5
Exchange 2010 Extern absichern
Hallo, wir planen den Einsatz eines Exchange 2010 Servers in unserem Unternehmen.
Insgesamt werden wohl ca. 60 Nutzer mit dem Exchange arbeiten.
Derzeit beschäftigen mich 2 Punkte zum Thema Sicherheit:
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmigt, daher werden wir evtl. eine Open Source FW einsetzen.
1)
Mit dem alten SBS werden die Mails derzeit per Pop3Connector abgerufen und per Smarthost verschickt.
Der neue soll die Emails direkt per SMTP entgegennehmen.
Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt? Dann wäre es doch theoretisch denkbar, dass der HT des Exchange Servers nur Mails von 1und1 Email Servern entgegennimt.
Wäre dies evtl. ein Sicherheitsgewinn?
2)
Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Leider bin ich im Thema IIS und Zertifikate nicht so gut im Thema und hoffe, dass ich ein paar Tipps bekomme.
Wenn ich etwas falsch beschreibe, liegt das daran, dass der IIS eigentlich ein Buch mit 7 Siegeln ist...
Was ich feststelle:
Per std. Port 443 Freigabe komme ich ja direkt auf die OWA und ECP Webseiten des Exchange Servers und kann mich anmelden.
Auch die Powershell ist erreichbar, soweit ich das im IIS erkennen kann.
Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
Ist es möglich, dass
a) ich Clientzertifikate für die Iphones erstelle und den Zugriff nur für Geräte mit diesem Zertifikat zulasse?
Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse? Das scheint mir, nach evtl. Anlaufprobleme mit CA etc. eine recht praktikable Lösung zu sein, oder?
b) ich den OWA/Activesync Zugriff von Ausserhalb nur per VPN Verbindung zulasse? Die Iphones unterstützen doch VPN (noch nicht getestet).
Danke für Tipps, Informationen und ggf. auch Howtos!
Insgesamt werden wohl ca. 60 Nutzer mit dem Exchange arbeiten.
Derzeit beschäftigen mich 2 Punkte zum Thema Sicherheit:
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmigt, daher werden wir evtl. eine Open Source FW einsetzen.
1)
Mit dem alten SBS werden die Mails derzeit per Pop3Connector abgerufen und per Smarthost verschickt.
Der neue soll die Emails direkt per SMTP entgegennehmen.
Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt? Dann wäre es doch theoretisch denkbar, dass der HT des Exchange Servers nur Mails von 1und1 Email Servern entgegennimt.
Wäre dies evtl. ein Sicherheitsgewinn?
2)
Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Leider bin ich im Thema IIS und Zertifikate nicht so gut im Thema und hoffe, dass ich ein paar Tipps bekomme.
Wenn ich etwas falsch beschreibe, liegt das daran, dass der IIS eigentlich ein Buch mit 7 Siegeln ist...
Was ich feststelle:
Per std. Port 443 Freigabe komme ich ja direkt auf die OWA und ECP Webseiten des Exchange Servers und kann mich anmelden.
Auch die Powershell ist erreichbar, soweit ich das im IIS erkennen kann.
Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
Ist es möglich, dass
a) ich Clientzertifikate für die Iphones erstelle und den Zugriff nur für Geräte mit diesem Zertifikat zulasse?
Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse? Das scheint mir, nach evtl. Anlaufprobleme mit CA etc. eine recht praktikable Lösung zu sein, oder?
b) ich den OWA/Activesync Zugriff von Ausserhalb nur per VPN Verbindung zulasse? Die Iphones unterstützen doch VPN (noch nicht getestet).
Danke für Tipps, Informationen und ggf. auch Howtos!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193416
Url: https://administrator.de/contentid/193416
Printed on: April 26, 2024 at 01:04 o'clock
5 Comments
Latest comment
Hallo,
also gegen eine open Source Firewall spricht auch nicht so viel.
Die kommt aber schon auf geeignete Hardware?
Also zu 1. Find ich eher ungewöhnlich. Ich seh auch nicht so den Sicherheitsgewinn.
2. IPhone ist im umgang mit Zertifikaten eigentlich sehr "gedankenlos". Sprich da kann man nicht mal viel falsch machen und es gibt hier sehr viele Beiträge zu dem Thema. Einfach mal suchen.
Wenn du den Exchange nicht direkt in's Internet stellen willst. Hier hat Dani vor kurzem eine schöne Anleitung für einen Reverse Proxy geschrieben. Der kommt dann in eine DMZ.
Das mit VPN kannst du natürlich manchen.
also gegen eine open Source Firewall spricht auch nicht so viel.
Die kommt aber schon auf geeignete Hardware?
