与上一条消息一样,我们通过 MS365 发送外发加密消息,一些远程租户无法查看消息。
在 2023 年 7 月强制迁移到 Purview 之前,在访问加密电子邮件时,您可以选择请求 OTP,而不是通过租户登录来访问内容。
我们可以选择OTPEnabled: TrueOME 配置(根据 PowerShell,Get-OMEConfiguration但自从迁移到 Purview 以来,我们不能强迫每个人都使用 OTP,甚至不能看到“通过电子邮件获取 OTP 代码”选项。
有没有人想出一种方法来强制通过电子邮件而不是 MS365 登录 OTP 代码,以便访问给定的加密消息?如果我们可以强制每个人都需要 OTP 代码,而不是使用 MS365 集成登录,那就太好了,但我不确定在哪里强制执行,有谁知道如何在 Purview 加密中做到这一点,因为旧的 OME 设置不再是展示?
我们正在尝试用 MS365 的内置电子邮件加密来取代安全电子邮件网关解决方案。
我们设置了一个邮件流规则,强制从特定发送地址到任何收件人进行加密,如下所示:
条件:
如果满足以下条件,则应用规则:
发件人为“[email protected]”执行以下操作: 修改邮件安全性 - 应用 Office 365 邮件加密和权限保护
- 使用“加密”权限保护消息(默认加密策略)
现在,当我们从该租户中的Business Basic 许可帐户alwaysencrypt发送时,我们会得到奇怪的结果。
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.我们有第三种选择,这是非常新的,并且 MS365 不向外部租户提供 OTP 代码选项。
我没有找到解决此问题并允许外部租户访问权限系统的方法,而无需将其手动添加到我们的原始租户,这是一个问题,因为这是一个自动化系统,将加密消息数据作为警报系统的一部分发送给外部收件人。
有没有人看到过这个,是否有人知道我们如何解决这个问题,以强制它不使用 MS365 租户身份验证来访问加密消息,而仅在组织外部时进行 OTP 代码验证?
我应该指出,MS365 现在强制使用 Microsoft Purview,因此旧版 OME 解决方案将无法运行,并且关于如何更改此解决方案或根据需要进行这些修订的文档为零。
请注意,我有权访问原始租户上的全局管理员,因此如果需要,我应该有权访问所有 Powershell 选项。
因此,与我合作的其中一家公司在他们的混合 MS365/本地部署中遇到了一些混乱。
[email protected]管理控制台的本地和 MS365 端都有一个分发列表(我们称之为)。但是,虽然本地 Exchange 控制面板显示distlist1为接受来自组织内部和外部的邮件,但 MS365 决定忽略这一点,只接受来自“内部”到公司的邮件。
结果,distlist1用于接收特定团队的发票等的电子邮件被拒绝并且没有收到其邮件。
这在 MS365 方面无法更改,并且看起来像 Exchagne on-prem 和 MS365 之间的某种断开或不同步。
我不确定从哪里开始寻找可能在 MS365 上导致此问题的原因,但如果有人有任何指示下一步在哪里查看并修复此问题,那么在 MS365 上它实际上接受“允许所有人发送到列表”的本地设置“那太好了。
我们这里发生了一个非常奇怪的问题。
以这个示例电子邮件为例(原始形式,经过消毒):
To: [email protected]
From: Thomas Ward via TestList <[email protected]>
Subject: Test Message
Date: Wed, 4 Aug 2021 19:44:49 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="------------EFA1B8DAB3C4E625DD16F705"
Content-Language: en-US
Sender: [email protected]
Reply-To: Thomas Ward <teward@NOPE>
CC: Thomas Ward <teward@NOPE>
Message-ID: <162812069430.22940.8470019517074758016@listserv-server>
List-Id: TestList <[email protected]>
List-Post: <mailto:[email protected]>
--------------EFA1B8DAB3C4E625DD16F705
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Test
--------------EFA1B8DAB3C4E625DD16F705
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Test<br>
</p>
</body>
</html>
--------------EFA1B8DAB3C4E625DD16F705--
这是通过直接 SMTP 发送到 MS365 上的发送连接器,该发送连接器配置为从我们的本地邮件服务器接收邮件并将其中继到 MS365 以重新传输到 Internet。
除了...虽然电子邮件重新传输到目标外部收件人...它实际上只发送收件人、发件人、主题等,但完全忽略了邮件的实际内容。这也通过在 Python 中直接提交 MIMEText() 测试电子邮件来复制。
但是,同一封电子邮件在直接提交到我接收此邮件的外部邮件服务器(@NOPE我的实际域和服务器在哪里)时,可以很好地传输和中继所有内容。当我们通过内部部署的 Postfix 中继传输时也会发生同样的事情,该中继通过 Sophos 设备,然后直接进入接收服务器。
因此,似乎以这种方式通过 Exchange Online 路由任何邮件,而本地系统通过 MS365 发送邮件完全无法正常工作。无论提交的消息如何。
是否有其他人在这里获得了需要通过 MS365 路由的任何类型的本地邮件系统或解决方案,并且如果没有 Microsoft 完全吃掉邮件就无法做到?
