dippas

Hallo McDaniels, naja, die Sache mit der Sicherheit verhält sich so: 100% Sicherheit gibt es nicht. Ein Beispiel aus unserem Unternehmen. Wir haben ein mehrstufiges Sicherheitssystem, welches aus folgenden Komponenten besteht: Netscreen Firewall BorderwareMXTreme (Mailfirewall/Antispam) TrendMicro Gateyway-Viruswall (Virenscan für Mail und Web sowie Antispam) F-Secure auf Servern und Clients dazu: WSUS, also Clients und Server sind aktuell gepatcht Man könnte also sagen, wir haben schon was investiert. Trotzdem landen auf unseren Clients sowohl Viren als auch Spam. Natürlich nur sehr selten, aber wie gesagt 100% Sicherheit gibt es nicht. Was aus deinem Post nicht hervorging, ist ob ihr über einen Proxy surft. Das machen wir und haben dadurch technisch bedingt keine direkte Verbindung Client/Webserver. Dadurch sind wir sicherlich auch an dieser Stelle der Idealmarke von 100% Sicherheit ein Stück näher gekommen. Zudem ist es ebenfalls so, dass unsere User auf den Clients keine Rechte haben. Sollte daher wieder erwarten doch unerlaubter Code reinflutschen, liefe dieser mit dem Recht eines Users der keine Rechte hat. Im Idealfall also gar nicht oder nur sehr "verkrüppelt", also ebenfalls nahezu wirkungslos. Um Deine Frage aber auch zu beantworten: Wenn bei Dir der unerlaubte Code auf die Rechner kommt und im Kontext eines User mit vielen - schlimmstenfalls allen - Rechten läuft, dann ist es natürlich möglich, den Rechner zu übernehmen und - je nach Netzwerkgestaltung - nicht nur zu steuern, sondern auch zu mißbrauchen um Dein Netz lahmzulegen. Abhören über http ginge, wenn der gekaperte Rechner von aussen kleine Tools untergejubelt bekommt, die eine Man-in-the-middle-Attacke erlauben. Man könnte also den Rechner soweit "frisieren", dass der Webverkehr unwissentlich über diesen Rechner läuft, weil er z.B. einen Webserver vorgaukelt. Kennwörter oder so dann zu fischen ist kein Problem. MIM-Attacken laufen aber im Allgemeinen über einen Rechner, der ins Netzwerk unerlaubt integriert wurde, also reingeschleppt -> Angriff von innen. "Abgehört" wird sicherlich mehr über Keylogger, die Tastatureingaben abgreifen und weiterleiten. Eine generelle Empfehlung auszusprechen gestaltet sich etwas schwierig, da immer das gesamte Unternehmen betrachtet werden muss. Und Unternehmen gleichen sich nun mal nicht wie ein Ei dem anderen ;) Ich denke aber, das WSUS, zwei unterschiedliche Virenscanner, eine sinnvoll konfigurierte Firewall (z.B. auch ausgehenden Traffic weitgehend sperren) und ein guter Spamfilter bei jedem Unternehmen drin sein sollten ;) grüße dippas

da schaut man mal kurz nicht hin, und alle antworten munter :D Kurze "Richtigstellung": Ein Alias ist keine SMPT-Adresse (E-Mailadresse). Daher meine Eingangsfrage, was Du vorhast. Aber die Lösung ist ja weiter oben beschrieben. Zu Schroeders Hinweis, wenns drum geht, dass Du auch abwechselnd unter anderen Mailadressen versendest, hilft das hier weiter: http://www.mcseboard.de/showthread.php?t=80026 grüße dippas

Das Prinzip Frontend/Backend funktioniert folgendermaßen: Der OWA-Server ist Frontend. Ein User meldet sich an diesem OWA an. Dieser Frontendserver ist nun in der Lage, den User mit dem richtigen Postfach zu verbinden, egal auf welchem Exchange innerhalb der Organisation das Postfach tatsächlich liegt. Das Routing funktioniert dann automatisch, dazu ist nichts gesondert im Exchange zu konfigurieren. Das geht aber nur mit einem Frontendserver. Wenn Du nun von Internet her auf diesen Frontendserver zugreifen willst, benötigst Du natürlich entweder die öffentliche IP des Servers oder einen Domainnamen für den ein Hosteintrag im öffentlichen DNS mit der öffentlichen IP des Servers existiert. Der Einfachheit halber benenne ich eine Subdomain mit owa (also FQDN dann owa.domain.tld) und weise dieser die öffentliche IP meines Frontend zu. grüße dippas

