February 12, 2010

Removiendo los Internet Headers

Eh notado como en algunas auditorias se considera grave que los mensajes contengan en sus Internet Headers la información de ruteo interno (lo cual en mi humilde opinión no causa problema alguno a menos que dudemos de nuestra seguridad perimetral, pero es solo mi opinión... en fin han sido solo unos cuantos billones de mensajes enviados con los Internet Headers llenos de información interna y aun no se de nadie que sufriera alguna enfermedad terminal por eso....), por lo cual vamos a removerlo.
Si observamos en ADSIEdit los permisos para el Send Connector hacia Internet (que en este caso se llama internetSMTP) notaremos que ANONYMOUS LOGON tiene permisos de Send Routing Header, este es el causante de nuestro inconveniente.
Para observarlo debemos usar ADSIEdit y navegar hacia: "daemonroot.com/Configuration/Services/Microsoft Exchange/zeus/Administrative Groups/Exchange Administrative Group (FYDIBOHF23SPDLT)/Routing Groups/Exchange Routing Group (DWBGZMFD01QNBJR)/Connections/internetSMTP” y luego mirar en las opciones avanzadas de seguridad.
Ejecutando el siguiente comando en el Exchange Management Shell podremos remover ese permiso apropiadamente:
Get-SendConnector “internetSMTP” Remove-ADPermission -AccessRight ExtendedRight -ExtendedRights “ms-Exch-Send-Headers-Routing” -user “NT AUTHORITY\Anonymous Logon”
Debemos recordar reiniciar el Servicio del Microsoft Exchange Transport Server para que este cambio tome efecto (Restart-Service MSExchangeTransport).

Si fuera necesario revertir el cambio entonces usaremos este comando: Get-SendConnector “internetSMTP” Add-ADPermission -AccessRight ExtendedRight -ExtendedRights “ms-Exch-Send-Headers-Routing” -user “NT AUTHORITY\Anonymous Logon”
*Noten que aca el nombre de ciertos objecto en Active Directory pertenecen a mi organizacion por lo cual deberan ser ajustados a los propios.
*Este procedimiento aplica tanto a Exchange 2007 como a Exchange 2010.

No comments:

Post a Comment