Как оказалось в эксчендже есть фича, которая позволяет отправлять почту через ресив конектор смотрящий в интернет анонимно письма с и на внутрений адресс.

Get-ReceiveConnector "name of the internet receive connector" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"} | Remove-ADPermission

Вроде работает для Exchange 2013 CU5-

Если Exchange 2013 CU5+

То возможно надо сделать:

  1. Заблокировать свой домен:
Set-SenderFilterConfig -BlockedDomains mydomain.com
Set-SenderFilterConfig -InternalMailEnabled $true

2. Удалить права с ms-Exch-SMTP-Accept-Any-Sender для anonymous users:


Get-ReceiveConnector "name of the internet receive connector" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-Exch-SMTP-Accept-Any-Sender"} | Remove-ADPermission

3. Если надо открыть релэй с внутренней сети (LAN):

Get-ReceiveConnector "name of your LAN Open Relay connector" | add-ADPermission -user "NT AUTHORITY\Anonymous Logon" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Sender"

Взято с:

http://fictionpage.blogspot.com/2016/03/exchange.html

https://serverfault.com/questions/741501/how-can-i-prevent-spoofed-emails-from-outside-thats-using-my-internal-accepted-d