Naja, es gibt halt Aussagen von Leuten, denen man (fast) blind trauen kann und es gibt die anderen. Du gehörst jedenfalls nicht zu den anderen ;) Allerding waren die eher auf Grizzly´s erfrischend direkt ehrliche Art gemünzt (sorry ;) ), gleichzeitig aber auch als inhaltliche Zustimmung gedacht :D:D:D (<-das sind jetzt Deine ;)) Off-Topic:Gäbe es doch einen Smily, der händereibende Zustimmung mit einer gewissen Schadenfreude signalisiert. Allerdings habe ich den auch noch nicht gesucht :rolleyes: grüße dippas

Hallo Björn, willkommen an Board. Die Bordsuche bringt folgendes zu Tage: http://www.mcseboard.de/showthread.php?t=80400 grüße dippas

Was willst Du denn überhaupt machen?

sorry, aber hast Du dir diese Frage beantwortet: Die Post an Herrn Müller in der Meierstraße 1 wird weitergeleitet an Herrn Müller in der Meierstraße 1 ?? Du müsstest von selbst drauf kommen, dass die Idee domäne.de an domäne.de nicht wirklich sinnig ist, oder? grüße dippas PS: warum will Cheffe kein OWA? Was würde er von folgendem Argument halten:"Sie können von jedem Rechner weltweit auf Ihre Mails zugreifen, egal ob das Ihr Rechner, der eines Kollegen oder der aus dem Internet-Café ist. Nicht mal Outlook ist notwendig, das geht mit jedem x-belibigen Internet-Browser und das alles sogar verschlüsselt"? Einzig ein richtiges SSL-Zertifikat wird benötigt, damit Browser nicht via PopUp-Warnung auf ein nicht prüfbares Zertifikat hinweist.

Also gibt es nur einen Standort und der Mitarbeiter möchte aber auch von extern auf sein Postfach zugreifen. 1. Lösung: nutze OWA 2. Lösung: nutze rpc over http 3. Lösung: gib POP3-Zugriffe von aussen auf deinen Mailserver in der Firewall frei Finger Weg von der Weiterleitung. Macht nur administrativen Aufwand. Einmal die Boardsuche angeworden und Du wirst zu den genannten Themen mehr als fündig. grüße dippas

Was heisst nicht ausgelegt? schau mal bei 1und1 unter der Rubrik "Mail" nach ... technisch gesehen geht das und wenn Du dich von Telefonat mit M$ erholt hast (wegen der Preise ;) ) dann kaufst Du dir dieses Buch: http://www.opensourcepress.de/index.php?26&backPID=15&tt_products=5 grüße dippas Hier noch ein wenig Lizenzinfo: http://www.mcseboard.de/showthread.php?t=80379

Frage 1: Was heisst 2 Standorte? 2 Exchange-Standorte in 1 Exchange-Organisation, 2 Standorte, die gar nichts miteinander zu tun haben? 2 Standorte und 2 Exchange-Organisationen? Was denn? :suspect: Nach dem Motto: Die Post an Herrn Müller in der Meierstraße 1 wird weitergeleitet an Herrn Müller in der Meierstraße 1 ?? ja, wenn Du uns mit besseren Infos hilfst ;) grüße dippas

Was soll ich sagen...? Dein Problem ist nicht, dass Du versuchst betimmte IPs zu blocken oder Blacklists zu pflegen. Dein Problem ist, dass Du keinen Spamfilter hast. Dabei meine ich einen richtigen Spamfilter und nicht irgend so ein pseudo-Gedöns. Allerdings sind solche Lösungen auch nicht ganz billig. Wenn Du allerdings ausrechnest, was an Zeit und Resourcen (Mailserver, I-Net-Verbindung) verloren geht, kommst Du schnell auf Beträge, von denen man sich gleich mehrere Spamfilter kaufen kann. Eine vergleichsweise günstige Lösung bei direkter Anbindung eines Exchange ans I-Net wäre vielleicht das hier: http://www.msxfaq.net/spam/nospamproxy.htm Ob eine Firewall die gewünschten Funktionalitäten hat, ist abhängig von der Firewall. grüße dippas

Off-Topic: Wobei sich mir die Frage stellt: Woher hat der eigentlich so detaillierte Infos? :suspect: Bist wohl viel rumgekommen :D @edgar: Du kannst Dich jetzt nur noch darauf berufen, dass Karl May auch niemals in Amerika war und trotztdem Prima Western-Geschichten schrieb ;) Das Tool wäre echt klasse. Falls möglich würde ich das auch gerne sehen (haben ;) ) wollen -> PN und gut :D grüße dippas

