none
Exchange 2010 + webové rozhranní pro přístup k poštovním schránkám. RRS feed

  • Dotaz

  • Dobrý den, ve firmě máme jako PDC Windows 2000 Server na kterém rovněž běží Exchnage 2000. Nyní bychom chtěli nově zakoupit Windows Server 2008 (nový PDC) a Exchange 2010 s tím že by Exchange již  běžel na dedikovaném serveru. Nově bychom chtěli využívat na Exchange WebMail (webové rozhranní pro přístup poštovních schránek). Máte někdo zkušenosti s nasazením Exchange a zpřítupněním WebMailu do Internetu ? Jde mi o bezpečnostní aspekty Webmailu.

    pondělí 5. září 2011 7:58

Odpovědi

  • Na reseni bezpecnosti prave slouzi Edge role = vsechny utoky, ktere uspeji, znici "jen" hranicni server, ktery ani neni soucasti domeny = velmi se minimalizuje mozne riziko. Ano, stoji to penize, ostatne jako kazde bezpecnostni reseni.

    Na druhou stranu znam spoustu firem (nemluve o SBSkach v malych firmach), kteri WEB rozhrani do internetu zverejnene maji nekolik let (od E2003) kvuli ActiveSyncu a neslysel jsem zatim o zadnych problemech. Muzete do IIS pridat pozadavek na klientske certifikaty = WEB rozhrani exchange nebude z internetu dostupne "cizim" zajemcum. Ale napriklad iPhone mel pak pri ActiveSyncu problem se synchronizaci, ac byl klientky certifikat v nem instalovan.

    Lamani hesel hrubou silou muzete SILNE omezit nastavenim lockoutu uctu na nekolik minut po X neuspesnych pokusech. Tim je brutal force utok v podstate nepouzitelny.



    pondělí 5. září 2011 10:05

Všechny reakce

  • Moznosti W2K8R2 a Exchange jsou nekde uplne jinde nez u verzi z roku 2000, nejen z hlediska bezpecnosti.

    Pokud vas zajima bezpecnost, tak vam doporucuji precist si na Technetu cast http://technet.microsoft.com/en-us/library/bb124507.aspx

    K tematu zabezpeceni patri take Forefront Protection for Exchange http://www.microsoft.com/cze/forefront/

    pondělí 5. září 2011 8:18
    Moderátor
  • To že jsou možnosti Exchnage 2010 úplně někde jinde je mi zcela jasné. Ikdyž však budu mít nový Exchange, stále zachovám model kdy Exchange bude poštu odesílat přes nadřazený SMTP uzel a poštu bude vybírat POP3 konektorem ze schránky na jiném poštovním serveru. Žádný z poštovních protokolů  tak nebude přístupný z Internetu. Jedinou službu kterou chci zpřístupnit je právě webmail.
    pondělí 5. září 2011 8:57
  • Doporucene reseni je Edge role Exchange serveru (2.server) do DMZ. http://technet.microsoft.com/en-us/library/bb124701.aspx

    Ceho se bojite? Lamani hesel? bezpecnosti IIS? Zalezi na tom, kolik chcete do bezpecnosti investovat. Takze treba i FW s IPS.

    Neni dobrou myslenkou instalovat Exchange na DC. Virtualizujte. Kupet Enterprise verzi W2008 a oddelte DC od Exchange serveru.

    pondělí 5. září 2011 9:06
  • Je skoda nevyuzit nove technologie Exchange a AD 2008R2, pokud uvazujete o jejich akvizici. Tvrdite, ze o moznostech sice vite, ale vlastne je nechcete pouzit.  Z hlediska zabezpeceni jsem jeste nezminil FF TMG 2010, o kterem jsem se dosud nedocetl, ze by ho nekdo prolomil (Izraleci jsou v technilogii zabezpeceni dobri - ISA Server a TMG je dilem Microsoft Izrael)

    Variantni reseni je s pouzitim "cloudu", MS nebo treba i Googlu.

