Á vista de todos

Á vista de todos
P

ara muitos administradores, a segurança deve ser um dos importantes pilares da sua gestão. Desde a atualização de sistemas operativos, aplicações e anti-vírus, como também a limitação de informação interna exposta na Internet, como ocultar a versão do WordPress ou do seu servidor web (Apache, Nginx ou IIS).

Mas nem toda informação exposta é em forma de versões. No caso do Exchange Server, os nomes internos dos servidores podem ser vistos na Internet após a sua instalação.

Digamos que o nosso domínio é demo.local e do serviço de correio externo é mail.demo.local. Conectando via Telnet a porta 25 (SMTP) ou 587 (SMTP Cliente) no servidor Mailbox, somos recebidos com a seguinte mensagem:

C:\>telnet 192.168.32.54 587

220 exchsrv.demo.local Microsoft ESMTP MAIL service ready at Sun, 12 May 2019 13:14:12 +0100

No servidor Edge, a mensagem é semelhante:

C:\>telnet 192.168.32.56 25

220 exchedg.demo.local Microsoft ESMTP MAIL Service ready at Sun, 12 May 2019 13:16:19 +0100

Isto não só é uma quebra de segurança grave, mas também pode fazer com que o servidor de correio não seja visto como fidedigno, porque o nome do servidor (exchsrv.demo.local) não é igual ao do DNS reverso (mail.demo.local). Podes fazer essa verificação com o MXToolbox, usando o SMTP Test.

Alterando o banner de saudação

Existem 2 elementos obrigatórios na criação do banner. O primeiro é o código 220, que confirma que o servidor está funcional e pronto a receber, seguido do nome e domínio do servidor externo. Tudo que for escrito a seguir é opcional, mas para evitar confusões, vamos ficar apenas por estes dois elementos.

Todas as alterações são feitas via Powershell, atravês do Exchange Management Shell. Começamos por correr o comando Get-ReceiveConnector para visualizarmos a lista de conectores do servidor Mailbox:

[PS] C:\>Get-ReceiveConnector

Identity                                Bindings                                Enabled
--------                                --------                                -------
EXCHSRV\Default EXCHSRV                 {0.0.0.0:2525, [::]:2525}                True
EXCHSRV\Client Proxy EXCHSRV            {[::]:465, 0.0.0.0:465}                  True
EXCHRV\Default Frontend EXCHSRV         {[::]:25, 0.0.0.0:25}                    True
EXCHSRV\Outbound Proxy Frontend EXCHSRV {[::]:717, 0.0.0.0:717}                  True
EXCHSRV\Client Frontend EXCHSRV         {[::]:587, 0.0.0.0:587}                  True

Em ambientes normais, só existe a necessidade de alterares os banners das portas 465 e 587 no servidor Mailbox e da porta 25 no servidor Edge, que estarão expostas na Internet. Se não quiseres usar o serviço Edge do Exchange (embora seja incluído gratuitamente), podes optar por um gateway de correio mais robusto (como o TrendMicro IMSS, Kaspesky SMG ou o Scrollout F1, que é open-source) e saltar os passos abaixo para o mesmo.

Começa por verificar o conteúdo do banner para conector escolhido (identificado pelo parâmetro -Identify):

[PS] C:\>Get-ReceiveConnector -Identity "EXCHSRV\Client Frontend EXCHSRV" | fl "Banner"

Banner :

Para alterares o banner do conector, usa o comando Set-ReceiveConnector:

[PS] C:\>Set-ReceiveConnector -Identity "EXCHSRV\Client Frontend EXCHSRV" -Banner "220 mail.demo.local"

E para terminar, confirmas se a alteração foi feita com sucesso:

[PS] C:\>Get-ReceiveConnector -Identity "EXCHSRV\Client Frontend EXCHSRV" | fl "Banner"

Banner : 220 mail.demo.local

Depois de feito, sempre uma ligação fôr iniciada para a porta com o banner alterado, ela verá a nova informação:

C:\>telnet 192.168.32.54 587

220 mail.demo.local

A partir dai, temos algo muito mais genérico. Assim não é bem melhor?

Adicionar Comentário

Por Vitor Pinho

Vitor Pinho

gravatar

Administrador de sistemas e informático a mais de 19 anos, desde o tempo do MS-DOS e Windows NT e autodidata em tudo que é relaccionado a IT.