Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 Extern absichern

Mitglied: Knorkator

Knorkator (Level 2) - Jetzt verbinden

28.10.2012 um 11:46 Uhr, 3829 Aufrufe, 5 Kommentare

Hallo, wir planen den Einsatz eines Exchange 2010 Servers in unserem Unternehmen.
Insgesamt werden wohl ca. 60 Nutzer mit dem Exchange arbeiten.

Derzeit beschäftigen mich 2 Punkte zum Thema Sicherheit:
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmigt, daher werden wir evtl. eine Open Source FW einsetzen.

1)
Mit dem alten SBS werden die Mails derzeit per Pop3Connector abgerufen und per Smarthost verschickt.
Der neue soll die Emails direkt per SMTP entgegennehmen.
Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt? Dann wäre es doch theoretisch denkbar, dass der HT des Exchange Servers nur Mails von 1und1 Email Servern entgegennimt.
Wäre dies evtl. ein Sicherheitsgewinn?

2)
Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Leider bin ich im Thema IIS und Zertifikate nicht so gut im Thema und hoffe, dass ich ein paar Tipps bekomme.
Wenn ich etwas falsch beschreibe, liegt das daran, dass der IIS eigentlich ein Buch mit 7 Siegeln ist...

Was ich feststelle:
Per std. Port 443 Freigabe komme ich ja direkt auf die OWA und ECP Webseiten des Exchange Servers und kann mich anmelden.
Auch die Powershell ist erreichbar, soweit ich das im IIS erkennen kann.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Ist es möglich, dass
a) ich Clientzertifikate für die Iphones erstelle und den Zugriff nur für Geräte mit diesem Zertifikat zulasse?
Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse? Das scheint mir, nach evtl. Anlaufprobleme mit CA etc. eine recht praktikable Lösung zu sein, oder?

b) ich den OWA/Activesync Zugriff von Ausserhalb nur per VPN Verbindung zulasse? Die Iphones unterstützen doch VPN (noch nicht getestet).

Danke für Tipps, Informationen und ggf. auch Howtos!





Mitglied: wiesi200
28.10.2012 um 12:37 Uhr
Hallo,

also gegen eine open Source Firewall spricht auch nicht so viel.
Die kommt aber schon auf geeignete Hardware?

Also zu 1. Find ich eher ungewöhnlich. Ich seh auch nicht so den Sicherheitsgewinn.

2. IPhone ist im umgang mit Zertifikaten eigentlich sehr "gedankenlos". Sprich da kann man nicht mal viel falsch machen und es gibt hier sehr viele Beiträge zu dem Thema. Einfach mal suchen.

Wenn du den Exchange nicht direkt in's Internet stellen willst. Hier hat Dani vor kurzem eine schöne Anleitung für einen Reverse Proxy geschrieben. Der kommt dann in eine DMZ.

Das mit VPN kannst du natürlich manchen.
Bitte warten ..
Mitglied: Dani
28.10.2012 um 14:06 Uhr
Moin,
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmig
Wäre auch schade um das Geld, da TMG zum Jahresende abgekündigt wurde!

Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt?
Wie soll das gehen? Denn in dem Moment musst du den MX-Record von 1und1 umbiegen auf deinen Server. Somit bekommt 1und1 erstmal nichts mehr mit von deinem Mail-Verkehr. 1und1 lässt es wohl aber zu den Server als Backup-MX zu nutzen.

Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Machs nicht so kompliziert. Gescheite Kennwörter und iPhone direkt ohne VPN syncronisieren. VPN schluckt auf dem iPhone über lang viel Akkulaufzeit.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
ReverseProxy in die DMZ stellen. Somit steht "nur" der Server im Intenet und dem Exchange kann so schnell nichts passieren.

Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse?
Möglich, ist auf Dauer aber ein Verwaltungsaufwand für dich. Denn die Zertifikate musst du nach 1-2 Jahren wieder tauschen, etc... Die Zeit finde ich persönlich verschwendet.


Grüße,
Dani
Bitte warten ..
Mitglied: GuentherH
28.10.2012 um 19:05 Uhr
Hallo.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Mich wundert immer, welche Angst viele Admins noch immer haben, OWA zu veröffentlichen Im gleichen Beitrag schreibst du aber, dass du 10 mobilen Geräten den Zugriff auf den Exchange gewähren willst.

Du hast nicht eine Schwachstelle (den Exchange) im Netz, du hast 10 Schwachstellen im Netz, und die sind wesentlich schlimmer, die kannst du nämlich nicht verwalten.

Seit Exchange 2003 gibt es OWA, und es ist nie eine wirklich kritische Schwachstelle bekannt geworden. OWA kannst du bereits durch sichere Passwörter ziemlich gut absichern. Mit einem Reverse Proxy davor bist zu ziemlich auf der sicheren Seite.

Bei mobilen Devices wird fast schon jeden Tag eine Schwachstelle bekanntgegeben. Und von deinen 10 Usern werden sich garantiert 9 User beschweren, wenn die geringste Sicherheitsstufe (die Eingabe des Pins) am Exchange aktiviert wird.

LG Günther
Bitte warten ..
Mitglied: Knorkator
30.10.2012 um 08:42 Uhr
Hallo und danke für die Antworten!

das mit dem Reverse Proxy klingt nicht schlecht.
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
01.
  
02.
12. acl EXCH url_regex -i ^https://extern.fqdn.de/owa.*$  
03.
 
04.
13. acl EXCH url_regex -i ^https://extern.fqdn.de/Microsoft-Server-ActiveSync.*$  
05.
16. acl EXCH url_regex -i ^https://extern.fqdn.de/autodiscover.*$ 
Das mit den Iphones ist bestimmt nicht meine Idee....
Durch eine verstärke Kennwortrichtlinie + Iphone Pin werde ich wohl eine gewisse Sicherheit bekommen.

Danke!
Bitte warten ..
Mitglied: Dani
30.10.2012 um 19:39 Uhr
Moin,
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
Richtig... je nachdem was du willst.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2010 - alles funktioniert nur Outlook von extern nicht

gelöst Frage von RoSk3YExchange Server8 Kommentare

Hallo Leute! Ich hatte vor einigen Tagen ein Problem mit der Indizierung auf unserem Exchange 2010 (14.03.0123.004), nachdem ich ...

Exchange Server

Exchange 2010 aufgesetzt - Mailempfang von extern nicht möglich!

gelöst Frage von crossh4irExchange Server7 Kommentare

Abend, ich habe zu Übungszwecken mir einen eigenen Exchange 2010 aufgesetzt, da ich dies noch nie zu vor machte. ...

Exchange Server

Exchange Server 2010 zugriff von Extern mit Outlook 2016?

Frage von pipen1976Exchange Server5 Kommentare

Hallo, ich möchte von Extern mit Outlook 2016 auf einen Exchange 2010 Mails abholen. Bei den Kontotypen kann ich ...

Exchange Server

Exchange 2010 OWA extern öffentliche Ordner anzeigen

gelöst Frage von roland123Exchange Server7 Kommentare

Guten Abend, wir haben einen Exchange 2010 auf dem wir die OWA "für zu Hause" nutzen. Wir haben hierfür ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...