Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS richtig absichern

Frage Microsoft Windows Server

Mitglied: 113726

113726 (Level 2)

13.11.2013 um 22:19 Uhr, 2423 Aufrufe, 9 Kommentare

Guten Nabend,

ich hatte gerade wieder ein Interessantes Gespräch, wo es um POP3 vs SMTP geht und das ganze hat mich noch mal etwas zum Nachdenken angeregt.

Wir haben derzeit einen SBS 2011 Standard mit Exchange 2010. Per MX-Eintrag erfolgt eine direkte SMTP Zustellung. Der SBS ist der einzige Server und besitzt eine USV. Auf dem SBS kommt Avira Small Business zum Einsatz. Eine feste IP ist vorhanden.

Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft. Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.


NUN stellt sich für mich die Frage:

- Hätte ich statt SMTP weiterhin meine Mails über POP3 Abholen lassen sollen? Ist das in unserem Fall besser? Denn wenn der eine Server ausfällt war es das mit Emails.
- DNS lasse ich auch über den SBS laufen, früher lief er über die Fritzbox. Ist das so ok?
- Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
- was würde noch Sinn machen?

Ich bedanke mich schon mal im Voraus.

Viele Grüße
Manuel
Mitglied: spinnifex
13.11.2013 um 22:57 Uhr
Hallo Manuel,

auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.

Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox. Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.

Schöne Grüße
Bitte warten ..
Mitglied: GuentherH
13.11.2013, aktualisiert um 23:00 Uhr
Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft

Welche negativen Punkte gibt es da?

Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.

Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden) erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem

DNS lasse ich auch über den SBS laufen

Das ist auch korrekt so.

Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?

Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?

Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher, es handelt sich um einen "gefährlichen Halbwissenden"

LG Günther
Bitte warten ..
Mitglied: 113726
13.11.2013 um 23:22 Uhr
Zitat von spinnifex:
Hallo Manuel,

auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder
Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die
EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.

Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high
confidential messages
solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox.
Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.

Schöne Grüße

Hallo spinnifex,

du brauchst auch gar nicht in die Diskussion eingehen.
Backup wird bei uns ebenfalls schon mittels GFI gemacht. Das was rein kommt, wird 1:1 im Original gespeichert.

Beste Grüße
Manuel
Bitte warten ..
Mitglied: 113726
13.11.2013 um 23:31 Uhr
Zitat von GuentherH:
> Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft

Welche negativen Punkte gibt es da?
Naja vor allem wenn man dann nicht gut abgesichert ist. Denn mit einer direkten Zustellung kann man sich ja nicht mehr auf den Provider verlassen sondern muss alles selber absichern. Wenn man da nicht gut Ahnung hat, kann das natürlich nach hinten losgehen.

> Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.

Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden)
erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem

Ja da hast du recht. Ich weiß zwar jetzt nicht, was er bei POP3 erhält, aber er dürfte da doch nichts bekommen oder? Weil das Postfach ja beim Provider liegt und da kann ja jeder Mails drauf schicken, auch ohne Server.
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

> DNS lasse ich auch über den SBS laufen

Das ist auch korrekt so.

Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
> Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?

Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?
Nunja kann ich so nicht beantworten aber überall, wo ich gelesen habe, war die erste Reaktion: Fritzbox weg, richtige Firewall hin. Jeder ist gegen eine Fritzbox vor einem Server, das muss ja einen Grund haben.

Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher,
es handelt sich um einen "gefährlichen Halbwissenden"
Da kannst du wirklich recht haben, will ich nicht dagegen sprechen
Für mich ist nur die Frage, ob ich auf dem richtigen Weg bin. Also SMTP, Firewall usw.

LG Günther
LG Manuel
Bitte warten ..
Mitglied: GuentherH
14.11.2013 um 00:01 Uhr
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über den E-Mail Verkehr.

LG Günther
Bitte warten ..
Mitglied: 113726
14.11.2013 um 00:31 Uhr
Zitat von GuentherH:
> Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über
den E-Mail Verkehr.

LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht. Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.

Was müsste ich denn noch beachten, zum Thema Sicherheit?

Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Bitte warten ..
Mitglied: goscho
14.11.2013 um 08:38 Uhr
Zitat von 113726:
> Zitat von GuentherH:
> ----
> > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
>
> Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
über
> den E-Mail Verkehr.
>
> LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen.
Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.

Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite da hilft, kann ich dir nicht beantworten.
Was müsste ich denn noch beachten, zum Thema Sicherheit?

Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.

Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der Router DHCP-Server ist.

Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.

Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.

Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.

Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Bitte warten ..
Mitglied: 113726
14.11.2013, aktualisiert um 18:19 Uhr
Zitat von goscho:
> Zitat von 113726:
> ----
> > Zitat von GuentherH:
> > ----
> > > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
> >
> > Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
> über
> > den E-Mail Verkehr.
> >
> > LG Günther
> Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen.
Danke für den Link
> Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch
ausreichen würde.
> Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
> Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.

Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft
werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite
da hilft, kann ich dir nicht beantworten.
Also das Avira Paket hat ja auch einen Exchange Schutz mit drinnen, von daher denke ich schon, dass es ausreichen würde.
> Was müsste ich denn noch beachten, zum Thema Sicherheit?
>
> Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein
sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.
Besten Dank. Von der VPN Funktion der Fritzbox habe ich schon mal gehört, aber mich nicht wirklich mit beschäftigt. Wenn das natürlich sicherer ist, dann mache ich das natürlich.

Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server
dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der
Router DHCP-Server ist.
Das ist bei uns nicht der Fall. DHCP läuft bei uns auf dem SBS, den der Fritzbox habe ich deaktiviert.

Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die
Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.
Das habe ich alles gemacht.

> Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das
WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.

Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS
ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.
Ja war bisschen blöd geschrieben aber wir hatten vor rund zwei Monaten noch den DHCP-Server auf der Fritzbox laufen. Da war es dann natürlich möglich, selbst ohne Server ins Netz zu gehen.

Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Bisher war noch keiner, aber ich gehe lieber auf Nummer sicher.
Ich werde aufjedenfall die VPN Funktionalität der Fritzbox austesten, dann kann ich den VPN Port auch wieder dicht machen. Port 443 und 25 muss ja offen bleiben.
Ach und wir haben eine Fritzbox 7170, direkt von AVM.
Bitte warten ..
Mitglied: MiSt
14.11.2013 um 19:39 Uhr
Hallo,
ich habe (hallo an DIE beiden mitschreiber ) auch einen SBS2011. Dieser ist zwar nicht hinter einer FritzBox sondern hinter einer CISCO-ASA-Firewall.
Als Viren-Spam-Lösung nutze ich ESET. Was aber wirklich die IdealLösung ist, muss jeder irgendwie selber wissen. Die AV-Server-Suiten sind so aufgebaut, dass diese einstellbar sind - wie auch der SBS. Man muss die Protokolle von SBS und Viren/Spam-Suite im Auge behalten. Entweder kommt zuviel oder zu wenig Mail durch. Das kommt auf den jeweiligen Betrieb an, wie mit den Mail-Adressen umgegangen wird. --> Thema: brain.exe.
Wichtig ist, dass das SBS-Backup min. 1x am Tag läuft - im Notfall auch 2x. Ein weiter Server, der im Notfall einspringt. Das einspielen eines Backups dauert, je nach Masse des Systems, 1-2std.
Alle 2 Monate spiele ich das aktuelle Backup auf den Reserve-Server, fahre den 1-2x hoch (zum testen) und runter und dann schalte ich den aus. Vorher natürlich den Hautpserver auschalten.
Das funktioniert ganz gut. Un im Notfall, wenn der Hauptserver offline geht, fahre ich den 2ten hoch und 2std. später geht es weiter....
Demnächst wollte ich das ganze mal in einer Virtualisierung testen. Und dann hat man einige Möglichkeiten mehr, sein Sytem wieder zu beleben. Man sollte auf jedenfall immer einen 2ten Satz Hardware zusammengeschraubt im Rack (oder als Tower) stehen haben.

Gruß
Michael
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Debian
Debian 8.6 Absichern? (12)

Frage von Motte990 zum Thema Debian ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...