Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 Extern absichern

Frage Microsoft Exchange Server

Mitglied: Knorkator

Knorkator (Level 2) - Jetzt verbinden

28.10.2012 um 11:46 Uhr, 3769 Aufrufe, 5 Kommentare

Hallo, wir planen den Einsatz eines Exchange 2010 Servers in unserem Unternehmen.
Insgesamt werden wohl ca. 60 Nutzer mit dem Exchange arbeiten.

Derzeit beschäftigen mich 2 Punkte zum Thema Sicherheit:
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmigt, daher werden wir evtl. eine Open Source FW einsetzen.

1)
Mit dem alten SBS werden die Mails derzeit per Pop3Connector abgerufen und per Smarthost verschickt.
Der neue soll die Emails direkt per SMTP entgegennehmen.
Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt? Dann wäre es doch theoretisch denkbar, dass der HT des Exchange Servers nur Mails von 1und1 Email Servern entgegennimt.
Wäre dies evtl. ein Sicherheitsgewinn?

2)
Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Leider bin ich im Thema IIS und Zertifikate nicht so gut im Thema und hoffe, dass ich ein paar Tipps bekomme.
Wenn ich etwas falsch beschreibe, liegt das daran, dass der IIS eigentlich ein Buch mit 7 Siegeln ist...

Was ich feststelle:
Per std. Port 443 Freigabe komme ich ja direkt auf die OWA und ECP Webseiten des Exchange Servers und kann mich anmelden.
Auch die Powershell ist erreichbar, soweit ich das im IIS erkennen kann.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Ist es möglich, dass
a) ich Clientzertifikate für die Iphones erstelle und den Zugriff nur für Geräte mit diesem Zertifikat zulasse?
Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse? Das scheint mir, nach evtl. Anlaufprobleme mit CA etc. eine recht praktikable Lösung zu sein, oder?

b) ich den OWA/Activesync Zugriff von Ausserhalb nur per VPN Verbindung zulasse? Die Iphones unterstützen doch VPN (noch nicht getestet).

Danke für Tipps, Informationen und ggf. auch Howtos!





Mitglied: wiesi200
28.10.2012 um 12:37 Uhr
Hallo,

also gegen eine open Source Firewall spricht auch nicht so viel.
Die kommt aber schon auf geeignete Hardware?

Also zu 1. Find ich eher ungewöhnlich. Ich seh auch nicht so den Sicherheitsgewinn.

2. IPhone ist im umgang mit Zertifikaten eigentlich sehr "gedankenlos". Sprich da kann man nicht mal viel falsch machen und es gibt hier sehr viele Beiträge zu dem Thema. Einfach mal suchen.

Wenn du den Exchange nicht direkt in's Internet stellen willst. Hier hat Dani vor kurzem eine schöne Anleitung für einen Reverse Proxy geschrieben. Der kommt dann in eine DMZ.

Das mit VPN kannst du natürlich manchen.
Bitte warten ..
Mitglied: Dani
28.10.2012 um 14:06 Uhr
Moin,
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmig
Wäre auch schade um das Geld, da TMG zum Jahresende abgekündigt wurde!

Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt?
Wie soll das gehen? Denn in dem Moment musst du den MX-Record von 1und1 umbiegen auf deinen Server. Somit bekommt 1und1 erstmal nichts mehr mit von deinem Mail-Verkehr. 1und1 lässt es wohl aber zu den Server als Backup-MX zu nutzen.

Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Machs nicht so kompliziert. Gescheite Kennwörter und iPhone direkt ohne VPN syncronisieren. VPN schluckt auf dem iPhone über lang viel Akkulaufzeit.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
ReverseProxy in die DMZ stellen. Somit steht "nur" der Server im Intenet und dem Exchange kann so schnell nichts passieren.

Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse?
Möglich, ist auf Dauer aber ein Verwaltungsaufwand für dich. Denn die Zertifikate musst du nach 1-2 Jahren wieder tauschen, etc... Die Zeit finde ich persönlich verschwendet.


Grüße,
Dani
Bitte warten ..
Mitglied: GuentherH
28.10.2012 um 19:05 Uhr
Hallo.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Mich wundert immer, welche Angst viele Admins noch immer haben, OWA zu veröffentlichen Im gleichen Beitrag schreibst du aber, dass du 10 mobilen Geräten den Zugriff auf den Exchange gewähren willst.

Du hast nicht eine Schwachstelle (den Exchange) im Netz, du hast 10 Schwachstellen im Netz, und die sind wesentlich schlimmer, die kannst du nämlich nicht verwalten.

Seit Exchange 2003 gibt es OWA, und es ist nie eine wirklich kritische Schwachstelle bekannt geworden. OWA kannst du bereits durch sichere Passwörter ziemlich gut absichern. Mit einem Reverse Proxy davor bist zu ziemlich auf der sicheren Seite.

Bei mobilen Devices wird fast schon jeden Tag eine Schwachstelle bekanntgegeben. Und von deinen 10 Usern werden sich garantiert 9 User beschweren, wenn die geringste Sicherheitsstufe (die Eingabe des Pins) am Exchange aktiviert wird.

LG Günther
Bitte warten ..
Mitglied: Knorkator
30.10.2012 um 08:42 Uhr
Hallo und danke für die Antworten!

das mit dem Reverse Proxy klingt nicht schlecht.
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
01.
  
02.
12. acl EXCH url_regex -i ^https://extern.fqdn.de/owa.*$  
03.
 
04.
13. acl EXCH url_regex -i ^https://extern.fqdn.de/Microsoft-Server-ActiveSync.*$  
05.
16. acl EXCH url_regex -i ^https://extern.fqdn.de/autodiscover.*$ 
Das mit den Iphones ist bestimmt nicht meine Idee....
Durch eine verstärke Kennwortrichtlinie + Iphone Pin werde ich wohl eine gewisse Sicherheit bekommen.

Danke!
Bitte warten ..
Mitglied: Dani
30.10.2012 um 19:39 Uhr
Moin,
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
Richtig... je nachdem was du willst.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2010 - alles funktioniert nur Outlook von extern nicht
gelöst Frage von RoSk3YExchange Server8 Kommentare

Hallo Leute! Ich hatte vor einigen Tagen ein Problem mit der Indizierung auf unserem Exchange 2010 (14.03.0123.004), nachdem ich ...

Exchange Server
Exchange 2010 aufgesetzt - Mailempfang von extern nicht möglich!
gelöst Frage von crossh4irExchange Server7 Kommentare

Abend, ich habe zu Übungszwecken mir einen eigenen Exchange 2010 aufgesetzt, da ich dies noch nie zu vor machte. ...

Exchange Server
Exchange Server 2010 zugriff von Extern mit Outlook 2016?
Frage von pipen1976Exchange Server5 Kommentare

Hallo, ich möchte von Extern mit Outlook 2016 auf einen Exchange 2010 Mails abholen. Bei den Kontotypen kann ich ...

Exchange Server
Exchange 2010 OWA extern öffentliche Ordner anzeigen
gelöst Frage von roland123Exchange Server7 Kommentare

Guten Abend, wir haben einen Exchange 2010 auf dem wir die OWA "für zu Hause" nutzen. Wir haben hierfür ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...