上述电子邮件从外部发送到测试列表,路由到本地 Exchange 服务器(由于本地 listservs 导致 Exchange 混合设置),为符合 DMARC 进行了修改,然后作为新邮件重新传输到两个外部地址,在收件人端同样的问题。内部 MS365(组织内)收件人也有同样的问题。
同样,通过本地 Postfix 的东西可以很好地交付,但通过 MS365 中继时就不行了(它显然接受了电子邮件并重新传输了除了实际消息之外的所有内容)。
所以我们在这里有一个奇怪的设置。在我工作的地方,我们有两台 Nexus 9k 交换机运行我们的核心网络 - 分别命名为 A 和 B,它们有跨接端口,将流量发送到 Catalyst 2960-X,后者又中继到另一个系统进行流量监控(只有一个不幸的是,网卡)
最初,我们在 VLAN 1000 的 Catalyst 交换机中使用中间 VLAN 来尝试以一种可以正确检测并传递给流量监控系统的方式传递流量,这样端口 46、46 和 47 都具有:
switchport mode access
switchport access vlan 1000
......这很有效。但是,在移动到新的数据中心后,保持端口连接相同,这不再有效。
我们还尝试将其作为 Catalyst 本地 SPAN 端口,如图所示,在取消配置交换机端口访问模式以直接进入 SPAN 行为之后:
VLAN/访问端口方法和 SPAN 方法似乎都无法将流量传递到监控系统。来自show int gig 1/0/45或show int gig 1/0/46在 Catalyst 上的接口统计数据显示流量增加和接收的数据包数量随着数据包计数器的不断增加而不断增加。但是,这不再通过 Cataylst 中的 SPAN 将流量中继到端口 48 - 它的计数器显示零数据包活动,并且下游流量监控系统发现没有流量通过该端口。
任何人都知道我们如何让这项工作再次发挥作用?流量监控系统是一个专用设备,只有一个上行链路端口,因此我们不能在方程式中添加一个额外的 NIC,以通过单独的 NIC 将流量从每个交换机直接泵送到流量监控器,不幸的是......
催化剂跨度配置:
monitor session 1 source int gig 1/0/45 both
monitor session 1 source int gig 1/0/46 both
monitor session 1 dest int gig 1/0/48
Nexus 本地跨度配置(两者相同,请注意这不是 RSPAN 设置):
monitor session 1
source vlan 20-21,121,150,160,270,300,400,500 both
destination interface Ethernet1/15
no shut
请注意,我们可以根据 Catalyst 端口 45 和 46 上的“接收”速率确认流量来自NEXUS 并到达 Catalyst 上的端口 45 和 46,它只是没有将流量传递到 Catalyst 上的跨端口 48从这两个端口。
另请注意,VLAN 1000 不存在于网络上的其他任何地方,并且此时不可用;交换机端口配置被删除以access尝试使用标准 SPAN,尽管这两种机制都不起作用。(VLAN 1000 被用作纯交换机内部 VLAN,试图欺骗系统将未标记的数据包从 Nexuses 传递到监控系统所在的端口)
show monitor session 1 detail在催化剂上请求的输出:
#show monitor session 1 detail
Session 1
---------
Type : Local Session
Description : -
Source Ports :
RX Only : None
TX Only : None
Both : Gi1/0/45-46
Source VLANs :
RX Only : None
TX Only : None
Both : None
Source RSPAN VLAN : None
Destination Ports : Gi1/0/48
Encapsulation : Native
Ingress : Disabled
Filter VLANs : None
Dest RSPAN VLAN : None
当前运行的 Catalyst 2960-X 配置show run(部分清理以隐藏敏感信息):
Current configuration : 8036 bytes
!
