אלי שלמה

Exchange Online Protection & Relay

by · 04/04/2017

האם שירות Exchange Online פתוח ומאפשר לאחרים ואנונימים לשלוח דואר דרכו? האם Exchange Online Protection עושה את העבודה ומוגדר עם Relay נכון? תשובות בסוף המאמר.

לאחרונה נתקלתי במספר מקרים בהם אדמינים ביצעו בדיקות מול שירות Exchange Online עם כלי Microsoft Remote Connectivity Analyzer או לחלופין מתוך הרשת הארגונית ובמהלך הבדיקה של Inbound SMTP EMail נמצאו מספר הודעות שמצביעות על Relay פתוח ולכאורה כל אחד יכול לשלוח דואר דרך הדומיין.

כידוע במהלך בדיקת Inbound SMTP EMail נעשות מספר בדיקות:

  • בדיקות מול רשומות DNS של MX
  • בדיקת פורט 25
  • בדיקת MX אשר שייך לדומיין שלנו
  • ניתוח תהליך מול רכיב SMPT
  • בדיקת Relay

לאחר מכן מוצג דוח של כל הבדיקות שנעשו, במידה והכל תקין נקבל דוח שכולו מסומן בירוק וכל הבדיקות עברו בהצלחה.
ישנם מצבים בהם מקבלים דוח עם אזהרות ולכן צריך לוודא מהן האזהרות, במקרה שלנו קיבלנו אזהרה קריטית שהדומיין פתוח וניתן לבצע Relay ולשלוח דואר מתוך משתמש אנונימי.

דוגמא של דוח שאינו תקין ובדיקת Relay נכשלה

Open relay test message delivered successfully to eshlomo@elishlomo.us

image

מה זה אומר מבחינתנו שמקבלים דוח עם Open Relay על גבי שירות Exchange Online או יותר נכון מול השירות אשר תעבורת הדואר עוברת דרכו Exchange Online Protection? האם EOP בטוח? האם אנו חשופים?
שירות Exchange Online ובפרט שירות Exchange Online Protection שדרכו תעבורת הדואר עוברת בטוח ומוקשח ואין Relay מול השירות

דוגמא של דוח תקין
image

אם כך מה הסיבה שאותם בדיקות נכשלו וקיבלנו Relay? יש לכך מספר סיבות מרכזיות:

  • האם רשומת MX מוגדרת מול שירות Exchange Online Protection
    הסנריו המומלץ הוא ניתוב כל תעבורת הדואר והגדרת MX מול שירות EXO ובמצב כזה לא נקבל Relay בשום אופן.
  • האם מוגדרת תצורה היברידית והגדרת MX פונות לשרתי דואר מקומיים ?
    במצב כזה האחריות על תעבורת הדואר היא על שרתי Relay המקומיים בלבד וגם במצב כזה אנו צריכים לוודא שאנו מגדירים את הקונקטורים בין הסביבה המקומית לשירות Exchange Online Protection בתצורה מומלצת ונכונה. במצב שבו ישנה תצורת נכונה ומומלצת
    אפשרות Relay לא תהיה פתוחה.
  • האם מוגדרת תצורה של MX המוגדר מול פתרון צד שלישי אשר מוגדר בענן ?
    גם במצב כזה האחריות על תעבורת הדואר היא על שירות הענן שמולו מוגדר MX בלבד וגם במצב כזה אנו צריכים לוודא שאנו מגדירים את הקונקטורים בין שירות הענן לשירות Exchange Online Protectionבתצורה מומלצת ונכונה. במצב שבו ישנה תצורת נכונה ומומלצת אפשרות Relay לא תהיה פתוחה.

(בקצרה על תרחישים מומלצים של Mail Flow) במאמר הידוע של Mail flow best practices for Exchange Online and Office 365 ישנם המלצות לתצורות ותרחישים מומלצים של ניתוב תעבורת הדואר. המאמר מתייחס לכל התרחישים האפשריים של ניתוב דואר והגדרות MX מול שירות Exchange Online Protectionn או ניתוב תעבורת דואר מול שרתי דואר מקומיים וניתוב תעבורת דואר מול שירות ענן נוסף.
כמובן שהתרחיש הכי מומלץ הוא לעבוד עם ניתוב תעבורת דואר מול שירות Exchange Online Protection כאשר כל תיבות הדואר או רוב תיבות הדואר נמצאות בענן והניתוב מבוצע אל MX מול שירות Exchange Online Protection.

Mail flow diagram showing mail going from the internet to Office 365 and from Office 365 to the internet.

  • מהיכן ביצענו את הבדיקה?
    כן, גם כאשר מבצעים בדיקות צריך לדעת מהיכן לבצע את הבדיקות בין אם זה מתוך הרשת הארגונית או הרשת החיצונית.
    במצב שמגיעים מתוך הרשת הארגונית אנו יכולים להגיע עם כתובת אשר מורשית לבצע Relay בגלל הגדרות קונקטור מול שירות Exchange Online וכאן יש לוודא שכל אותם הגדרות וקונקטורים בין הסביבה המקומית לבין שירות EXO מוגדר נכון וללא הגדרות כלליות בכדי לא לאפשר Relay מכתובות שאינם מורשות.
    במצב השני הוא בדיקות אשר נעשות מתוך Connectivity Analyzer tool. במידה ונבדוק את הדומיין שממנו מבתצעות הבדיקות testexchangeconnectivity.com נקבל את הכתובות הבאה 157.56.138.170 השייכתת לתחום כתובות של 157.56.0.0 ונמצאת ברשות Microsoft ולכן EOP רואה את אותן כתובות ככתובות פנימיות ולכן במצב כזה אנו נקבל הודעה של Open Relay.

    image

    במצב כזה שניתוב תעבורת הדואר והגדרות MX נמצאות מול שירות Exchange Online Protection מומלץ לבצע בדיקה עם כלים חיצונים כדוגמת SMTP Diagnostics של MX Toolbox ואחרים.

    image

    לסיכום

    האם שירות Exchange Online פתוח ומאפשר לאחרים ואנונימים לשלוח דואר דרכו? לא! האם Exchange Online Protection עושה את העבודה ומוגדר עם Relay נכון? כן!
    כן, שירות Exchange Online Protection סגור לRelay ואינו מאפשר ביצוע שליחת הודעות דואר ע”י משתמשים אנונימיים ובנוסף לכך שירות EOP עובד בתצורה של Auth-based relay לפי מספר קריטריונים ולכן אם הבדיקה שביצעתם החזירה דוח עם Open Relay כנראה שהגדרות שבוצעו מול EOP אינם תקינות ואינם לפי המלצות Microsoft.

Tags:

You may also like...

השאר תגובה