• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Как перенаправлять письма вовне при отключённом перенаправлении правилами

shodaner

Green Team
04.02.2022
117
9
Добры всем

Недавно мы отключили в целях безопасности перенаправление писем на внешние домены с помощью правил. Теперь единственный способ автоматически отправить письмо вовне - это забрать у пользователя, который хочет такую функцию, его адрес, дать этот адрес группе, добавить в эту группу пользователя и внешний адрес. Тогда все приходящие письма на адрес пользователя (группы) будут улетать ещё и вовне. Но большинству надо чтобы улетали не все письма а по конкретным правилам. Возможно ли это сделать не включая обратно правила, что не возможно из соображений безопасности. Почему не возможно? Потому что мы выяснили, по крайней мере в нашей настройке, что любой пользователь, даже не входящий в группы разрешающие отправки на внешние домены, мог с помощью правил перенаправить письма наружу. Потому что в этом случае письма уходят вообще не понятно от имени кого, похоже вообще от имени роутера, а на него ограничения не действуют. Можно ли выкрутиться из этой ситуации? Возможно ли ограничить роутер на отправку правилами, как мы ограничиваем пользователей через спец группы? Или есть вообще другой механизм перенаправления?
 
<...>Или есть вообще другой механизм перенаправления?
У нас делается самописным агентом, который лежит в специальной базе (чтобы не заморачиваться с пользовательскими ящиками). Агент пробегает по всем почтовым базам, проверяет условия (можно ли данному пользователю форвардить и можно ли именно это письмо) и отправляет письмо (копированием в mail.box сервера).
 
У нас делается самописным агентом, который лежит в специальной базе (чтобы не заморачиваться с пользовательскими ящиками). Агент пробегает по всем почтовым базам, проверяет условия (можно ли данному пользователю форвардить и можно ли именно это письмо) и отправляет письмо (копированием в mail.box сервера).
Т.е. ваш агент ещё и правила смотрит? По сути выполняя функцию правила агент сам отправляет письмо? А как часто это пробег происходит на ваше количество пользователей?
 
Т.е. ваш агент ещё и правила смотрит? По сути выполняя функцию правила агент сам отправляет письмо? А как часто это пробег происходит на ваше количество пользователей?
Агент по расписанию - раз в 5 минут. Ну плюс, ессно, какое-то время занимает работа самого агента, так что форвард, прямо скажу, не мгновенный :) Правила (что, кому можно) хранятся в виде документов в этой же базе.
Наверное, можно ускорить работу, создав агенты "По прибытии новой почты" в п/я юзеров, но, подозреваю, на большом кол-ве пользователей это будет фигово работать.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD