blacklistu.
To vyresis jednoduse tak, ze povolis port 25 pouze z pocitace s Exchange...
Takhle to sice řešitelné je, ale nejsem si jist, jestli by to v praxi fungovalo, jelikož druhá síť s počítači je připojena do serveru a ze serveru to jde teprve do routeru, takže nevím, jak by bylo připojení identifikováno.
Je nějaký nástroj, kterým by se dalo ověřit, zda je na daném počítači odchozí port otevřen?
Co znamena, ze sit je pripojena "do serveru"?
Pokud pocitac rozesila spam, pak odesila primo ze sve IP adresy. Ne pres server, na kterem (predpokladam ze jde o server s Exchange) je port 25 uz obsazen Exchange serverem.
Máme dvě sítě. Od routeru k serveru je síť 1 - internet. Od serveru ke klientům je síť 2. Na routeru je nastaveno routování ze sítě 2 na bránu serveru. Tak si nejsem právě jist, když je to routované až ze serveru na router, pod jakou IP adresou se to bude na routeru identifikovat.
Možná máte pravdu, ale chtěl bych se o tom raději ujistit.
+ je ještě nutné, aby SMTP fungovalo z některých počítačů v síti. Němel by to asi být problém, protože jde asi o místní komunikaci se serverem a do internetu to odešle až Exchange.
Chtěl jsem adresy počítačů z druhé sítě přidat do routeru, ale nezná je to.
Aleši,
spambotí nety už velmi dlouho odesílají poštu v drtivé většině samy, bez účasti regulérních MTA.
Správný postup je:
1. na routeru vyblokovat odchozí spojení na vzdálený port 25 vyjma IP adres regulérních MTA
2. na MTA vypnout relay pro IP adresy vnitřní sítě, pokud je SMTP protokol používán uvnitř sítě (např. různá zařízení jako tiskárny apod. reportující stav), povolit jej jen pro tyto hostitele
Pred par dnami som videl sofistikovanjesi virus/spambot v akcii. Maily odosielal cez regulerne smtp (yahoo, google, dalsie si uz nepamatam), nestacil som sledovat ako mi tam behali smtp servre na lokale cez tcpview.
jo, netvrdím, že to tak dělají všechny, ale drtivá (ta blbější) většina to "sprostě" pere rovnou do cizích MTA..
Na routeru provedeno.
SMTP relay je povolena jen pro vnitřní IP adresu serveru, protože zde pracují programy HP Monitoring Tool, které odesílají poštou různé chyby a nelze u nich nastavit autorizaci na SMTP.
U nás to istý čas fungovalo možno v podobnej konfigurácii. Boli riešené 2 siete vo firme zámerne navzájom oddelené, každá mala svoje servery. Obe pristupovaly cez proxy jednak na poštový firemný server a tiež na internet.
PC s 3-ma sieťovkami, bežal na ňom proxy, poštový server, firewal a nejaký soft na sledovanie traficu.