Also zu 1. Find ich eher ungewöhnlich. Ich seh auch nicht so den Sicherheitsgewinn.
2. IPhone ist im umgang mit Zertifikaten eigentlich sehr "gedankenlos". Sprich da kann man nicht mal viel falsch machen und es gibt hier sehr viele Beiträge zu dem Thema. Einfach mal suchen.
Wenn du den Exchange nicht direkt in's Internet stellen willst. Hier hat Dani vor kurzem eine schöne Anleitung für einen Reverse Proxy geschrieben. Der kommt dann in eine DMZ.
Das mit VPN kannst du natürlich manchen.
Moin,
Grüße,
Dani
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmig
Wäre auch schade um das Geld, da TMG zum Jahresende abgekündigt wurde!Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt?
Wie soll das gehen? Denn in dem Moment musst du den MX-Record von 1und1 umbiegen auf deinen Server. Somit bekommt 1und1 erstmal nichts mehr mit von deinem Mail-Verkehr. 1und1 lässt es wohl aber zu den Server als Backup-MX zu nutzen.Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Machs nicht so kompliziert. Gescheite Kennwörter und iPhone direkt ohne VPN syncronisieren. VPN schluckt auf dem iPhone über lang viel Akkulaufzeit.Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
ReverseProxy in die DMZ stellen. Somit steht "nur" der Server im Intenet und dem Exchange kann so schnell nichts passieren.Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse?
Möglich, ist auf Dauer aber ein Verwaltungsaufwand für dich. Denn die Zertifikate musst du nach 1-2 Jahren wieder tauschen, etc... Die Zeit finde ich persönlich verschwendet.Grüße,
Dani
Hallo.
Mich wundert immer, welche Angst viele Admins noch immer haben, OWA zu veröffentlichen
Im gleichen Beitrag schreibst du aber, dass du 10 mobilen Geräten den Zugriff auf den Exchange gewähren willst.
Du hast nicht eine Schwachstelle (den Exchange) im Netz, du hast 10 Schwachstellen im Netz, und die sind wesentlich schlimmer, die kannst du nämlich nicht verwalten.
Seit Exchange 2003 gibt es OWA, und es ist nie eine wirklich kritische Schwachstelle bekannt geworden. OWA kannst du bereits durch sichere Passwörter ziemlich gut absichern. Mit einem Reverse Proxy davor bist zu ziemlich auf der sicheren Seite.
Bei mobilen Devices wird fast schon jeden Tag eine Schwachstelle bekanntgegeben. Und von deinen 10 Usern werden sich garantiert 9 User beschweren, wenn die geringste Sicherheitsstufe (die Eingabe des Pins) am Exchange aktiviert wird.
LG Günther
Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
Mich wundert immer, welche Angst viele Admins noch immer haben, OWA zu veröffentlichen
Im gleichen Beitrag schreibst du aber, dass du 10 mobilen Geräten den Zugriff auf den Exchange gewähren willst.Du hast nicht eine Schwachstelle (den Exchange) im Netz, du hast 10 Schwachstellen im Netz, und die sind wesentlich schlimmer, die kannst du nämlich nicht verwalten.
Seit Exchange 2003 gibt es OWA, und es ist nie eine wirklich kritische Schwachstelle bekannt geworden. OWA kannst du bereits durch sichere Passwörter ziemlich gut absichern. Mit einem Reverse Proxy davor bist zu ziemlich auf der sicheren Seite.
Bei mobilen Devices wird fast schon jeden Tag eine Schwachstelle bekanntgegeben. Und von deinen 10 Usern werden sich garantiert 9 User beschweren, wenn die geringste Sicherheitsstufe (die Eingabe des Pins) am Exchange aktiviert wird.
LG Günther
Hallo und danke für die Antworten!
das mit dem Reverse Proxy klingt nicht schlecht.
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
Das mit den Iphones ist bestimmt nicht meine Idee....
Durch eine verstärke Kennwortrichtlinie + Iphone Pin werde ich wohl eine gewisse Sicherheit bekommen.
Danke!
das mit dem Reverse Proxy klingt nicht schlecht.
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
12. acl EXCH url_regex -i ^https://extern.fqdn.de/owa.*$
13. acl EXCH url_regex -i ^https://extern.fqdn.de/Microsoft-Server-ActiveSync.*$
16. acl EXCH url_regex -i ^https://extern.fqdn.de/autodiscover.*$ Das mit den Iphones ist bestimmt nicht meine Idee....
Durch eine verstärke Kennwortrichtlinie + Iphone Pin werde ich wohl eine gewisse Sicherheit bekommen.
Danke!
Moin,
Grüße,
Dani
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
Richtig... je nachdem was du willst. Grüße,
Dani