:D:D:D :D:D:D ACK. Gerade durch falsches Routing baut man sich Fehler ein, die oftmals an den Rand der Verzweiflung führen. Das von TriplexXx beschriebene ist leider nicht nur lückenhaft und in teilen falsch, sondern auch über Gebühr kompliziert. An den Clients wird schon mal gar nicht mit route add gearbeitet, genausowenig am zu installierenden Server. Wenn schon ein W2k3-Server herhalten soll, dann schaut man in die Möglichkeiten von Routing und RAS (komisch, da ist ja sogar der Name = Programm ;) ). Ein Client muss im Allgemeinen gar nichts von Zielnetzen wissen, denn da gibt es ja: Den Router ;). Dieser muss über seine Routingtabellen aber dann sehrwohl wissen, wie er in welches Zielnetz kommt. Der Client kennt nur 1 Gateway (Router) und dieses Gateway kennt widerum den Weg in die anderen Netze. grüße dippas

Auch von mir ein Willkommen an Board. Zwei/drei Anmerkungen noch: 1. bei 4 GB RAM -> In der boot.ini auch den /3GB - Schalter gesetzt? Das bewirkt, dass im Gegensatz zur Standartinstallation der Hauptspeicher nicht in 2 GB für Anwendungen und 2 GB für das OS aufgeteilt wird, sondern 3GB für Anwendungen und 1 GB für das OS -> bringt auch schon mal was, wenn man speicherlastige Anwendungen fährt. 2. Was für ein Board ist das denn? Die Frage zielt aus Kohn´s Hinweis nach der I/O-Performance. Richtige Serverboards sind diesbezüglich um Längen besser als billige PC-Boards. 3. SATA-RAID1 für das gesamte System sind nicht wirklich Garant für Performance. Wenn möglich installiert man Server z.B. so, dass das OS auf einem RAID1 liegt und Daten etc. auf einem RAID5. Aber viel wichtiger ist die Frage: Ist das eine von Dir subjektiv gefühlte Performance-Schwäche, oder hast Du tatsächlich Last auf dem Rechner (Taskmanager, auch mal Speichernutzung der einzelnen Tasks ansehen). Nach Deinen Angaben zur Hardware (HD mal aussen vor gelassen), sollte sich das System eigentlich zu Tode langweilen ;) Ach ja, und dann natürlich: läuft das System überhaupt fehlerfrei (Ereignisanzeige). Zum Thema WINS: WINS wird entgegen aller Meinungen/Wünsche seitens M$ tatsächlich benötigt. Besser gesagt, es wird eine NetBios-Namensauflösung benötigt, die man sinnvollerweise via WINS statt Broadcasts einrichtet. grüße dippas

man benötigt einen Router. nein, das geht so nicht. Zunächst sei gesagt, das ein Router benötigt wird. Die Aufgabe eines Routers ist es ja, zwischen verschiedenen Netzwerken zu routen ;) Allerdings ist es nicht zwingend erforderlich einen Hardware-Router neu zu kaufen. Man kann das auch über einen Server machen. Dieser muss aber 2 Netzwerkkarten haben. Eine Netzwerkkarte steht im Netz 192.168.10.x und die andere im Netzwerk 192.168.11.x -> Stichwort Routing und RAS Empfehlen würde ich aber einen eigenen Hardwarerouter, weil ich dann nicht auf die Verfügbarkeit des Servers angewiesen bin. grüße dippas

Wie recht er hat. Ich habe meinen Tipp entsprechend korrigiert, damit es etwas verständlicher ist ;) grüße dippas

Kurze Vervollständigung/Korrektur: Es gibt 2 "Connectoren", die den Mailverkehr beim Exchange regeln: 1. der "Virtuelle Standartserver für SMTP", zu finden unter .../Server/Servername/Protokolle/SMTP/Virtueller Standartserver für SMTP Dieser regelt den internen Mailverkehr und - wenn kein IMC eingerichtet ist - auch den externen Mailverkehr, also den mit dem Internet. und 2. den vom mir (begrifflich falsch) bezeichneten "Internet-Mailconnector", zu finden unter .../Server/Connectors". Dieser Connector wird bei der Standartinstallation von Exchange nicht installiert. Beim SBS findet sich dieser Connector allerdings nach der Installation - wie so vieles, was einem durch die SBS-Installation abgenommen wird ;). Ist dieser Connector eingerichtet (über "Neu/STMP-Connector"), läuft der interne Mailverkehr weiter über den "Virtuellen Standartserver für SMTP" und der Mailverkehr mit dem Internet über diesen Connector. Meine gewählte Bezeichnung "Internet-Mailconnector" (auch IMC) ist noch aus der Exchange 5.5-Zeit. Ich verwende oben diesen Begriff zur Unterscheidung der beiden Connectoren. Da der Mailverkehr mit dem Internet über diesen Connector läuft (sofern eingerichtet), halte ich diese Bezeichnung sogar für aussagekräftiger. Die richtige Bezeichnung lautet aber "SMTP-Connector". grüße dippas

anders herum wird ein Schuh draus: Wo stelle ich ein, dass bestimmte User nicht ins Internet mailen dürfen: http://www.mcseboard.de/showthread.php?t=78946 grüße dippas

