В этой статье я покажу вам, как изменить баннер для POP3/IMAP4 и SMTP служб в Exchange 2003. Изменение баннера для этих служб Exchange улучшает безопасность, т.к. атакующие и недобросовестные пользователи при первой попытки не знают, какой сервер общается с ними. Пожалуйста, не забывайте, что это только одна из нескольких методик для защиты среды Exchange.
Прежде всего, давайте обсудим, почему необходимо модифицировать SMTP/IMAP4 и POP3 баннеры. Что вы увидите, если соединитесь через Telnet с вашим сервером Exchange для SMTP/IMAP4 и POP3? Вы увидите номер версии Exchange, какая версия Windows установлена и с каким сервис паком. Эта информация является очень важной для хакера, так как, зная, какая версия Windows используется у вас, и какая версия Exchange, он знает возможные слабые места в вашей системе. После этого он сможет использовать какие-нибудь эксплоиты, для того чтобы получить контроль над вашей системой.
Сначала я покажу вам, что вы увидите, когда пытаетесь соединиться через Telnet с вашим сервером Exchange для POP3/IMAP4 и SMTP без модификации баннера. Если вы не знаете, как соединиться через Telnet c Exchange, прочтите мою статью о Telnet и Exchange 2003.
Сообщение SMTP будет выглядеть подобным образом: The Server is using Windows 2003 (3790) and Service Pack 1 (1830) (Сервер использует Windows 2003 (3790) и Сервис пак 1(1830)).
Рисунок 1: SMTP до модификации баннера.
Теперь мы будем использовать скрипт ADSUTIL.VBS для того, чтобы модифицировать SMTP баннер. Вы можете найти ADSUTIL.VBS в папке Inetpub\AdminScripts на IIS сервере (сервере Exchange). Выполните скрипт, как показано ниже:
CSCRIPT ADSUTIL.VBS set smtpsvc/x/connectresponse "Текст, который SMTP служба должна вывести"Вместо x поставьте номер виртуального SMTP сервера. После изменения баннера остановите и запустите снова службу SMTP, используя консоль управления службами или команды NET STOP SMTPSVC и NET START SMTPSVC.
Рисунок 2: Выполнение ADSUTIL.VBS
Теперь настало время соединиться через Telnet к модифицированному баннеру. И вы увидите следующий ответ на ваше соединение.
Рисунок 3: SMTP после модификации баннера
Этого достаточно? Если нет, то возможно подделать ответ на соединение после 220 - с тем именем, которое вы хотите. Вы можете изменять ответ на соединение, используя Exchange System Manager в свойствах доставки или Exchange Virtual SMTP Server, как это показано на следующем рисунке.
Рисунок 4: Изменение ответа на соединение
Если вы хотите отключить какие-нибудь SMTP глаголы, то вам надо прочитать следующую статью.
Теперь давайте соединимся через Telnet с Exchange 2003 POP сервером. Откройте командную строку и введите TELNET ExchangeServerName 110, нажмите Enter. В ответ вы увидите то, что показано на следующем рисунке.
Рисунок 5: POP3 баннер до модификации
Как вы видите, мы используем Exchange 2003 (6.5) с вторым сервис паком (7623.0).
Замечание:
В целях безопасности служба Microsoft POP3 по умолчанию отключена после установки Exchange 2003.
Вы можете изменить эту настройку, используя утилиту, которая называется SMTPMD и которая не доступна для загрузки. Вы должны сделать запрос Microsoft PSS для получения этой полезной утилиты.
Другой способ – использовать IIS Metabase Explore. IIS Metabase Explorer – это составная часть IIS6 Resource Kit, который вы можете загрузить отсюда. После установки IIS Resource Kit, откройте IIS Metabase Explorer и перейдите к ключу POP3SVC, а затем к 1 (обычно) и создайте новую запись с настройками, как это показано на следующем рисунке.
Рисунок 6: Использование IIS Metabase Explorer для создания новой записи POP3
Замечание:
В Exchange 2003 это исправление применяется для всех виртуальных серверов Exchange, но в Exchange Server 2003 это исправление применяется только для того виртуального сервера, который вы модифицируете (например, 1 для первого Виртуального Сервера). Если баннер удален с любого из виртуальных серверов, то виртуальный сервер будет использовать тот баннер, что задан по умолчанию.
Вставьте любое значение, какое вы хотите.
Рисунок 7: Введите строку ответа на POP3 соединение
Теперь снова попробуйте соединиться со службой POP3 через Telnet, и вы увидите ответ на ваше соединение, подобный тому, что показан ниже.
Рисунок 8: Ответ POP3 после модификации баннера
Наконец, попробуем соединиться через Telnet со службой Exchange 2003 IMAP4 и вы увидите следующий ответ.
Рисунок 9: Ответ IMAP4 до модификации баннера
Замечание:
В целях безопасности служба Microsoft IMAP4 по умолчанию отключена после установки Exchange 2003.
Для модификации баннера IMAP4 мы снова используем IIS Metabase Explorer. Перейдем к ключу IMAP4 и затем к 1 (обычно). Затем создадим новую запись с параметрами, показанными на следующем рисунке.
Рисунок 10: Использование IIS Metabase Explorer для создания новой строки IMAP4
Заметьте:
В Exchange 2003 это исправление применяется для всех виртуальных серверов Exchange, но в Exchange Server 2003 это исправление применяется только для того виртуального сервера, который вы модифицируете (например, 1 для первого Виртуального Сервера). Если баннер удален с любого из виртуальных серверов, то виртуальный сервер будет использовать тот баннер, что задан по умолчанию.
Вставьте любое значение, какое вы хотите.
Рисунок 11: Введите строку ответа на IMAP4 соединение
Теперь снова попробуйте соединиться со службой IMAP4 через Telnet, и вы увидите ответ на ваше соединение, подобный тому, что показан ниже.
Рисунок 12: Ответ IMAP4 после модификации баннера
Заключение
В этой статье я показал вам, как изменить баннер для POP3/IMAP4 и SMTP служб в Exchange 2003. Изменяя баннер для этих служб Exchange, вы немного улучшите безопасность. Это связанно с тем, что по началу атакующий или недобросовестный пользователь не будет знать, с каким сервером он имеет дело.
Ссылки по теме
Как изменить баннеры POP и IMAP
http://support.microsoft.com/kb/303513/en-us
Как изменить ответ по умолчанию на соединение, который вы получаете после того, как соединитесь с SMTP портом в Exchange 2003
http://support.microsoft.com/kb/836564/en-us
XCON: Как изменить SMTP баннер
http://support.microsoft.com/kb/281224/en-us
IIS6 Resource Kit
http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&DisplayLang=en
