113726
Goto Top

SBS richtig absichern

Guten Nabend,

ich hatte gerade wieder ein Interessantes Gespräch, wo es um POP3 vs SMTP geht und das ganze hat mich noch mal etwas zum Nachdenken angeregt.

Wir haben derzeit einen SBS 2011 Standard mit Exchange 2010. Per MX-Eintrag erfolgt eine direkte SMTP Zustellung. Der SBS ist der einzige Server und besitzt eine USV. Auf dem SBS kommt Avira Small Business zum Einsatz. Eine feste IP ist vorhanden.

Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft. Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.


NUN stellt sich für mich die Frage:

- Hätte ich statt SMTP weiterhin meine Mails über POP3 Abholen lassen sollen? Ist das in unserem Fall besser? Denn wenn der eine Server ausfällt war es das mit Emails.
- DNS lasse ich auch über den SBS laufen, früher lief er über die Fritzbox. Ist das so ok?
- Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
- was würde noch Sinn machen?

Ich bedanke mich schon mal im Voraus.

Viele Grüße
Manuel

Content-Key: 221923

Url: https://administrator.de/contentid/221923

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: spinnifex
spinnifex 13.11.2013 um 22:57:31 Uhr
Goto Top
Hallo Manuel,

auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.

Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox. Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.

Schöne Grüße
Mitglied: GuentherH
GuentherH 13.11.2013 aktualisiert um 23:00:31 Uhr
Goto Top
Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft

Welche negativen Punkte gibt es da?

Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.

Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden) erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem face-wink

DNS lasse ich auch über den SBS laufen

Das ist auch korrekt so.

Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?

Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?

Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher, es handelt sich um einen "gefährlichen Halbwissenden" face-wink

LG Günther
Mitglied: 113726
113726 13.11.2013 um 23:22:24 Uhr
Goto Top
Zitat von @spinnifex:
Hallo Manuel,

auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder
Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die
EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.

Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high
confidential messages
solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox.
Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.

Schöne Grüße

Hallo spinnifex,

du brauchst auch gar nicht in die Diskussion eingehen. face-smile
Backup wird bei uns ebenfalls schon mittels GFI gemacht. Das was rein kommt, wird 1:1 im Original gespeichert.

Beste Grüße
Manuel
Mitglied: 113726
113726 13.11.2013 um 23:31:37 Uhr
Goto Top
Zitat von @GuentherH:
> Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft

Welche negativen Punkte gibt es da?
Naja vor allem wenn man dann nicht gut abgesichert ist. Denn mit einer direkten Zustellung kann man sich ja nicht mehr auf den Provider verlassen sondern muss alles selber absichern. Wenn man da nicht gut Ahnung hat, kann das natürlich nach hinten losgehen.

> Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.

Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden)
erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem
face-wink
Ja da hast du recht. Ich weiß zwar jetzt nicht, was er bei POP3 erhält, aber er dürfte da doch nichts bekommen oder? Weil das Postfach ja beim Provider liegt und da kann ja jeder Mails drauf schicken, auch ohne Server.
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

> DNS lasse ich auch über den SBS laufen

Das ist auch korrekt so.

Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
> Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?

Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?
Nunja kann ich so nicht beantworten aber überall, wo ich gelesen habe, war die erste Reaktion: Fritzbox weg, richtige Firewall hin. Jeder ist gegen eine Fritzbox vor einem Server, das muss ja einen Grund haben.

Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher,
es handelt sich um einen "gefährlichen Halbwissenden" face-wink
Da kannst du wirklich recht haben, will ich nicht dagegen sprechen face-smile
Für mich ist nur die Frage, ob ich auf dem richtigen Weg bin. Also SMTP, Firewall usw. face-wink

LG Günther
LG Manuel
Mitglied: GuentherH
GuentherH 14.11.2013 um 00:01:02 Uhr
Goto Top
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über den E-Mail Verkehr.

LG Günther
Mitglied: 113726
113726 14.11.2013 um 00:31:15 Uhr
Goto Top
Zitat von @GuentherH:
> Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?

Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über
den E-Mail Verkehr.

LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht. Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.

Was müsste ich denn noch beachten, zum Thema Sicherheit?

Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Mitglied: goscho
goscho 14.11.2013 um 08:38:27 Uhr
Goto Top
Zitat von @113726:
> Zitat von @GuentherH:
> ----
> > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
>
> Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
über
> den E-Mail Verkehr.
>
> LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen. face-wink
Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.

Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite da hilft, kann ich dir nicht beantworten.
Was müsste ich denn noch beachten, zum Thema Sicherheit?

Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.

Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der Router DHCP-Server ist.

Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.

Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.

Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.

Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Mitglied: 113726
113726 14.11.2013 aktualisiert um 18:19:58 Uhr
Goto Top
Zitat von @goscho:
> Zitat von @113726:
> ----
> > Zitat von @GuentherH:
> > ----
> > > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
> >
> > Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
> über
> > den E-Mail Verkehr.
> >
> > LG Günther
> Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen. face-wink
Danke für den Link face-smile
> Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch
ausreichen würde.
> Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
> Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.

Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft
werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite
da hilft, kann ich dir nicht beantworten.
Also das Avira Paket hat ja auch einen Exchange Schutz mit drinnen, von daher denke ich schon, dass es ausreichen würde.
> Was müsste ich denn noch beachten, zum Thema Sicherheit?
>
> Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein
sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.
Besten Dank. Von der VPN Funktion der Fritzbox habe ich schon mal gehört, aber mich nicht wirklich mit beschäftigt. Wenn das natürlich sicherer ist, dann mache ich das natürlich.

Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server
dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der
Router DHCP-Server ist.
Das ist bei uns nicht der Fall. DHCP läuft bei uns auf dem SBS, den der Fritzbox habe ich deaktiviert.

Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die
Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.
Das habe ich alles gemacht.

> Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das
WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.

Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS
ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.
Ja war bisschen blöd geschrieben aber wir hatten vor rund zwei Monaten noch den DHCP-Server auf der Fritzbox laufen. Da war es dann natürlich möglich, selbst ohne Server ins Netz zu gehen.

Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Bisher war noch keiner, aber ich gehe lieber auf Nummer sicher.
Ich werde aufjedenfall die VPN Funktionalität der Fritzbox austesten, dann kann ich den VPN Port auch wieder dicht machen. Port 443 und 25 muss ja offen bleiben.
Ach und wir haben eine Fritzbox 7170, direkt von AVM.
Mitglied: MiSt
MiSt 14.11.2013 um 19:39:29 Uhr
Goto Top
Hallo,
ich habe (hallo an DIE beiden mitschreiber face-wink ) auch einen SBS2011. Dieser ist zwar nicht hinter einer FritzBox sondern hinter einer CISCO-ASA-Firewall.
Als Viren-Spam-Lösung nutze ich ESET. Was aber wirklich die IdealLösung ist, muss jeder irgendwie selber wissen. Die AV-Server-Suiten sind so aufgebaut, dass diese einstellbar sind - wie auch der SBS. Man muss die Protokolle von SBS und Viren/Spam-Suite im Auge behalten. Entweder kommt zuviel oder zu wenig Mail durch. Das kommt auf den jeweiligen Betrieb an, wie mit den Mail-Adressen umgegangen wird. --> Thema: brain.exe.
Wichtig ist, dass das SBS-Backup min. 1x am Tag läuft - im Notfall auch 2x. Ein weiter Server, der im Notfall einspringt. Das einspielen eines Backups dauert, je nach Masse des Systems, 1-2std.
Alle 2 Monate spiele ich das aktuelle Backup auf den Reserve-Server, fahre den 1-2x hoch (zum testen) und runter und dann schalte ich den aus. Vorher natürlich den Hautpserver auschalten.
Das funktioniert ganz gut. Un im Notfall, wenn der Hauptserver offline geht, fahre ich den 2ten hoch und 2std. später geht es weiter....
Demnächst wollte ich das ganze mal in einer Virtualisierung testen. Und dann hat man einige Möglichkeiten mehr, sein Sytem wieder zu beleben. Man sollte auf jedenfall immer einen 2ten Satz Hardware zusammengeschraubt im Rack (oder als Tower) stehen haben.

Gruß
Michael