winmadness

Hallo, ich würde Hetzner empfehlen. Entweder buchst Du Dir eine Cloud-Ressourcen oder über die Serverbörse einen dedizierten Server (Intel Xeon ab 40,-) für eine virtualisierte Umgebung. Hetzner bietet für seine Internet-Zugänge eine Stateless Firewall an, welche über das Online-Portal (abgesichert mit 2FA) verwaltet wird. Support ist hervorragend - echte 24/7.

Die Aktionen Umleiten und Markieren betreffen ja beide die zwei selben Bedingungen - SCL > 4 und Empfänger info@firma.de. Damit haben beide Aktionen die gleichen Bedingungen und sind somit auch in einer Regel zu verarbeiten.

Hallo, Du kannst in einer Regel mehrere Aktionen einstellen. Die Regel lautet, wenn SCL > 4 UND Empfänger = info@firma.de, dann Betreff "###SPAM###" voranstellen UND die Mail an "spam@firma.de" weiterleiten. Dazu benötigst Du keine zwei Regel. Zur Verdeutlichung ein Screenshot (hier fehlt die zweite Bedingung "Empfänger ist info@firma.de", aber das Grundprinzip bleibt dasselbe.

Hallo, Du kannst beide Aktionen - Markierung und Umleitung - in einer Regel einstellen. Bzgl. "***SPAM***" könnte es evtl. an den Sonderzeichen "Stern" liegen. Nimm mal andere Zeichen z.B. - oder #. Nur eine Vermutung. Outlook Regel sollte keinen Einfluss haben, da diese erst nach Zustelltung der EMail ins Postfach greift. Exchange Regel greifen direkt beim Empfang der EMail (nach meinen Wissen). Kannst Du aber einfach testen, indem Du die Outlook Regel mal deaktivierst.

Hallo, ich gehe davon aus, dass Du Exchange Regeln meinst. Wieso hast Du extra eine zweite Regel für die Umleitung angelegt? Markiere und leite die Spam-Mails in nur einer Regel weiter. Ich würde mal zum Testen eine Regel aufsetzen, welche alle EMails an info@firma.de an spam@firma.de weiterleitet - funktioniert diese?

Da gebe ich Dir Recht - ist keine Ideallösung. Vor allem, da bei eingehenden Anrufen der Kontakt nicht angezeigt wird. Wir haben für das Kopieren von Outlook Kalendern zwischen verschiedenen Postfächern das Produkt ExMixedFolders von Sombytes im Einsatz. Dieses kann laut Beschreibung auch die GAL in Postfach-Ordner kopieren. Das Ganze läuft als Dienst auf dem Windows Server und gleicht ständig die zu synchronisierenden Postfach-Ordner ab.

Ich habe WireGuard ebenfalls getestet. Was mir nicht gefiel war die mangelhaffte Integration in Windows. Mit dem Windows eigenen VPN Client ist die Anbindung über IPSec / IKEv2 / Client Zertifikaten an die OPNSense problemlos möglich

Hallo, ich nutze die OpenSource Lösung OPNSense. Neben der Stateful Firewall den VPN Server mit IKEv2 und Windows User Zertifikaten. Anmeldung in der Windows Domain erfolgt über einen Windows NPS / Radius Server. OPNSense bietet aber auch die Möglichkeit eines LDAP. Des Weiteren bietet OPNSense auch Module für Proxy / Reverse Proxy, High Availability, IDS/IPS etc. Wir hatten am Anfang bei einigen Home Office Usern Verbindungsprobleme (ständige Abbrüche). Lag am DS Lite der Internet Verbindungen. Nachdem die Clients die VPN Verbindung über IPv6 aufbauen haben wir keine Probleme mehr. Allerdings habe ich bzgl. der Performance für Deine Useranzahl keine Erfahrung. Evtl. im OPNSense Forum bzgl. der Anzahl VPN Verbindungen / Performance nachfragen.

Hallo, über ActiveSync wird die GAL auch in der iPhone Kontakte-App zur Verfügung gestellt. In der App auf "Gruppen" gehen und dort kannst Du dann in der GAL suchen. Auch in der Mail-App wird der GAL Kontakt vorgeschlagen, wenn Du den entsprechenden Namen eingibst.