! Last configuration change at 17:13:19 UTC Thu Apr 4 2019 by admin
! NVRAM config last updated at 16:20:59 UTC Mon Apr 1 2019 by admin
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname catalyst
!
boot-start-marker
boot-end-marker
!
!
[username data snipped]
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default none
aaa authorization commands 15 default local
!
!
!
!
!
!
aaa session-id common
switch 1 provision ws-c2960x-48fps-l
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2307906176
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2307906176
revocation-check none
rsakeypair TP-self-signed-2307906176
!
!
crypto pki certificate chain TP-self-signed-2307906176
certificate self-signed 01
[SNIP]
quit
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface GigabitEthernet1/0/1
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/2
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/3
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/4
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/5
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/6
description exagrid mgmt
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/7
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/8
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/9
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/10
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/11
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/12
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/13
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/14
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/15
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/16
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/17
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/18
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/19
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/20
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/21
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/22
description WAN Switch
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/23
description Core 9K A
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/24
description Core 9K B
switchport access vlan 255
switchport mode access
!
interface GigabitEthernet1/0/25
description UPLINK TO MGT NETWORK
switchport trunk allowed vlan 255
switchport mode trunk
!
interface GigabitEthernet1/0/26
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/27
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/28
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/29
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/30
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/31
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/32
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/33
description esx500 console
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/34
description esx501 Console
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/35
description esx502 Console
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/36
description esx503 Console
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/37
description esx504 Console
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/38
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/39
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/40
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/41
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/42
switchport access vlan 255
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/43
!
interface GigabitEthernet1/0/44
!
interface GigabitEthernet1/0/45
description Core A Monitor Port
!
interface GigabitEthernet1/0/46
description Core B Monitor Port
!
interface GigabitEthernet1/0/47
!
interface GigabitEthernet1/0/48
description Monitor Ports to Monitoring System
!
interface GigabitEthernet1/0/49
!
interface GigabitEthernet1/0/50
!
interface GigabitEthernet1/0/51
!
interface GigabitEthernet1/0/52
!
interface Vlan1
no ip address
!
interface Vlan255
ip address 10.1.255.21 255.255.255.0
!
interface Vlan1000
description SPAN collection
no ip address
!
ip http server
ip http secure-server
!
!
!
!
!
!
!
line con 0
line vty 0 4
timeout login response 300
transport input telnet ssh
line vty 5 15
timeout login response 300
transport input telnet ssh
!
!
monitor session 1 source interface Gi1/0/45 - 46
monitor session 1 destination interface Gi1/0/48
end
这可能已在其他地方被问过,但我找不到符合我们确切标准的问题。
我们有一个运行文件共享的 Windows Server 2016 标准系统。在其中一个共享中,我们有一个文件夹(在本示例中,共享称为“GeneralShare”,该文件夹是“ControlledFolder”)。我们希望将文件夹本身列在共享中,但不允许任何不在 AD 中的“ControlledFolderAccess”组中的用户访问数据。因此,任何不在“ControlledFolderAccess”组中的用户都会知道该文件夹存在,但无法看到其中的内容。(我们也有隐式访问规则,例如系统和本地管理员(和域管理员)也有权限。)
我们已经尝试了一组权限,调整了读/写/执行以及中间特殊权限的所有迭代,还尝试了“拒绝”权限。但是,我们还没有找到可以正确包含这些规则的适当规则集。
有谁知道我们需要设置哪些特定规则来阻止用户进入目录但仍然看到该目录存在于共享本身中?
