Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit meiner OWA Einrichtung - Anregungen u. Tipps gesucht

Mitglied: Paradroid

Paradroid (Level 1) - Jetzt verbinden

02.05.2008, aktualisiert 06.05.2008, 6764 Aufrufe, 5 Kommentare

Moin,

seit kurzer Zeit hat unser kleines Unternehmen einen SBS2003 Server. Ich habe nun Outlook Web Access eingerichtet. Da ich nicht wirklich viel Ahnung habe, hätte ich gerne mal eure Meinung wie sicher das Ganze ist.

Ich habe über Dyndyns eine Weiterleitung eingerichtet und nur den Port 443 in der Router Firewall auf den Server geforwarded. Über den Internet-Assistenten in der Serververwaltungskonsole habe ich nur den Internetzugriff auf OWA erlaubt. Als Zertifikat habe ich die dyndns Adresse eingetragen. Ich habe den für OWA freigeschalteten Benutzern ein sicheres PW gegeben (9-stellig, Buchst. & Zahlen, groß und klein). Funktioniert soweit alles wunderbar. Nun meine Fragen:

1. Ich habe unter „Serververwaltungskonsole > Benutzer“ das OWA für die Benutzer deaktiviert bzw. aktiviert (Standard war aktiviert). Verstecken sich vielleicht irgendwo anders noch „Nutzer“ mit denen man sich in OWA einlogen könnte?
2. Ich würde gerne die Anzahl max. fehlgeschlagener Logins für OWA festlegen (z.B. 10 mal, dann gesperrt). Geht bzw. wo geht das?
3. Da eine dyndns Adresse nicht besonders einprägsam ist, habe ich eine Weiterleitung von einer Subdomain eingerichtet (mail.firma.de nach https://firma.dyndns.org/exchange). 1und1 bietet hier auch die Möglichkeit einer Frame-Weiterleitung (https Seite öffnet sich im Frame, Vorteil: Schöne Adressleiste, Nachteil: sichere Verbindung wird nicht angezeigt)
Bestehen hier irgendwelche weiteren Sicherheitsnachteile?
4. Ich würde unseren wenigen Mitarbeitern sagen, dass sie das „fehlerhafte“ Zertifikat akzeptieren sollen oder lohnt sich doch der Aufwand eines „fehlerfreien“ Zertifikats?

Bin für alle weiteren Anregungen dankbar.

Gruß aus dem sonnigen Hamburg

Para
Mitglied: alexanderschuhmann
02.05.2008 um 15:24 Uhr
Hallo Para,

Ich nehme mich einmal Frage Punkt Nummero 4 an.
Du redest hier von einem SSL Zertifikat, welches sich unterschiedlich nach Anbieter in einem Preis von zirka 900 € (verisign) bis zirka 50 Dollar (FreeSLL, Zertifikate von GeoTrust). Bei kostenlosen Zertifikaten ist darauf zu achten, das der Private Key auf dem Lokalen Server generiert wird und nicht "online" wie es zum Beispiel bei dem teilweise kostenlosen Anbieter Start Com ist, wodurch es möglich wird (für StartCom ) sämtliche Verschlüsselte Daten zu dechriffieren, was ja genau das ist was der Zertifikat verhindern soll.
Soviel zu dem Praktischen Teil, nun zu meiner Meinung ob man so etwas benötigt. Sehr viele Mailserver die im Moment in Betrieb sind, benutzen kein SLL bzw. nicht zwingend. Also Tausende Kunden von Providern schicken jeden Tag ihren Benutzernamen, und ihr Passwort im Klartext bzw Base64-kodiert (das ist keine Verschlüsselung) durch das WWW. Die Wahrscheinlichkeit, das jemand einen Phishing Website einrichtet um die OWA Anmeldung zu fälschen, ist wohl eher gering, wenn aber doch, wird sich eine Person mit dieser Absicht, auch ein nicht CA Zertifikat besorgen können (so nennt man die Zertifikate die von eingetragenen Zertifikatstellen Ausgegeben werden z.B. Start Com)
Das waren die Fakten, ich denke entscheiden musst du selbst.