    Na nejake podrobnejsi odpovedi a namety jste dal dost malo vstupnich informaci.

     

    pondělí 5. září 2011 9:26
    Moderátor
  • Ano bojím se primárně bezpečnosti IIS a aplikace zajištující webmail. HW firewall s IPS mám. Model kdy Exchange bude poštu odesílat přes nadřazený SMTP uzel a poštu bude vybírat POP3 konektorem mám také proto že stabilita konektivity našeho poskytovatele není 100%.

    Jak jsem uvedl v úvodu chceme nainstalovat Exchange na dedikovany server, tj. nově nebude běžet na DC. Ten článek o Edge rolle je zajímavý ale vzhledem k tomu jak bude Exchange fungovat mi nebude potřebný (navíc to je znamená koupi dalšího serveru a naše finanční prostředky jsou omezené).

    Spíše mne zajímá jak maximálně zabezpečit Exchange resp. IIS (webmail) proti případným bezpečnostním dírám. Od této diskuze jsem si sliboval návrhy a postřehy správců kteří takto Exchange využívají.

    pondělí 5. září 2011 9:49
  • Kompletní možnosti nového Exchange neznám. Bohužel jsme byli nuceni dlouho běžet na příliš starých technologiích. Primárně mě nyní zajímá možnost většího úložistě pro poštovní schránky a právě zmiňovaný webmail.

    Naše finanční prostředky jsou omezené a pokud to bude možné hodláme se vyhnout koupi ISA serveru a technologii Forefront. Máte-li nějaké odkazy na zdroje zabývající modely nasazení Exchange 2010 budu za ně vděčný.

    pondělí 5. září 2011 10:02
  • Na reseni bezpecnosti prave slouzi Edge role = vsechny utoky, ktere uspeji, znici "jen" hranicni server, ktery ani neni soucasti domeny = velmi se minimalizuje mozne riziko. Ano, stoji to penize, ostatne jako kazde bezpecnostni reseni.

    Na druhou stranu znam spoustu firem (nemluve o SBSkach v malych firmach), kteri WEB rozhrani do internetu zverejnene maji nekolik let (od E2003) kvuli ActiveSyncu a neslysel jsem zatim o zadnych problemech. Muzete do IIS pridat pozadavek na klientske certifikaty = WEB rozhrani exchange nebude z internetu dostupne "cizim" zajemcum. Ale napriklad iPhone mel pak pri ActiveSyncu problem se synchronizaci, ac byl klientky certifikat v nem instalovan.

    Lamani hesel hrubou silou muzete SILNE omezit nastavenim lockoutu uctu na nekolik minut po X neuspesnych pokusech. Tim je brutal force utok v podstate nepouzitelny.



    pondělí 5. září 2011 10:05
  • IIS je ve vyvoji take nekde jinde, nez predchozi verze. Docela by mne zajimalo, na zaklade ceho povazujete IIS za nebezpecny. Muzete uvest odkaz na relevantni informaci, kde je napsano, ze IIS byl prolomeny a nestalo se tak vinou spatne konfigurace?

    Operacni system Windows 2008 R2 je certifikovany v ramci Common Criterii, takze by ani prislusny urad v Ceske Republice, ktery se k bezpecnosti vyjadruje,  nemusel mit pripominky: http://www.commoncriteriaportal.org/files/epfiles/st_vid10390-st.pdf

     

    pondělí 5. září 2011 10:58
    Moderátor
  • Netvrdím že IIS je nebezpečný. Já sám vytvářím webové aplikace v C# pro náš Intranet.

    Pouze neznám nikoho kdo by IIS používal jako veřejný webový server, resp.  znám pouze 1 správce (ISP) který nasadil IIS a do měsíce přešel na Apache (údajně z důvodů nestability ale jak jste správně podotknul vše je otázka správného nastavení).

