Jump to content
Sign in to follow this  
User7070

Exchange direkt aus dem Internet erreichbar machen?

Recommended Posts

Hallo,

 

ist es mit einem Risiko verbunden, einen Exchange Server 2003 direkt aus dem Internet erreichbar zu machen (Portweiterleitung / NAT auf der Firewall)?

 

Ist das mit Risiken verbunden? Ich bin der Meinung, dass man das nicht so machen sollte, da auf einem Exchange Server in der Regel wichtige Daten liegen.

 

Was meint Ihr?

 

User7070

Share this post


Link to post
Share on other sites

Hi,

 

man kann es so machen, wobei in sensiblen Umfeldern dann eigentlich ein Frontend oder gleich ein ISA in die DMZ gehören. Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ nach innen ziemlich aufmachen musst. Bei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen.

 

Gruß

 

woiza

Share this post


Link to post
Share on other sites
Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ ziemlich RBei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen.

 

Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect:

 

@User7070

 

Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann.

Share this post


Link to post
Share on other sites

Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen.

Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden.

 

Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben.

 

Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP).

 

Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP)

und bei OWA über HTTPS zusätzlich 443 TCP und UDP

 

Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt.

Share this post


Link to post
Share on other sites

Ich finde das sich außer OWA alles auch getrost über ein VPN

machen lässt, da bracuht es auch kein Exchange in der DMZ.

 

Bei OWA würde ich wie schon erwähnt eine Front / Backend

Lösung nebst DMZ und ISA bevorzugen!

 

Grüße

 

subby

Share this post


Link to post
Share on other sites
Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect:

 

@User7070

 

Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann.

 

Off-Topic:

 

Ohja,

 

da hatte ich um die Uhrzeit wohl noch etwas Streit mit meiner Notebooktastatur. Habs korrigiert, danke für den Hinweis...

 

Share this post


Link to post
Share on other sites
Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen.

Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden.

 

Das ist richtig, allerdings ist bei einem kompromittierten Exchange ein riesen Scheunentor ins interne LAN verfügbar, weil in Richtung DC fast alles aufzumachen ist. Ob man da noch von einer DMZ sprechen kann, ist fraglich. Wenn ein Postfix in der DMZ steht, dann ist nach innen und aussen nur 25 offen. Sollte der Postfix kompromittiert werden, hätte der Angreifer nach innen nur 25 offen. Von meinen Domänendaten ist er dann noch weit entfernt.

 

Wenn ich OWA möchte, würde ich evtl. über nen ISA nachdenken. Klar bei einer kleinen Struktur ist das vielleicht ein bißchen viel Aufwand, aber sicherer wäre es ohne Exchange direkt in der DMZ.

 

Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben.

 

Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP).

 

Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP)

und bei OWA über HTTPS zusätzlich 443 TCP und UDP

 

Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt.

 

Falls du mit direkter E2k3-Verbindung MAPI von außen meinst, würde ich auf RPC over HTTP zurückgreifen, dann reichen die genannten Ports. Ansonsten müsste ich ja nach außen RPC und eine Latte Highports aufmachen.

 

Das Problem ist aber, dass nach INNEN alles aufzumachen ist, was ein AD-Client so braucht.

 

Gruß

 

woiza

Share this post


Link to post
Share on other sites

Wenn man sowas macht, dann doch bitte richtig mit ISA der die Veröffentlichung vornimmt und daran ein FrontEnd Server.

 

Dann macht man nur nen Port von ISA zum FE auf.

Der Backend Exchange bleibt unberührt. Die Kommunikation findet per RPC statt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...