Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 Extern absichern

Frage Microsoft Exchange Server

Mitglied: Knorkator

Knorkator (Level 1) - Jetzt verbinden

28.10.2012 um 11:46 Uhr, 3450 Aufrufe, 5 Kommentare

Hallo, wir planen den Einsatz eines Exchange 2010 Servers in unserem Unternehmen.
Insgesamt werden wohl ca. 60 Nutzer mit dem Exchange arbeiten.

Derzeit beschäftigen mich 2 Punkte zum Thema Sicherheit:
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmigt, daher werden wir evtl. eine Open Source FW einsetzen.

1)
Mit dem alten SBS werden die Mails derzeit per Pop3Connector abgerufen und per Smarthost verschickt.
Der neue soll die Emails direkt per SMTP entgegennehmen.
Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt? Dann wäre es doch theoretisch denkbar, dass der HT des Exchange Servers nur Mails von 1und1 Email Servern entgegennimt.
Wäre dies evtl. ein Sicherheitsgewinn?

2)
Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Leider bin ich im Thema IIS und Zertifikate nicht so gut im Thema und hoffe, dass ich ein paar Tipps bekomme.
Wenn ich etwas falsch beschreibe, liegt das daran, dass der IIS eigentlich ein Buch mit 7 Siegeln ist...

Was ich feststelle:
Per std. Port 443 Freigabe komme ich ja direkt auf die OWA und ECP Webseiten des Exchange Servers und kann mich anmelden.
Auch die Powershell ist erreichbar, soweit ich das im IIS erkennen kann.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Ist es möglich, dass
a) ich Clientzertifikate für die Iphones erstelle und den Zugriff nur für Geräte mit diesem Zertifikat zulasse?
Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse? Das scheint mir, nach evtl. Anlaufprobleme mit CA etc. eine recht praktikable Lösung zu sein, oder?

b) ich den OWA/Activesync Zugriff von Ausserhalb nur per VPN Verbindung zulasse? Die Iphones unterstützen doch VPN (noch nicht getestet).

Danke für Tipps, Informationen und ggf. auch Howtos!





Mitglied: wiesi200
28.10.2012 um 12:37 Uhr
Hallo,

also gegen eine open Source Firewall spricht auch nicht so viel.
Die kommt aber schon auf geeignete Hardware?

Also zu 1. Find ich eher ungewöhnlich. Ich seh auch nicht so den Sicherheitsgewinn.

2. IPhone ist im umgang mit Zertifikaten eigentlich sehr "gedankenlos". Sprich da kann man nicht mal viel falsch machen und es gibt hier sehr viele Beiträge zu dem Thema. Einfach mal suchen.

Wenn du den Exchange nicht direkt in's Internet stellen willst. Hier hat Dani vor kurzem eine schöne Anleitung für einen Reverse Proxy geschrieben. Der kommt dann in eine DMZ.

Das mit VPN kannst du natürlich manchen.
Bitte warten ..
Mitglied: Dani
28.10.2012 um 14:06 Uhr
Moin,
Vorab: Finanzen für eine spezielle Firwall oder MS TMG werden wohl nicht genehmig
Wäre auch schade um das Geld, da TMG zum Jahresende abgekündigt wurde!

Ist es möglich, dass z.b. 1und1 die Mails weiterhin entgegennimt (ohne Pop3 Konten) und unser Exchange Servers diese per SMTP entgegennimt?
Wie soll das gehen? Denn in dem Moment musst du den MX-Record von 1und1 umbiegen auf deinen Server. Somit bekommt 1und1 erstmal nichts mehr mit von deinem Mail-Verkehr. 1und1 lässt es wohl aber zu den Server als Backup-MX zu nutzen.

Wir möchten ca. 10 Iphones den Zugriff auf die Mailboxen gewähren.
Machs nicht so kompliziert. Gescheite Kennwörter und iPhone direkt ohne VPN syncronisieren. VPN schluckt auf dem iPhone über lang viel Akkulaufzeit.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.
ReverseProxy in die DMZ stellen. Somit steht "nur" der Server im Intenet und dem Exchange kann so schnell nichts passieren.

Oder den generellen Zugriff auf die Weboberfläche nur per Client Zertifikat zulasse?
Möglich, ist auf Dauer aber ein Verwaltungsaufwand für dich. Denn die Zertifikate musst du nach 1-2 Jahren wieder tauschen, etc... Die Zeit finde ich persönlich verschwendet.


Grüße,
Dani
Bitte warten ..
Mitglied: GuentherH
28.10.2012 um 19:05 Uhr
Hallo.

Mir graut es davor, den Server so im Internet zu präsentieren und hoffe das ihr einen Tipp habt.

Mich wundert immer, welche Angst viele Admins noch immer haben, OWA zu veröffentlichen Im gleichen Beitrag schreibst du aber, dass du 10 mobilen Geräten den Zugriff auf den Exchange gewähren willst.

Du hast nicht eine Schwachstelle (den Exchange) im Netz, du hast 10 Schwachstellen im Netz, und die sind wesentlich schlimmer, die kannst du nämlich nicht verwalten.

Seit Exchange 2003 gibt es OWA, und es ist nie eine wirklich kritische Schwachstelle bekannt geworden. OWA kannst du bereits durch sichere Passwörter ziemlich gut absichern. Mit einem Reverse Proxy davor bist zu ziemlich auf der sicheren Seite.

Bei mobilen Devices wird fast schon jeden Tag eine Schwachstelle bekanntgegeben. Und von deinen 10 Usern werden sich garantiert 9 User beschweren, wenn die geringste Sicherheitsstufe (die Eingabe des Pins) am Exchange aktiviert wird.

LG Günther
Bitte warten ..
Mitglied: Knorkator
30.10.2012 um 08:42 Uhr
Hallo und danke für die Antworten!

das mit dem Reverse Proxy klingt nicht schlecht.
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
01.
  
02.
12. acl EXCH url_regex -i ^https://extern.fqdn.de/owa.*$  
03.
 
04.
13. acl EXCH url_regex -i ^https://extern.fqdn.de/Microsoft-Server-ActiveSync.*$  
05.
16. acl EXCH url_regex -i ^https://extern.fqdn.de/autodiscover.*$ 
Das mit den Iphones ist bestimmt nicht meine Idee....
Durch eine verstärke Kennwortrichtlinie + Iphone Pin werde ich wohl eine gewisse Sicherheit bekommen.

Danke!
Bitte warten ..
Mitglied: Dani
30.10.2012 um 19:39 Uhr
Moin,
Soweit ich das in der Übersicht gesehen habe, muss man nicht alle Dienste "veröffentlichen".
Richtig... je nachdem was du willst.


Grüße,
Dani
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 einstellen eines externen DNS Namens beim versenden nach extern (3)

Frage von ThePinky777 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...