这是我们在测试目录中尝试和复制的内容:
GeneralShare 权限:
允许规则:
拒绝规则:
GeneralShare/ControlledFolder 规则:
(无继承)
允许规则:
据我了解,这些权限应该可以工作......我们是否在某处遗漏了拒绝规则,或者 Server 2016 的标准行为刚刚改变?(在具有其他共享的 2012R2 服务器上,这些相同的权限按预期工作,如果我们不是管理员并且没有显式访问权限或不在 ControlledFolderAccess 组中,我们可以看到该文件夹但无法访问它。 . 但在 2016 年,这些文件夹只是没有显示这些权限集)
这听起来有点让人头疼,但是我们正在从 Sendmail 服务器转移到 Postfix 服务器来处理我们网络上的邮件路由,有选择地确定哪些地址导致邮件被路由到不同的位置(或者只是简单地重写到不同的@domain)。因此,该系统处理的域在virtual_alias_domains列表中。
问题是,我们有一些我们想要始终拒绝的地址,并且我们还在virtual_alias_domains配置末尾的全部内容中看到了这些地址。virtual_alias_maps本质上,我们执行以下操作,并在指令中引用此文件:
/etc/postfix/virtusertable:
...
@domain.tld @internal.domain.tld
我们希望能够同时REJECT处理“收件人被策略拒绝”的消息,因此我们尝试将其表述如下:
/etc/postfix/recipient-access:
[email protected] REJECT Recipient rejected by policy.
baduser@ REJECT Recipient rejected by policy.
smtpd_recipient_restrictions以及配置中提到的smtp_relay_restrictions文件... check_recipient_access hash:/etc/postfix/recipient-access ...
问题是,当发往该目标的邮件被传递到邮件服务器时,并且在它重写并中继到链中的下一个链接之前,我们希望它返回“拒绝”或类似的“不允许”响应。然而,在处理时,通过使用 进行测试sendmail -bv [email protected],Postfix 说邮件是可以投递的(即使没有尝试投递)——而不是“拒绝”之类的。
我不确定在哪里设置这样的“拒绝”规则。我们似乎在 Sendmail 系统中完成了这个“工作”,但我们想摆脱那个邪恶的系统并用 Postfix 系统代替它。
请注意,我们正在尝试尽可能地匹配 Sendmail 配置。除了拒绝某些地址外,我们目前一切正常,但不知道如何继续......
这听起来有点令人费解和复杂,但我们目前在我的一个客户环境中为电子邮件设置了一个非常糟糕的设置。
从最里面的系统到外面,我们有:
Exchange Server -> Sendmail Server -> McAfee Email Gateway -> OUTSIDE
这有点邪恶,因为外部目的地不在办公室电子邮件(从系统内部的某个人到外部)不起作用,它们似乎被 McAfee 电子邮件网关捕获并且不会在外部中继。
我正在尝试做的是将 Postfix 服务器设置为中继和 SMTP 服务器,并且取决于接收到的内容:
这看起来有点像以下:
Exchange Server -> Postfix Relay --- Out of Office messages only ---> OUTSIDE
|
All other mail
|
---> Sendmail Server/Relay ---> McAfee Email Gateway ---> OUTSIDE
我对如何为选择性中继选项配置 Postfix 有点犹豫。有没有人可以就如何实现这一目标提供一些见解?
我这里有一个实验室环境,用于测试只能在这个“实验室环境”网络上运行的软件。
为此,“实验室环境”在网络外围有一个 pfsense 防火墙,充当“网关”。
我需要设置 pfSense 以禁止所有内部 LAN 地址出站连接到 Internet,但具有静态 IP 地址的单个系统除外。
我试过阻止FROM LAN Address -> (any)但没有运气,因为系统仍然能够使用该规则访问互联网。我认为,为此创建“通过”规则很容易FROM 172.16.1.1 TO (any)。
有人可以帮我解决这些防火墙规则吗?对 pfSense 来说有点新,因为我来自iptables网络边缘环境,所以任何帮助都将不胜感激。
作为 IT 团队的新人,我被分配了一项任务,负责列出和记录为公司运行共享的服务器上的文件共享的整个目录树中的每个目录分配的所有权限。
我知道它正在运行 Windows Server,但我不记得具体的版本。我也知道控制访问的用户组在 Active Directory 中,但我没有为此获得对 AD 服务器的访问权限。
是否有一些更简单的方法可以递归地获取共享目录树中每个目录的分配权限,而无需我手动进入每个文件夹来识别权限?