Mit freundlichen Grüßen,

Alexander Schuhmann
Bitte warten ..
Mitglied: Paradroid
02.05.2008 um 15:34 Uhr
Vielen Dank schonmal. Mit dem Thema Zertifikat muss ich mich nochmal auseinandersetzen. Hier fehlt mir einfach noch das Wissen.
Bitte warten ..
Mitglied: alexanderschuhmann
05.05.2008 um 23:40 Uhr
Hallo,
Punkt 1:
Soweit ich weiß, wird standartmässig bei jedem Benutzer die OMA Funktion angeschaltet. Aber dies sollte man auch in den Richtlinien verändern können. (Wie, weiß ich gerade nicht, werde Nachschauen und geg. etwas sinnvolles Posten)
Zu Punkt 3:
Eigentlich sollte es dadurch keinerleih Sicherheitsprobleme geben. Wichtig ist nur, das von https://mail.firma.de auf https://firma.dyndns.org weitergeleitet wird

Ich würde noch Port 80 freigeben, voralleding wenn du ein Zertifikat nimmst, welches nicht von sämtlichen Browsern akzeptiert wird.

Mit freundlichen Grüßen

Alexander Schuhmann
Bitte warten ..
Mitglied: unzhurst
06.05.2008 um 09:10 Uhr
hiho,

habe leider nicht viel zeit, daher nur kurz was zu punkt 4.
der aufwand für ein "fehlerfreies" zertifikat ist eigentlich sehr gering, sowohl
finanziell als auch technisch.
ich nutze bei unseren kunden immer das limitbreaker von hier:
http://www.psw.net/ssl.cfm
ist sehr günstig und auch in fast allen mobile devices enthalten, d.h. du musst
an mda, nokia und sonstigen handys nicht mit root-zertifikaten rumdoktern.

technisch ist es auch banal. zertifikatsrequest im iis generieren, assistent auf der
webseite starten und den text aus deinem request reinkopieren... zertifikat beantragen.
dauert ca. 2-3h dann bekommst du den link zum download deines zertifikats und
kannst es direkt über den assistent des iis importieren.

p.s.: sorry für kleinschreibung... sehr wenig zeit und internet via pda^^

gruß
patrick
Bitte warten ..
Mitglied: Paradroid
06.05.2008 um 11:03 Uhr
Hallo, vielen Dank für die Antworten. Ich werde alles durchgehen und Rückmeldung geben.

Gruß Flo
Bitte warten ..
Ähnliche Inhalte
Windows 7
Win7 Deployment - Anregung gesucht
gelöst Frage von flabsWindows 74 Kommentare

Hallo miteinander, ich bräuchte mal eine Anregung um folgende Situation zu lösen. Deployment von Windows 7 im kleinen Unternehmen. ...

Linux
PDF Indexierung Anregungen gesucht
gelöst Frage von flabsLinux3 Kommentare

Moin miteinander, ich suche Ideen und Lösungsansätze für folgendes Problem. Ich scanne Schriftstücke / Belege aller Art als PDF/A ...

TK-Netze & Geräte

Fax-Ersatz gesucht - Brainstorming bzw. ANregungen

gelöst Frage von hesperTK-Netze & Geräte4 Kommentare

Hallo zusammen! Ich hab da ein kleines Problem in einer neuen Außenstelle. Dort ist das Büro aktuell in einem ...

Outlook & Mail

OWA - Einrichtung automatisch versendeter Mails im Fehlerfall

gelöst Frage von 114700Outlook & Mail7 Kommentare

Tach, folgender Zustand: Vorhanden ist eine Serversoftware, nennen wir sie "bobo". Diese soll im Fehlerfall, oder allgemein für automatisch ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 13 StundenDrucker und Scanner

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 1 TagRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 3 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 4 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server16 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards15 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte15 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...