Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit meiner OWA Einrichtung - Anregungen u. Tipps gesucht

Frage Microsoft Exchange Server

Mitglied: Paradroid

Paradroid (Level 1) - Jetzt verbinden

02.05.2008, aktualisiert 06.05.2008, 6722 Aufrufe, 5 Kommentare

Moin,

seit kurzer Zeit hat unser kleines Unternehmen einen SBS2003 Server. Ich habe nun Outlook Web Access eingerichtet. Da ich nicht wirklich viel Ahnung habe, hätte ich gerne mal eure Meinung wie sicher das Ganze ist.

Ich habe über Dyndyns eine Weiterleitung eingerichtet und nur den Port 443 in der Router Firewall auf den Server geforwarded. Über den Internet-Assistenten in der Serververwaltungskonsole habe ich nur den Internetzugriff auf OWA erlaubt. Als Zertifikat habe ich die dyndns Adresse eingetragen. Ich habe den für OWA freigeschalteten Benutzern ein sicheres PW gegeben (9-stellig, Buchst. & Zahlen, groß und klein). Funktioniert soweit alles wunderbar. Nun meine Fragen:

1. Ich habe unter „Serververwaltungskonsole > Benutzer“ das OWA für die Benutzer deaktiviert bzw. aktiviert (Standard war aktiviert). Verstecken sich vielleicht irgendwo anders noch „Nutzer“ mit denen man sich in OWA einlogen könnte?
2. Ich würde gerne die Anzahl max. fehlgeschlagener Logins für OWA festlegen (z.B. 10 mal, dann gesperrt). Geht bzw. wo geht das?
3. Da eine dyndns Adresse nicht besonders einprägsam ist, habe ich eine Weiterleitung von einer Subdomain eingerichtet (mail.firma.de nach https://firma.dyndns.org/exchange). 1und1 bietet hier auch die Möglichkeit einer Frame-Weiterleitung (https Seite öffnet sich im Frame, Vorteil: Schöne Adressleiste, Nachteil: sichere Verbindung wird nicht angezeigt)
Bestehen hier irgendwelche weiteren Sicherheitsnachteile?
4. Ich würde unseren wenigen Mitarbeitern sagen, dass sie das „fehlerhafte“ Zertifikat akzeptieren sollen oder lohnt sich doch der Aufwand eines „fehlerfreien“ Zertifikats?

Bin für alle weiteren Anregungen dankbar.

Gruß aus dem sonnigen Hamburg

Para
Mitglied: alexanderschuhmann
02.05.2008 um 15:24 Uhr
Hallo Para,

Ich nehme mich einmal Frage Punkt Nummero 4 an.
Du redest hier von einem SSL Zertifikat, welches sich unterschiedlich nach Anbieter in einem Preis von zirka 900 € (verisign) bis zirka 50 Dollar (FreeSLL, Zertifikate von GeoTrust). Bei kostenlosen Zertifikaten ist darauf zu achten, das der Private Key auf dem Lokalen Server generiert wird und nicht "online" wie es zum Beispiel bei dem teilweise kostenlosen Anbieter Start Com ist, wodurch es möglich wird (für StartCom ) sämtliche Verschlüsselte Daten zu dechriffieren, was ja genau das ist was der Zertifikat verhindern soll.
Soviel zu dem Praktischen Teil, nun zu meiner Meinung ob man so etwas benötigt. Sehr viele Mailserver die im Moment in Betrieb sind, benutzen kein SLL bzw. nicht zwingend. Also Tausende Kunden von Providern schicken jeden Tag ihren Benutzernamen, und ihr Passwort im Klartext bzw Base64-kodiert (das ist keine Verschlüsselung) durch das WWW. Die Wahrscheinlichkeit, das jemand einen Phishing Website einrichtet um die OWA Anmeldung zu fälschen, ist wohl eher gering, wenn aber doch, wird sich eine Person mit dieser Absicht, auch ein nicht CA Zertifikat besorgen können (so nennt man die Zertifikate die von eingetragenen Zertifikatstellen Ausgegeben werden z.B. Start Com)
Das waren die Fakten, ich denke entscheiden musst du selbst.

