Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit meiner OWA Einrichtung - Anregungen u. Tipps gesucht

Frage Microsoft Exchange Server

Mitglied: Paradroid

Paradroid (Level 1) - Jetzt verbinden

02.05.2008, aktualisiert 06.05.2008, 6576 Aufrufe, 5 Kommentare

Moin,

seit kurzer Zeit hat unser kleines Unternehmen einen SBS2003 Server. Ich habe nun Outlook Web Access eingerichtet. Da ich nicht wirklich viel Ahnung habe, hätte ich gerne mal eure Meinung wie sicher das Ganze ist.

Ich habe über Dyndyns eine Weiterleitung eingerichtet und nur den Port 443 in der Router Firewall auf den Server geforwarded. Über den Internet-Assistenten in der Serververwaltungskonsole habe ich nur den Internetzugriff auf OWA erlaubt. Als Zertifikat habe ich die dyndns Adresse eingetragen. Ich habe den für OWA freigeschalteten Benutzern ein sicheres PW gegeben (9-stellig, Buchst. & Zahlen, groß und klein). Funktioniert soweit alles wunderbar. Nun meine Fragen:

1. Ich habe unter „Serververwaltungskonsole > Benutzer“ das OWA für die Benutzer deaktiviert bzw. aktiviert (Standard war aktiviert). Verstecken sich vielleicht irgendwo anders noch „Nutzer“ mit denen man sich in OWA einlogen könnte?
2. Ich würde gerne die Anzahl max. fehlgeschlagener Logins für OWA festlegen (z.B. 10 mal, dann gesperrt). Geht bzw. wo geht das?
3. Da eine dyndns Adresse nicht besonders einprägsam ist, habe ich eine Weiterleitung von einer Subdomain eingerichtet (mail.firma.de nach https://firma.dyndns.org/exchange). 1und1 bietet hier auch die Möglichkeit einer Frame-Weiterleitung (https Seite öffnet sich im Frame, Vorteil: Schöne Adressleiste, Nachteil: sichere Verbindung wird nicht angezeigt)
Bestehen hier irgendwelche weiteren Sicherheitsnachteile?
4. Ich würde unseren wenigen Mitarbeitern sagen, dass sie das „fehlerhafte“ Zertifikat akzeptieren sollen oder lohnt sich doch der Aufwand eines „fehlerfreien“ Zertifikats?

Bin für alle weiteren Anregungen dankbar.

Gruß aus dem sonnigen Hamburg

Para
Mitglied: alexanderschuhmann
02.05.2008 um 15:24 Uhr
Hallo Para,

Ich nehme mich einmal Frage Punkt Nummero 4 an.
Du redest hier von einem SSL Zertifikat, welches sich unterschiedlich nach Anbieter in einem Preis von zirka 900 € (verisign) bis zirka 50 Dollar (FreeSLL, Zertifikate von GeoTrust). Bei kostenlosen Zertifikaten ist darauf zu achten, das der Private Key auf dem Lokalen Server generiert wird und nicht "online" wie es zum Beispiel bei dem teilweise kostenlosen Anbieter Start Com ist, wodurch es möglich wird (für StartCom ) sämtliche Verschlüsselte Daten zu dechriffieren, was ja genau das ist was der Zertifikat verhindern soll.
Soviel zu dem Praktischen Teil, nun zu meiner Meinung ob man so etwas benötigt. Sehr viele Mailserver die im Moment in Betrieb sind, benutzen kein SLL bzw. nicht zwingend. Also Tausende Kunden von Providern schicken jeden Tag ihren Benutzernamen, und ihr Passwort im Klartext bzw Base64-kodiert (das ist keine Verschlüsselung) durch das WWW. Die Wahrscheinlichkeit, das jemand einen Phishing Website einrichtet um die OWA Anmeldung zu fälschen, ist wohl eher gering, wenn aber doch, wird sich eine Person mit dieser Absicht, auch ein nicht CA Zertifikat besorgen können (so nennt man die Zertifikate die von eingetragenen Zertifikatstellen Ausgegeben werden z.B. Start Com)
Das waren die Fakten, ich denke entscheiden musst du selbst.

Mit freundlichen Grüßen,

Alexander Schuhmann
Bitte warten ..
Mitglied: Paradroid
02.05.2008 um 15:34 Uhr
Vielen Dank schonmal. Mit dem Thema Zertifikat muss ich mich nochmal auseinandersetzen. Hier fehlt mir einfach noch das Wissen.
Bitte warten ..
Mitglied: alexanderschuhmann
05.05.2008 um 23:40 Uhr
Hallo,
Punkt 1:
Soweit ich weiß, wird standartmässig bei jedem Benutzer die OMA Funktion angeschaltet. Aber dies sollte man auch in den Richtlinien verändern können. (Wie, weiß ich gerade nicht, werde Nachschauen und geg. etwas sinnvolles Posten)
Zu Punkt 3:
Eigentlich sollte es dadurch keinerleih Sicherheitsprobleme geben. Wichtig ist nur, das von https://mail.firma.de auf https://firma.dyndns.org weitergeleitet wird

Ich würde noch Port 80 freigeben, voralleding wenn du ein Zertifikat nimmst, welches nicht von sämtlichen Browsern akzeptiert wird.

Mit freundlichen Grüßen

Alexander Schuhmann
Bitte warten ..
Mitglied: unzhurst
06.05.2008 um 09:10 Uhr
hiho,

habe leider nicht viel zeit, daher nur kurz was zu punkt 4.
der aufwand für ein "fehlerfreies" zertifikat ist eigentlich sehr gering, sowohl
finanziell als auch technisch.
ich nutze bei unseren kunden immer das limitbreaker von hier:
http://www.psw.net/ssl.cfm
ist sehr günstig und auch in fast allen mobile devices enthalten, d.h. du musst
an mda, nokia und sonstigen handys nicht mit root-zertifikaten rumdoktern.

technisch ist es auch banal. zertifikatsrequest im iis generieren, assistent auf der
webseite starten und den text aus deinem request reinkopieren... zertifikat beantragen.
dauert ca. 2-3h dann bekommst du den link zum download deines zertifikats und
kannst es direkt über den assistent des iis importieren.

p.s.: sorry für kleinschreibung... sehr wenig zeit und internet via pda^^

gruß
patrick
Bitte warten ..
Mitglied: Paradroid
06.05.2008 um 11:03 Uhr
Hallo, vielen Dank für die Antworten. Ich werde alles durchgehen und Rückmeldung geben.

Gruß Flo
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
TK-Netze & Geräte
gelöst Fax-Ersatz gesucht - Brainstorming bzw. ANregungen (4)

Frage von hesper zum Thema TK-Netze & Geräte ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (3)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Batch & Shell
Script zum Auflösen einer Ordnerstruktur und zurück gesucht (12)

Frage von websolutions zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...