web-dev-qa-db-ja.com

ユーザーアカウントはExchangeサーバーからロックアウトされました-将来的に防ぐ方法は?

私は今朝奇妙な例を経験しました、そして誰かが私が何が起こったのかについていくらかの光を当てるのを手伝ってくれることを望んでいます。

ユーザーは今朝ロックアウトされていると不満を漏らしました。パスワードをリセットした後、アカウントがほぼ瞬時に再びロックアウトされたことがわかりました。監査ログを調べて、Exchangeサーバーからのリクエストであることがわかりました。これは私がこれまで実際に見たことのないものです。

OWAログを調べて、そのユーザー名に対応するエントリがそこにないことを発見しました。 OWA、ActiveSync、MAPIなどを無効にし、アカウントは引き続きロックアウトされました。

Exchangeサーバーのイベントビューアログを調べた後、このエントリに出くわしました。

受信コネクタのデフォルトEMAILSERVERのLogonDeniedエラーでインバウンド認証が失敗しました。認証メカニズムはログインです。 MicrosoftExchangeへの認証を試みたクライアントの送信元IPアドレスは[XX.XX.XX.XX]です。

方向転換の余地がないため、そのIPアドレスからのトラフィックをブラックホール化し、アカウントのロックアウトが停止しました。これは、私があまりメールを受け取らないと思われる国に解決されたパブリックIPアドレスでした。

私の質問は:

  • このIPアドレスはどのように認証を試みましたか?彼らがログインしようとしたベクトルに関して私にとって意味のある何かをログに見ることができません。
  • どうすればこれが将来発生するのを防ぐことができますか?これはExchange2010 SP3であり、残念ながら、現時点ではエッジトランスポートは実行可能なオプションではありません:(
exchange-2010brute-force-attacks
4
DKNUCKLES

「受信コネクタ」とはSMTPを意味します。トランスポートコネクタのログを確認します。

正当な理由がない限り、Exchangeユーザーに外部SMTPコネクタへの認証を許可しないでください。そうすれば、この問題の発生を防ぐことができます。

次のものが必要です。

  • TLS(場合によっては相互TLS Auth)のみをオンにしてインターネットから電子メールを受信するための専用の受信コネクタ。

SMTPが必要なものが他にある場合は、さらに多くのコネクタが必要です。

  • ネットワーク内にユーザーに送信する必要のあるデバイス(コピー機/スキャナーなど)がある場合は、そのためのコネクタが必要です。これにはTLSと認証が有効になっている必要がありますが、特定のサービスアカウントに制限されています。
  • 認証またはTLSをサポートしない内部デバイスがある場合は、IP制限を使用して別のコネクタを構成する必要があります。
  • 認証されたSMTPを介して送信する必要がある外部ユーザーは、別のポート(通常は587)にいて、TLSを使用する必要があります。
6
longneck