    Stejně tak jsem nikdy neviděl v praxi Exchange jako veřejný poštovní server. Ja sám např. používám Postfix a Apache.

    Spíše s novým Exchange a IIS nemám zkušenosti, nicméně proto jsem zde na fórum položil tuto otázku. Jestě by mne zajímalo ikdyž by tato otázka patřila do jiné sekce jak je to s licencováním IIS když jej "vystrčíte" do internetu ? Nepotrebuji licenci Internet Connector ?

    pondělí 5. září 2011 11:30
  • 1. Neni nad vlastni zkusenost. Nedejte na reci jinych, ale na fakta. Mate moznost testu s trial verzemi, pokud nemate pristup k finalnim verzim.

    2. Podil Apache v Internetu je velky a duvody pro jeho nasazeni mohou byt ruzne. Treba proto, ze se ISP nechteji ucit nove/jine technologie. Ale take muze mit ISP dalsi technologie na bazi Linuxu a pouziti MS by bylo pro nej administrativni zatezi.

    3. Pouzival jsem Postfix pred casem take. Mel jsem ho za firewallem. Tehda to byl Squid, vy muzete pro Exchange pouzit TMG.

    4. Licencovani? Pak ale musite s pravdou ven a uvest, kdo bude IIS pouzivat. Tuhle otazku dejte, prosim, do fora licencovani a neprotahujte dalsimi otazkami vlakno, ktere je o necem uplne jinem.

     


    pondělí 5. září 2011 13:13
    Moderátor
  • Verejny exchange samozrejme existuje - viz Google a hledat heslo "hostovany exchange"

    Ale je skoda Exchange pouzivat jen jako SMTP server s WEB rozhranim. Proto hostovany Exchange, klient Outlook s groupware funkcemi a ActiveSync. Pokud chcete "jen" mail, pak je Exchange trochu zbytecny.

    Zakladni licencni otazky a odpovedi zde: http://www.microsoft.com/cze/exchange/how-to-buy/licensing-faq.aspx

    Zrychlene: Pokud mluvite o zamestnancich, pak staci PerUser licence. Pokud mluvite o externich uzivatelich (nezamestnancich), pak External Connector.

    A pripominam, ze pokud mluvime o IIS s neanonymnim pristupem (coz Web rozhrani Exchange je), pak musite myslet i na CAL pro Windows - ekvivalentne jako u Exchange - PerUser, PerDevice, nebo opet External Connector.

    pondělí 5. září 2011 13:41
  • já si spíš myslím že tazatel se obává toho že publikováním exchange do internetu znamená nutnost pořízení dalších licencí.

    pokud však exchange budou používat jen interní zaměstnanci společnosti tak to nestojí žádné peníze navíc (jen ty CAL které mít musí pro současný počet uživatelů Exchange a stejně tak CAL pro Windows Server).


    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    pondělí 5. září 2011 15:24
  • Jak pravil p.Puchta - licencni otazky patri jinam :)

    Chapu, ze se tazatel boji, ze zverejneni Exchange WEBu muze nest skryte naklady za dalsi CAL.

    A bohuzel neexistuje jednoznacna odpoved typu: jsou-li to zamestnanci a delaji doma, niceho se nebojte, dalsi CAL nepotrebujete. Pokud jsou CAL pro Exchange perDevice, tak to neni pravda.

    IMHO zde http://www.daquas.cz/articles/362-vsechno-co-potrebujete-vedet-o-licencich-ms-exchange je clanek podrobne popisujici to, co jsem ve svem predchozim prispevku jen letmo zminil.

    úterý 6. září 2011 7:36
  • o, já se to snažil ve své odpovědi jen zjednodušit. je samozřejmě jasné že záleží jaké CAL tazatel má. díky za odkaz až bude čas přečtu si :)
    michal zobec www.michalzobec.cz | www.virtualnipc.cz
    úterý 6. září 2011 12:52