5
Exchange absichern????
Wie kann ich meinen Exchange am besten gegen Angriffe sichern und gleichzeitig Protokolle wie POP3 verwenden
Hi
ich habe einen Exchange 2003 in meiner Domaine laufen, der momentan nur einen Zugriff über die Domaine erlaubt, also vo ausserhalb nur über VPN.
Ich möchte nun für bestimmte Leute den Exchange so konfigurieren, dass Sie sich die Mails entweder per POP3 oder durch das Web Interface holen können.
Wie sicher ich das ganze am besten gegen Angriffe, da ich ja die entsprechenden Ports freigeben muss
Vielen Dank für eure Hilfe
ich habe einen Exchange 2003 in meiner Domaine laufen, der momentan nur einen Zugriff über die Domaine erlaubt, also vo ausserhalb nur über VPN.
Ich möchte nun für bestimmte Leute den Exchange so konfigurieren, dass Sie sich die Mails entweder per POP3 oder durch das Web Interface holen können.
Wie sicher ich das ganze am besten gegen Angriffe, da ich ja die entsprechenden Ports freigeben muss
Vielen Dank für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 11649
Url: https://administrator.de/contentid/11649
Printed on: April 25, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hallo!
Vielleicht hilft Dir das weiter....
http://www.microsoft.com/germany/technet/datenbank/articles/900047.mspx
Gruß, der Maggus
Vielleicht hilft Dir das weiter....
http://www.microsoft.com/germany/technet/datenbank/articles/900047.mspx
Gruß, der Maggus
Hi
danke für deine Hilfe. Den Artikel kannte ich leider schon. Der ist zwar sehr gut, trifft aber irgendwie nicht ganz das was ich suche.
Ich such mehr eine Lösung wie z.B. über 2 Router zu gehen und den Port zu wandeln. Oder einen weiteren Exchange.
Vielleicht hat ja jemand in dieser Richtung erfahrungen
danke für deine Hilfe. Den Artikel kannte ich leider schon. Der ist zwar sehr gut, trifft aber irgendwie nicht ganz das was ich suche.
Ich such mehr eine Lösung wie z.B. über 2 Router zu gehen und den Port zu wandeln. Oder einen weiteren Exchange.
Vielleicht hat ja jemand in dieser Richtung erfahrungen
Hi!
Sorry, da hab ich dich falsch vertstanden. Schreib doch mal ein bisschen mehr
über die bisherige Umgebung.
Ich habe z.B. einen "passiven" Exchange Server (also smtp über smarthost beim Provider)
und die Mails hole ich per pocon beim provider ab.
Habe in dem Exchange Server zwei nic´s. Einmal für Intern einmal für Extern. Extern ist direkt mit dem router/firewall verbunden und lässt natürlich nur die benötigten Protokolle durch. Also eigentlich nur 443 für OWA.
So, muss jetz erstmal weg.
Wenn dich das interessiert, dann kannst du ja nochmal zurück posten.
Gruß, derMarkus
Sorry, da hab ich dich falsch vertstanden. Schreib doch mal ein bisschen mehr
über die bisherige Umgebung.
Ich habe z.B. einen "passiven" Exchange Server (also smtp über smarthost beim Provider)
und die Mails hole ich per pocon beim provider ab.
Habe in dem Exchange Server zwei nic´s. Einmal für Intern einmal für Extern. Extern ist direkt mit dem router/firewall verbunden und lässt natürlich nur die benötigten Protokolle durch. Also eigentlich nur 443 für OWA.
So, muss jetz erstmal weg.
Wenn dich das interessiert, dann kannst du ja nochmal zurück posten.
Gruß, derMarkus
Hi
also die Umgebung ist momentan wie folgt
Ich habe eine PIX Firewall. In der DMZ steht dann zusätzlich noch der Proxy auf dem Minesweeper läuft. Der Exchange selber steht im LAN. Bis jetzt werden die E-Mails abgeholt. in dem man sich via VPN einwählt und somit zugriff auf sein Exchange Konto hat.
Ich würde es aber gerne realisieren, dass man bei ausgesuchten Usern POP3 aktiviert, oder die Weboberfläche vom Exchange 2003 nutzt. Eins von beiden halt.
Um dies aber zu relalisieren müsste ich den Port 110, bzw 80 für Web auf den Exchange freischalten und damit klafft natürlich ein riesen Loch auf.
Wie krieg ich es jetzt hin einen dieser 2 Möglichkeiten umzusetzten ohne dass sich ein Sicherheitsrisiko auftut. Zumindestens kein so großes
also die Umgebung ist momentan wie folgt
Ich habe eine PIX Firewall. In der DMZ steht dann zusätzlich noch der Proxy auf dem Minesweeper läuft. Der Exchange selber steht im LAN. Bis jetzt werden die E-Mails abgeholt. in dem man sich via VPN einwählt und somit zugriff auf sein Exchange Konto hat.
Ich würde es aber gerne realisieren, dass man bei ausgesuchten Usern POP3 aktiviert, oder die Weboberfläche vom Exchange 2003 nutzt. Eins von beiden halt.
Um dies aber zu relalisieren müsste ich den Port 110, bzw 80 für Web auf den Exchange freischalten und damit klafft natürlich ein riesen Loch auf.
Wie krieg ich es jetzt hin einen dieser 2 Möglichkeiten umzusetzten ohne dass sich ein Sicherheitsrisiko auftut. Zumindestens kein so großes
Falls es noch aktuell sein sollte:
Ich habe mal gehört, dass man sich einen Frontend-Server in die DMZ stellen soll, wenn man das Webfrontend für externe User möglichst sicher realisieren will. Man verbindet sich dann zum Frontend-Server. Dieser Server wiederum darf dann ins lokale LAN, die externen User müssen so nicht ins LAN und können also auch keinen Schaden anrichten.
Achja, du kannst/musst ja beim OWA auch die SSL-Verschlüsselung wählen (Port 443), vielleicht reicht dir das ja auch schon aus, um vom Port 80 runterzukommen.
Oder du forwardest halt einen ganz speziellen Port, sodass du dann nur mit Wissen des Ports auf den OWA kommst (Sowas wie http://www.deinserver.de:7877/exchange)
Meines wissens nach ist aber die Lösung mit dem Frontend-Server in der DMZ die sinnigste. Steht Mitte nächsten Jahres bei uns auch an, dann kann ich näheres dazu sagen.
Ich habe mal gehört, dass man sich einen Frontend-Server in die DMZ stellen soll, wenn man das Webfrontend für externe User möglichst sicher realisieren will. Man verbindet sich dann zum Frontend-Server. Dieser Server wiederum darf dann ins lokale LAN, die externen User müssen so nicht ins LAN und können also auch keinen Schaden anrichten.
Achja, du kannst/musst ja beim OWA auch die SSL-Verschlüsselung wählen (Port 443), vielleicht reicht dir das ja auch schon aus, um vom Port 80 runterzukommen.
Oder du forwardest halt einen ganz speziellen Port, sodass du dann nur mit Wissen des Ports auf den OWA kommst (Sowas wie http://www.deinserver.de:7877/exchange)
Meines wissens nach ist aber die Lösung mit dem Frontend-Server in der DMZ die sinnigste. Steht Mitte nächsten Jahres bei uns auch an, dann kann ich näheres dazu sagen.
