Dutch_OnE 39 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 Moin, bei einer Umgebung, zeigt der MX Eintrag direkt auf die offizielle IP, wo der Exchange Server steht. Zur Zeit sind Port 443 und 25 direkt per NAT auf den Server durchgeleitet. Ein offizielles Zertifikat ist vorhanden. Auf dem Exchange Server ist ein Mailscanner der Firma F-Secure installiert. Die Windows Firewall steht auf Default Einstellungen. Speziell für OWA, ActiveSync, ECP ... ist keine erweiterte Absicherung vorhanden. Default ECP würde ich für intern und extern sperren und über eine weitere Site mit anderem Port für interne Zugriff öffnen. Gibt es eine smarte UTM / WAF Lösung? Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen. Kann man OWA via Exchange Shell komplett deaktivieren? Kann man im Active Sync für ein Postfach nur bestimmt Mobilgeräte zulassen? Gruß DO Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 vor 13 Minuten schrieb Dutch_OnE: Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen Das kannst Du nicht, zumindest keinen Mailbox-Server. Exchange muss ungehinderten Zugang zu mindestens einem schreibbaren Domain Controller haben, der in der gleichen AD-Site steht. vor 15 Minuten schrieb Dutch_OnE: Kann man im Active Sync für ein Postfach nur bestimmt Mobilgeräte zulassen? Stichwort: Quarantäne. vor 16 Minuten schrieb Dutch_OnE: Kann man OWA via Exchange Shell komplett deaktivieren? Nein, dann funktioniert ECP nicht mehr. Du kannst OWA aber für alle Postfächer deaktivieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 vor 19 Minuten schrieb Dutch_OnE: Default ECP würde ich für intern und extern sperren Je nach Version funktionieren dann diverse Funktionen in owa nicht mehr. Ich würd eher mal über mfa für owa und exp nachdenken. vor 22 Minuten schrieb Dutch_OnE: Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen Keine Firewall zwischen dc und exchange mailboxservern erlaubt. Und dann kannst du dir die dmz auch sparen. ;) als Tipp, Port 25 auf keinen Fall von extern per Authentifizierung anbieten, und auch die anderen Protokolle, imap, Pop und smtp 587 am besten nicht verwenden. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 Erst einmal vielen Dank. Ich bin über den Link "gestolpert" https://administrator.de/forum/absicherung-exchange-server-1099666010.html Die anderen Protokolle sollten deaktiviert sein. Was mich sehr interessiert ist das Thema UTM für die Exchange Dienste. Habe ihr da irgendwas im Einsatz? Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 2.066 Geschrieben 4. Januar 2023 Beste Lösung Melden Teilen Geschrieben 4. Januar 2023 Da tuts die oft vorhandene Sophos sg oder xgs ganz ok. Alternativ kann man auch kemp nehmen, die sind da ganz fit und bieten deutlich mehr Möglichkeiten als bspw. die Sophos. Je nachdem wieviel man selbst investieren will oder kann, geht natürlich auch https://www.frankysweb.de/apache-als-reverse-proxy-fuer-exchange-server-teil-1/amp/ aber da sollte man sich dann eben auch damit beschäftigen (gut, bei den anderen Dingen auch). Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 Das ist doch schon mal ein guter Tipp. Die werde ich mir mal anschauen, ggf. hatte ich noch die Securepoint aus Lüneburg als Alternative mir ausgesucht. Auf jeden Fall ist mir der Bintec Router mit durchgeleiteter NAT definitiv zu wenig, da muss nachgebessert werden. vor 37 Minuten schrieb NorbertFe: als Tipp, Port 25 auf keinen Fall von extern per Authentifizierung anbieten Hierbei geht es doch um die Einstellungen der Exchange Empfangsconnectoren oder? Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 (bearbeitet) vor 4 Minuten schrieb Dutch_OnE: Bintec Router Ist jetzt auch nichts was ich unter Firewall oder waf abheften würde. ;) vor 4 Minuten schrieb Dutch_OnE: Hierbei geht es doch um die Einstellungen der Exchange Empfangsconnectoren oder? Ja leider verwenden viele den default connector und aktivieren auf ihm die Authentifizierung. Empfehlenswert, wenn man kein eigenes relay davor schalten kann oder will, ist ein eigener receive connector der aus dem Internet nur anonym zulässt und korrekten ehlo String und Zertifikat anbietet. persönlich bin ich ein Freund des exchange Edge, aber da steh ich vermutlich allein auf weiter Flur. ;) bearbeitet 4. Januar 2023 von NorbertFe Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 Danke für die Info. Nochmal als Lösung kann ich aber leider nicht anklicken. Gruß und schönen Abend. Zitieren Link zu diesem Kommentar
teletubbieland 173 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 Ich nutze die Regel New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges x.x.x.x/24" um zu verhindern, dass man sich von extern einloggen kann. Ist vielleicht nicht 100%ig, aber trägt zur Sicherheit bei. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 Super und vielen Dank für den Tipp. Ich glaube, dass meinte Norbert: Exchange 2019:- Set TLS Certificate name on your receive connector. – Everything-PowerShell Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 Das dürfte aber afaik nur mit 2019 funktionieren. 2016 geht nicht: https://learn.microsoft.com/en-us/exchange/clients/client-access-rules/client-access-rules?view=exchserver-2019 Zitieren Link zu diesem Kommentar
teletubbieland 173 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 Gerade eben schrieb NorbertFe: Das dürfte aber afaik nur mit 2019 funktionieren. 2016 geht nicht: https://learn.microsoft.com/en-us/exchange/clients/client-access-rules/client-access-rules?view=exchserver-2019 das stimmt. Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 vor 30 Minuten schrieb NorbertFe: Ja leider verwenden viele den default connector und aktivieren auf ihm die Authentifizierung. Empfehlenswert, wenn man kein eigenes relay davor schalten kann oder will, ist ein eigener receive connector der aus dem Internet nur anonym zulässt und korrekten ehlo String und Zertifikat anbietet. ist das im Default Connector nicht automatisch so eingestellt? Per Default sind ja alle Authentifizierungen, bis auf "Extern gesichert" ausgewählt. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 4. Januar 2023 Melden Teilen Geschrieben 4. Januar 2023 (bearbeitet) vor 4 Minuten schrieb Dutch_OnE: Per Default sind ja alle Authentifizierungen, bis auf "Extern gesichert" ausgewählt. Nein default ist nicht alles gewählt sondern mailbox User ist auch deaktiviert. https://learn.microsoft.com/en-us/exchange/mail-flow/connectors/receive-connectors?view=exchserver-2019#default-receive-connectors-created-during-setup Deswegen mein Hinweis, dass man sowas am besten mit einem eigenen connector regelt. Oder noch besser - relay in die dmz. bearbeitet 4. Januar 2023 von NorbertFe Zitieren Link zu diesem Kommentar
Dutch_OnE 39 Geschrieben 4. Januar 2023 Autor Melden Teilen Geschrieben 4. Januar 2023 OK, unten in den Berechtigungen. Sorry, die habe ich nicht betrachtet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.