Auch von mir willkommen an Board. Um Günther´s Ansatz noch etwas zu konkretisieren: Gerne tritt das Problem auch auf, wenn der User folgendes macht: RDP-Fenster oben rechts ("X") schließen und die Meldung "Die Windows-Sitzung wird getrennt. Alle aktiven Programme werden weiterhin ausgeführt. Sie können die Verbindung durch erneutes Anmelden wiederherstellen" mit OK bestätigt. Dann bleibt die User-Session offen. Dadurch arbeitet der User bei der nächsten Anmeldung an der Stelle weiter, wo er das Fenster geschlossen hat. Das verbrät natürlich einen Userplatz von deinen fünfen. Vielleicht gibst Du den Usern mal den Rat, nicht einfach das Fenster zu schließen, sondern gegebenenfalls auf "Start/Username abmelden" zu gehen? Dann wird die Session auch ordnungsgemäß geschlossen und der "verbrauchte" Platz wieder freigegeben. grüße dippas

woher weist Du? ;) Ich werd verrückt, der geeeht ... :D der geeeht tatsächlich :D kommt guck ma, der geeeht :D Danke für den Hinweis grüße dippas

Hallo Edgar, ja, wie bereits geschrieben, ist es 100% genau das Problem, was Du hattest mit 100% genau gleichen "Symptomen". Welchen Einfluss würde die Richtlinie "Bei Anmeldung ..." haben, wenn ich doch z.B. 15 Minuten nach erfolgreicher Anmeldung und auch bereits getätigten Arbeiten im Netz (Outlook, Files geöffnet, ERP läuft munter)? Zudem kann ich - wie Du- lpt2 ohne Kennwortabfrage mappen, aber nicht lpt1. grüße dippas

Hey Leute, ist hier wirklich niemand, der ein solches Prob noch nie hatte? grüße dippas

hallo Bromer, am einfachsten geht es, wenn Du einen öffentliche Ordner "mail-enabled" schaltest. Damit können alle Deine Fragen nach Deinem Wunsch beantwortet werden: 1. Ja, das geht mit einem integrierten exchange beim SBS2003, weil es ein "richtiger" Exchange ist ;), der zum Lieferumfang vom SBS gehört. 2. Der öffentliche Ordner wird durch die Möglichkeit Mail an diesen zu schicken zum "globalen Postfach" 3. schaust Du hier: http://www.msxfaq.de/konzepte/pubordner.htm Ach ja, wenn ein User eine Mail vom öffentlichen Ordner in sein Postfach verschiebt, ist diese logischerweise nicht mehr im öffentliche Ordner und kann somit auch von anderen nicht mehr weiter gesehen/bearbeitet werden. Hirgelzwift´s Vorschlag würde zwar auch gehen, halte ich persönlich aber für Aufwendiger bei der Einrichtung/Administration. grüße dippas

ok, nochmal rauf mit dem Threat in der Hoffnung, es stolpert noch jemand drüber und nimmt ebenfalls Teil ;) Folgende Boardmitglieder haben sich den Termin bereits in den Kalender geschrieben: data1701 finanzamt andi67 thespawn mapulativ dlensing damian userle und ich selbst macht Stand heute: 9 Mitgleider Vielleicht noch jemand? Hier noch einmal die Veranstaltungsdaten: Usertreffen in Recklinghausen am 27.01.2006 bei Boente um 19:00 Uhr Augustinessenstraße, Parkhaus befindet sich direkt gegenüber (Parkhaus Augustinessenstraße) http://www.hausbrauerei-boente.de/index.htm grüße dippas

ich denke, die Werbung kommt nur deshalb bei manchen öfter, weil die Einwahl-IP berücksichtigt wird. Pop-Up-Blocker aktivieren bedeutet im Übrigen auch, keine PNs mehr zu bekommen, weil ja der Blocker aktiviert ist ;) Ich habe eine Flat und bin alway-on. Bei mir kommt das Fenter tatsächlich nur einmal. In der Firma kam es bislang überhaupt nur einmal, nämlich zur Einführung. Danach allerdings nie mehr, weil wir in der Firma ne richtige Festverbindung haben. Also 24/7, eigener Backbonezugang, öffentliche/feste IP. Die probs mit dem Scrollen habe ich zu Hause im Übrigen auch. Das normale Browserfenster ist dann ein wenig eingefroren ;) grüße dippas