Mit freundlichen Grüßen,

Alexander Schuhmann
Bitte warten ..
Mitglied: Paradroid
02.05.2008 um 15:34 Uhr
Vielen Dank schonmal. Mit dem Thema Zertifikat muss ich mich nochmal auseinandersetzen. Hier fehlt mir einfach noch das Wissen.
Bitte warten ..
Mitglied: alexanderschuhmann
05.05.2008 um 23:40 Uhr
Hallo,
Punkt 1:
Soweit ich weiß, wird standartmässig bei jedem Benutzer die OMA Funktion angeschaltet. Aber dies sollte man auch in den Richtlinien verändern können. (Wie, weiß ich gerade nicht, werde Nachschauen und geg. etwas sinnvolles Posten)
Zu Punkt 3:
Eigentlich sollte es dadurch keinerleih Sicherheitsprobleme geben. Wichtig ist nur, das von https://mail.firma.de auf https://firma.dyndns.org weitergeleitet wird

Ich würde noch Port 80 freigeben, voralleding wenn du ein Zertifikat nimmst, welches nicht von sämtlichen Browsern akzeptiert wird.

Mit freundlichen Grüßen

Alexander Schuhmann
Bitte warten ..
Mitglied: unzhurst
06.05.2008 um 09:10 Uhr
hiho,

habe leider nicht viel zeit, daher nur kurz was zu punkt 4.
der aufwand für ein "fehlerfreies" zertifikat ist eigentlich sehr gering, sowohl
finanziell als auch technisch.
ich nutze bei unseren kunden immer das limitbreaker von hier:
http://www.psw.net/ssl.cfm
ist sehr günstig und auch in fast allen mobile devices enthalten, d.h. du musst
an mda, nokia und sonstigen handys nicht mit root-zertifikaten rumdoktern.

technisch ist es auch banal. zertifikatsrequest im iis generieren, assistent auf der
webseite starten und den text aus deinem request reinkopieren... zertifikat beantragen.
dauert ca. 2-3h dann bekommst du den link zum download deines zertifikats und
kannst es direkt über den assistent des iis importieren.

p.s.: sorry für kleinschreibung... sehr wenig zeit und internet via pda^^

gruß
patrick
Bitte warten ..
Mitglied: Paradroid
06.05.2008 um 11:03 Uhr
Hallo, vielen Dank für die Antworten. Ich werde alles durchgehen und Rückmeldung geben.

Gruß Flo
Bitte warten ..
Ähnliche Inhalte
Windows 7
Win7 Deployment - Anregung gesucht
gelöst Frage von flabsWindows 74 Kommentare

Hallo miteinander, ich bräuchte mal eine Anregung um folgende Situation zu lösen. Deployment von Windows 7 im kleinen Unternehmen. ...

Linux
PDF Indexierung Anregungen gesucht
gelöst Frage von flabsLinux3 Kommentare

Moin miteinander, ich suche Ideen und Lösungsansätze für folgendes Problem. Ich scanne Schriftstücke / Belege aller Art als PDF/A ...

Hosting & Housing
Tutorial bzw. Anregungen zum einrichten eines DNS-Nameserver gesucht.
Frage von BlattlausOGHosting & Housing9 Kommentare

Hallo zusammen, ich mache mir Gedanken darüber seitdem dyn-dns seinen kostenlosen Dienst eingestellt hat einen eigenen DNS-Service auf meinem ...

TK-Netze & Geräte
Fax-Ersatz gesucht - Brainstorming bzw. ANregungen
gelöst Frage von hesperTK-Netze & Geräte4 Kommentare

Hallo zusammen! Ich hab da ein kleines Problem in einer neuen Außenstelle. Dort ist das Büro aktuell in einem ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...