5
OWA Security Exchange 2013
Hallo zusammen
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Mich würde interessieren, was ihr alles vornehmt, um es so sicher wie möglich zu gestalten.
Bei mir sieht das ungefähr so aus:
- Einschränkung der Erreichbarkeit im IIS (z.B. ECP nur vom internen Netz aufrufbar)
- Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
- Zugriff auf OWA erfolgt ausschliesslich per SSL
- Als Domänen-Admin verwende ich nicht den Benutzernamen "Admin" oder "Administrator"
- User müssen sichere Passwörter verwenden
- Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
Neulich bin ich auf "Messageware OWA Guard" gestossen. Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren. Man hat zusätzlich noch ein übersichtliches Log, in welchem alle Login-Versuche aufgeführt sind. Man sieht ebenfalls ein Kuchendiagramm in dem ersichtlich ist, von welchem Land aus die meisten Fehlversuche stammen.
Habt ihr Erfahrungen mit dem Produkt? Ich werde es auf jedenfall mal testen.
Ich danke euch im Voraus für Tipps und Anregungen. Bin gespannt
Gruss DelPiero
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Mich würde interessieren, was ihr alles vornehmt, um es so sicher wie möglich zu gestalten.
Bei mir sieht das ungefähr so aus:
- Einschränkung der Erreichbarkeit im IIS (z.B. ECP nur vom internen Netz aufrufbar)
- Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
- Zugriff auf OWA erfolgt ausschliesslich per SSL
- Als Domänen-Admin verwende ich nicht den Benutzernamen "Admin" oder "Administrator"
- User müssen sichere Passwörter verwenden
- Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
Neulich bin ich auf "Messageware OWA Guard" gestossen. Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren. Man hat zusätzlich noch ein übersichtliches Log, in welchem alle Login-Versuche aufgeführt sind. Man sieht ebenfalls ein Kuchendiagramm in dem ersichtlich ist, von welchem Land aus die meisten Fehlversuche stammen.
Habt ihr Erfahrungen mit dem Produkt? Ich werde es auf jedenfall mal testen.
Ich danke euch im Voraus für Tipps und Anregungen. Bin gespannt
Gruss DelPiero
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287222
Url: https://administrator.de/contentid/287222
Printed on: April 25, 2024 at 05:04 o'clock
5 Comments
Latest comment
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Und die Antwort darauf heißt Reverse Proxy. Dann kannst du dir die Basteleien, die du da aufgezählt hast sparen.
Und, der Admin egal wie er heißt hat überhaupt keinen Zugriff über OWA.
LG Günther
Moin,
Gruß,
Dani
Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
den Aufwand kannst du dir sparen, da heute IP-adressen nicht mehr wirklich geografisch zuordnen lassen.Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
Daran denken, dass du zwei Exchangelizenzen benötigst. Einfacher und günstiger wäre ein SMTP-Proxy bzw. Relay in die DMZ zu stellen und eine Weiterleitung auf dem Exchange-Server einzurichten.Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren.
Was soll der Capatcha code verhindern bzw. abhalten? Wir haben mit Hilfe von Vasco eine 2FA hinterlegt. D.h. ein Login ist nur mit gültigen Benutzer + Passwort + PIN über einen Token möglich.Gruß,
Dani
Hallo
Danke für deine Antworten.
Der Captcha Code sollte BruteForce Attacken entgegensteuern.
Wobei ich mich frage, ob es das überhaupt braucht, da nach 5 Login Fehlversuchen sowieso der User-Account gesperrt wird.
Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?
Gruss DelPiero
Danke für deine Antworten.
Der Captcha Code sollte BruteForce Attacken entgegensteuern.
Wobei ich mich frage, ob es das überhaupt braucht, da nach 5 Login Fehlversuchen sowieso der User-Account gesperrt wird.
Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?
Gruss DelPiero
Moin,
Der SMTP-Proxy arbeitet nicht nach dem Store-and-Forward-Prinzip. Sprich von der Außenwelt ist es nicht möglich eine direkte Verbindung mit dem MTA (in deinem Fall Exchange) aufzubauen. Schickt dir einer ne Mail wird die Verbindung mit dem Proxy aufgebaut und der Proxy baut eine neue Verbindung zum MTA auf. Die Mail wird erst zustellt, wenn das OK vom Mailserver kommt.
Gruß,
Dani
Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?
Du meinst sicherlich Edge und nicht CAS. Der SMTP-Proxy arbeitet nicht nach dem Store-and-Forward-Prinzip. Sprich von der Außenwelt ist es nicht möglich eine direkte Verbindung mit dem MTA (in deinem Fall Exchange) aufzubauen. Schickt dir einer ne Mail wird die Verbindung mit dem Proxy aufgebaut und der Proxy baut eine neue Verbindung zum MTA auf. Die Mail wird erst zustellt, wenn das OK vom Mailserver kommt.
Gruß,
Dani
Wir veröffentlichen OWA, ActiveSync, Outlook Anywhere usw. über TMG's in der DMZ.
Ist ja leider abgekündigt.
Zukünftig werden wir das mithilfe der F5 abbilden.
Ist ja leider abgekündigt.
Zukünftig werden wir das mithilfe der F5 abbilden.
