¿Es aceptable habilitar la retransmisión de correos electrónicos en un servidor de correo electrónico interno en una red corporativa?

3

Sé que SMTP es inherentemente vulnerable a muchos problemas y, si no se configura correctamente, se puede usar un servidor SMTP para retransmitir correos electrónicos que se originan y están destinados a dominios de terceros.

Lo que entiendo de la retransmisión de correo abierto es la retransmisión no autenticada de correos electrónicos. Corrígeme si estoy equivocado. ¿Hay alguna buena razón por la que se permita la transmisión no autenticada dentro de una red corporativa?

¿Se considera vulnerable si el siguiente POC resulta en un correo electrónico en mi bandeja de entrada?

telnet internalmailserver.mydomain.com 25
220 Ironportblabla.mydomain.com ESMTP
HELO
250 Ironportblabla.mydomain.com
MAIL FROM:[email protected]
250 sender <[email protected]> ok
RCPT TO:[email protected]
250 recipient <[email protected]> ok
DATA
354 go ahead
TEST
.
250 ok: Message 123456 accepted
  1. El método anterior puede ser utilizado por un adversario interno para falsificar y enviar correos electrónicos a cualquier empleado interno como cualquier otra persona. ¿No es esto vulnerable?
  2. ¿Hay alguna razón aceptable justificada para permitir la retransmisión interna-interna y externa-interna en los servidores de correo internos?
  3. ¿Detener esto afectaría el funcionamiento normal del correo electrónico corporativo?
pregunta hax 17.01.2017 - 22:19
fuente

1 respuesta

4
  

El método anterior puede ser utilizado por un adversario interno para falsificar y enviar correos electrónicos a cualquier empleado interno como cualquier otra persona. ¿No es esto vulnerable?

Sí. Hay una universidad de ciencias aplicadas en mi vecindario que tenía un servidor de correo que permitía a cualquier usuario utilizar cualquier dirección de correo electrónico de sus propios dominios. Alguien abusó de enviar cartas de amor personalizadas pero automatizadas. Fue hilarante. El departamento de TI, en lugar de avergonzarse después de haber sido señalado esa vulnerabilidad varias veces, fue tras la persona. Fue hilarante.

  

¿Hay alguna razón aceptable justificada para permitir la retransmisión interna-interna y externa-interna en los servidores de correo internos?

Con frecuencia, tiene un servidor de correo saliente con el que su servidor de correo interno se comunica con todos los correos que no puede entregar localmente. Estos dos se ejecutan a menudo en la misma máquina, y es aceptable abrir el puerto del servidor de correo solo localmente para permitir que el servidor de correo interno, y solo el interno, hablen directamente con el servidor saliente. El servidor interno tiene la obligación de asegurarse de que solo los usuarios autorizados puedan enviar correos desde las direcciones que les pertenecen.

  

¿Detener esto afectaría el funcionamiento normal del correo electrónico corporativo?

No, porque esto no es normal.

    
respondido por el Marcus Müller 17.01.2017 - 22:35
fuente

Lea otras preguntas en las etiquetas