Ich würde mal bei www.software-express.de anfragen. Ich hatte dort auch schon mal bzgl. MS Lizenzen eine Auskunft eingeholt.

Hallo, es gibt Virenscanner für die Exchagen Datenbanken - z.B. http://GFI Informations Store Protection . Also vor der Neuinstallation die Datenbank scannen und neu aufsetzen.

Probiere es mal mit TeamViewer. Diesen auf dem Server für "unbeaufsichtigten Zugriff" zulassen, starkes Passwort und zusätzlich die ID deines lokalen TeamViewers in der Whitelist (TeamViewer Server) eintragen. Nur eine Idee, keine Ahnung ob der Übermittlung der lokalen Video/Audio Daten über die Gegenstelle funktioniert. Alternativ kannst Du auch mal AnyDesk testen.

Hallo, es handelt sich hierbei um einen Download-Trojaner. Du findest die Beschreibung bei dr.web. Unter der Überschrift "Executes the following", Punkt 5 (Ende der Seite), wird die Anlage der Task mit Deinen gefundenen Parametern aufgeführt. Wie immer die Empfehlung, dass System neu aufzusetzen. Alle verbundenen Server / Workstations auf Malware prüfen, oder besser noch alle neu aufsetzen.

Doch, ist eine Stateful Firewall. Hast Du schon mal einen Test mit einer Statefull Firewall gemacht - ich ja!

Nein, er ist beides. Wenn ich in der OPNSense Firewall den gesamten ausgeheneden Verkehr sperre, dann werden auch die Antwort-Pakete für ActiveSync blockiert. Deshalb benötige ich hierfür eine Ausnahme-Regel. @daabm: Danke für den Tipp - ich werde es mal testen.

Es geht nicht um "Security by obscurity", sondern um eine Absicherung der Verbindung. Den EAS Port habe ich nicht zur Verschleierung geändert, sondern aus rein praktischen Erwägungen - ist bei der Freigabe / Sperrung von Ports in der Firewall einfach zu handeln. @all: Danke für die Tipps. Ich habe die OPNSense Firewall im Einsatz, mal sehen was ich hier machen kann.

Würde ich auch so sehen wie meine "Vorposter". Ich würde mir auf jeden Fall schriftlich die Weigerung bestätigen lassen. Des Weiteren würde ich den Kunden darauf hinweisen, dass Du den Vorfall dem Landesdatenschutzbeauftragten melden musst. Gibt es einen "vernünftigen" Grund, warum der Kunde den Upgrade verweigert?

Hallo, würde es den Betrieb von Windows Servern 2016 (VMs mit Exchange 2016, Fileser, DC) beeinträchtigen, wenn ich den kompletten ausgehenden Internet-Verkehr in der vorgeschalteten Firewall blockieren würde. Bis auf den Port für ActiveSync (NICHT Standardport 443) würde ich gerne alle anderen Ports ins Internet sperren. Mir würde noch folgende IPs einfallen, welche ich freigeben müsste: WSUS . EMails werden intern über einen MTA zugestellt. Hat hier jemand bereits Erfahrungen gesammelt?

Hallo, ich habe bereits im Forum von Frankysweb.de folgende Frage gestellt: Ich habe eine Frage zu folgender Überlegung: Aus dem Internet ist nur ActiveSync über einen eigenen Port erreichbar. Alle anderen Dienste nur über VPN / LAN. Würde die Sicherheit von EAS erhöht werden, wenn ich einen eigenen vSwitch (Exchange läuft in einer Hyper-V VM) mit eigenem Netzwerk für den EAS Dienst anlegen würde. Ich könnte dieses Netzwerk auf dem Server über die "Öffentliche Firewall" komplett dicht machen und nur den EAS Port durchlassen. Auch in der OPNSense Firewall könnte ich das Netzwerk komplett absichern. Die Frage ist nun ob dieses einen potentiellen Angriff wie ProxyLogon verhindern könnte. Der Angreifer könnte bei einer vergleichbaren Sicherheitslücke in ActiveSync eine Webshell im EAS Verzeichnis ablegen. Wenn er sich dann noch Systemrechte über einen Exploit verschaffen könnte wäre das zusätzliche Netzwerk sinnlos. Eure Meinung hierzu.