隐藏郵件頭中Exchange伺服器資訊（IP和主機名）

一、現象描述

==============================================================================================

      通過Exchange發送到公網的郵件，我們檢視郵件頭的時候，郵件頭中會顯示郵件路由的所有SMTP路徑。這些路徑中記錄是郵件經過的所有SMTP伺服器，這些路徑中包含了伺服器的FQDN和IP位址。而内部的伺服器FQDN和IP位址這些資訊洩露到公網不利于伺服器安全（個人建議可以保留郵件頭資訊。下圖顯示的是預設請下發送郵件到163郵箱後，檢視郵件頭能夠檢視到内部Exchange伺服器的FQDN和IP資訊。如圖。

<a href="http://s3.51cto.com/wyfs02/M02/8C/DF/wKioL1h8iZ_CjIULAAJq2rPqqwc598.png" target="_blank"></a>

              通過了解發現，發送到公網郵件的郵件頭中之是以會顯示内部Exchange伺服器的FQDN和IP位址資訊，是因為在發送連接配接器中預設開啟了

Ms-Exch-Send-Headers-Routing  權限（Exchange發送到公網的郵件都是使用的是NT AUTHORITY\ANONYMOUS LOGON  驗證方式），Ms-Exch-Send-Headers-Routing 會在郵件頭中顯示所有SMTP伺服器的FQDN資訊。

發送連接配接器的權限說明如下：

發送連接配接器權限

說明

ms-Exch-Send-Exch50

此權限允許會話發送包含 EXCH50 指令的郵件。如果未授予此權限，并且發送了包含 EXCH50 指令的郵件，則伺服器将發送郵件，但不包含 EXCH50 指令。

Ms-Exch-Send-Headers-Routing

此權限允許會話發送所有接收的頭保持不變的郵件。如果未授予該權限，則伺服器将删除所有接收的頭。

Ms-Exch-Send-Headers-Organization

此權限允許會話發送所有組織頭保持不變的郵件。組織标頭均以 X-MS-Exchange-Organization- 作為開頭。如果未授予該權限，發送伺服器将删除所有組織标頭。

Ms-Exch-Send-Headers-Forest

此權限允許會話發送所有林頭保持不變的郵件。林頭全部以 X-MS-Exchange-Forest- 作為開頭。如果未授予該權限，發送伺服器将删除所有林頭。

    在Exchange伺服器上通過如下指令擷取發送連接配接器的權限：

Get-SendConnector | Get-ADPermission  | Where-Object{$_.ExtendedRights -like "*Routing*"} | fl name,user,*right*

<a href="http://s3.51cto.com/wyfs02/M00/8C/DF/wKioL1h8iaTAnDxkAABJdTYxNBg510.png" target="_blank"></a>

二、具體操作

=======================================================================

     我們如果要設定Exchange發送到公網的郵件隐藏内部Exchange的伺服器資訊，我們可以進行如下設定：

1、使用如下指令，删除接收連接配接器的ms-Exch-Send-Headers-Routing權限

操作如下：

Get-SendConnector  "To 163.com" | Remove-ADPermission -AccessRights Extendedright -ExtendedRights ms-Exch-Send-Headers-Routing -User "NT AUTHORITY\ANONYMOUS LOGON"

<a href="http://s3.51cto.com/wyfs02/M00/8C/E3/wKiom1h8icyTu4cBAAArSbTMqo8382.png" target="_blank"></a>

2、設定發送連接配接器的響應FQDN

          接下來，設定發送連接配接器的響應FQDN，這個FQDN将顯示在郵件頭。可以自定義顯示的名稱。下面的發送連接配接器To 163.com直接發送郵件到Internet。具體設定如圖：

<a href="http://s3.51cto.com/wyfs02/M00/8C/DF/wKioL1h8idChrPKYAACjB5h_LYE586.png" target="_blank"></a>

三、顯示效果

==============================================================

1、給163.com發送一封測試郵件檢視顯示的郵件頭效果

    我們看到郵件頭中顯示的是mx.contoso.com，為我們在發送連接配接器上設定的FQDN。 

<a href="http://s3.51cto.com/wyfs02/M01/8C/E3/wKiom1h8idPAZodSAACkdajC5t8211.png" target="_blank"></a>

2、下面讓Exchange發送到163.com的郵件通過Office 365的EOP進行轉發

       通過Office 365轉發後的郵件頭顯示效果，在郵件頭中隻顯示了Exchange出口的公網IP位址資訊，而不包含内部Exchange伺服器資訊。

<a href="http://s3.51cto.com/wyfs02/M02/8C/E3/wKiom1h8idaCzC32AAHHVw7SE2Q085.png" target="_blank"></a>

本文轉自 jialt 51CTO部落格，原文連結:http://blog.51cto.com/jialt/1892344