none
Fragen zur Sicherheit bei einem Exchange "im Internet" (Exchange mit direktem MX-Eintrag) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Community,

    ich habe mal ein paar Fragen zum Thema Sicherheit in Verbindung mit Exchange Servern. 

    Welche Risiken birgt es, wenn man per MX-Eintrag direkt auf einen Exchange verweist? Klar ist, dass es sicherlich problematischer ist, als die Mails mit einen PopConnector zu holen, jedoch gibts dafür sicherlich Möglichkeiten.

    Reicht es beispielsweise aus, einen Business-Router wie zum Beispiel ein Lancom zu Nutzen, oder sollte es schon eine richtige Firewall sein?

    Was müsste in denn mindestes offen sein, dass es funktioniert?

    Keine Sorge, ich will das Szenario nicht umsetzen, da habe ich zu wenig Erfahrung / Ahnung davon, aber mich interessiert das Thema einfach. Es wäre super wenn mir jemand einen groben Überblick geben könnte :)

    Vielen Dank schonmal

    Mittwoch, 25. März 2015 17:40
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Du hast ja eingangs von SMTP gesprochen. Das ist Port 25.

    Wenn Du Clients verbinden willst, brauchst Du für die Standard-Clients (OWA, EAS, Outlook Anywhere) Port 443. Nur POP und IMAP haben noch andere Ports.

    Sicherheitsmäßig gilt hier im Prinzip das gleiche. Ein Angriff ist möglich, auf Protokoll ebene aber schwer. Es gibt Firewalls, die entschlüsseln selbst und schauen in den Datenstrom rein. Hier muss man aber sehr genau prüfen, ob die Überhaupt einen Mehrwert bringen. Wenn die nicht wissen, was OWA ist, können die da nur sehr wenig helfen.

    >Was soll ich darunter verstehen, dass die Firewall den Rest abfängt, oder sicherstellt das die Kommunikation sauber abläuft?

    Verstehe ich nicht.

    Das heißt, das ich in der Theorie schon einiges an Sicherheit mit einem ordentlichen Router aufbringen kann?

    Schon, weil er dafür sorgt, dass nur die Ports, die man außen haben will auch wirklich außen offen sind.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Bodabirra Freitag, 27. März 2015 11:02
    Donnerstag, 26. März 2015 12:43
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    die eindeutige Antwort lautet: Das kommt darauf an. ;)

    Für SMTP wird nur Port 25 von außen benötigt. Das Angriffspotential auf dieses Protokoll ist sehr gering. Das heißt halt nicht umsonst "Simple Mail Transfer Protocoll". Es kann wenig und darum kann auch wenig schiefgehen.

    Wichtig wäre, dass eine Firewall Angriff auf anderen Layern, unterhalb von SMTP abfängt. Eingriffe in SMTP muss man gut steuern, weil Exchange da sehr sensibel reagiert, wenn die falsch erfolgen. Es darf auf keinen Fall einfach die Verbindung getrennt werden, es muss sauber Fehlermeldungen in beide Richtungen geben.

    Na ja und dann heißt es natürlich: Patch you stuff! Updates schnell installieren und auf potentielle Bedrohungen schnell reagieren. Nicht vergessen darf man, dass ein Exchange-Server ein relativ privilegiertes Domänenmitglied ist. Sollte ein Angreifer es auf die Maschine schaffen, hat er es einfach, von da weiter zu kommen.

    Und ansonsten gilt halt wie immer: IT-Sicherheit hat eine nach oben hin offene Paranoititätsgrenze. Jeder muss sich selbst überlegen, wie viel er sich leisten kann und will.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 25. März 2015 19:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Okay, vielen Dank schonmal für die Antwort.

    Wenn ich also den Port 25 durchreiche auf den Exchange, das ist dann schon alles? Wenn ich dann aber von außen auf den Exchange verbinde will brauch die noch 443 oder?

    Auf die Gefahr hin, das dass jetzt eine blöde Frage ist: Was soll ich darunter verstehen, dass die Firewall den Rest abfängt, oder sicherstellt das die Kommunikation sauber abläuft? 

    Das heißt, das ich in der Theorie schon einiges an Sicherheit mit einem ordentlichen Router aufbringen kann? Ich weiß natürlich, dass es beim Thema Sicherheit keine Grenze  nach oben gibt, und schon garnicht finanziell ;)

    Donnerstag, 26. März 2015 12:38
    |
  • Question
    Anmelden
    2
    Anmelden

    Du hast ja eingangs von SMTP gesprochen. Das ist Port 25.

    Wenn Du Clients verbinden willst, brauchst Du für die Standard-Clients (OWA, EAS, Outlook Anywhere) Port 443. Nur POP und IMAP haben noch andere Ports.

    Sicherheitsmäßig gilt hier im Prinzip das gleiche. Ein Angriff ist möglich, auf Protokoll ebene aber schwer. Es gibt Firewalls, die entschlüsseln selbst und schauen in den Datenstrom rein. Hier muss man aber sehr genau prüfen, ob die Überhaupt einen Mehrwert bringen. Wenn die nicht wissen, was OWA ist, können die da nur sehr wenig helfen.

    >Was soll ich darunter verstehen, dass die Firewall den Rest abfängt, oder sicherstellt das die Kommunikation sauber abläuft?

    Verstehe ich nicht.

    Das heißt, das ich in der Theorie schon einiges an Sicherheit mit einem ordentlichen Router aufbringen kann?

    Schon, weil er dafür sorgt, dass nur die Ports, die man außen haben will auch wirklich außen offen sind.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Bodabirra Freitag, 27. März 2015 11:02
    Donnerstag, 26. März 2015 12:43
    |
  • Question
    Anmelden
    0
    Anmelden
    Okay, vielen Dank für die Antworten
    Freitag, 27. März 2015 11:03
    |