Jump to content

Exchange direkt aus dem Internet erreichbar machen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ist es mit einem Risiko verbunden, einen Exchange Server 2003 direkt aus dem Internet erreichbar zu machen (Portweiterleitung / NAT auf der Firewall)?

 

Ist das mit Risiken verbunden? Ich bin der Meinung, dass man das nicht so machen sollte, da auf einem Exchange Server in der Regel wichtige Daten liegen.

 

Was meint Ihr?

 

User7070

Link zu diesem Kommentar

Hi,

 

man kann es so machen, wobei in sensiblen Umfeldern dann eigentlich ein Frontend oder gleich ein ISA in die DMZ gehören. Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ nach innen ziemlich aufmachen musst. Bei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen.

 

Gruß

 

woiza

Link zu diesem Kommentar
Das Problem ist ja nicht nur der direkte Zugriff auf den Exchange von aussen, hoffentlich nur auf Port 25/443, sondern auch, dass du deine DMZ ziemlich RBei uns laufen die Mails aus dem Internet erst über 2 andere Systeme, bevor sie auf dem Exchange landen.

 

Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect:

 

@User7070

 

Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann.

Link zu diesem Kommentar

Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen.

Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden.

 

Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben.

 

Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP).

 

Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP)

und bei OWA über HTTPS zusätzlich 443 TCP und UDP

 

Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt.

Link zu diesem Kommentar
Ehm ja, ich kann mir ungefähr vorstellen, was du mit diesen Satzbruchstücken sagen wolltest :suspect:

 

@User7070

 

Ich würde das niemals direkt veröffentlichen. Es ist sehr sinnvoll wenn davor ein ISA Server oder ähnliche Application Layer-Firewall steht, die die Zugriffe ggf. Filtern kann.

 

Off-Topic:

 

Ohja,

 

da hatte ich um die Uhrzeit wohl noch etwas Streit mit meiner Notebooktastatur. Habs korrigiert, danke für den Hinweis...

 

Link zu diesem Kommentar
Einen Exchangeserver würde ich prinzipiell, wenn ohne POP-Connectoren gearbeitet werden soll, in eine DMZ stellen.

Jeder Dienst, der aus dem Internet erreichbar ist, ist prinzipiell angreifbar und mit Risiken verbunden.

 

Das ist richtig, allerdings ist bei einem kompromittierten Exchange ein riesen Scheunentor ins interne LAN verfügbar, weil in Richtung DC fast alles aufzumachen ist. Ob man da noch von einer DMZ sprechen kann, ist fraglich. Wenn ein Postfix in der DMZ steht, dann ist nach innen und aussen nur 25 offen. Sollte der Postfix kompromittiert werden, hätte der Angreifer nach innen nur 25 offen. Von meinen Domänendaten ist er dann noch weit entfernt.

 

Wenn ich OWA möchte, würde ich evtl. über nen ISA nachdenken. Klar bei einer kleinen Struktur ist das vielleicht ein bißchen viel Aufwand, aber sicherer wäre es ohne Exchange direkt in der DMZ.

 

Deshalb würde ich die Gefahr auch durch die DMZ minimieren, und nur die zwingend benötigten Ports freigeben.

 

Nach außen hin Port 110 TCP (POP3) ausgehend öffnen, eingehend Port 25 TCP (SMTP).

 

Wenn Du OWA einsetzen willst, zusätzlich Port 80 TCP (HTTP)

und bei OWA über HTTPS zusätzlich 443 TCP und UDP

 

Ports für direkte Exchange-Verbindung sind mir leider derzeit unbekannt.

 

Falls du mit direkter E2k3-Verbindung MAPI von außen meinst, würde ich auf RPC over HTTP zurückgreifen, dann reichen die genannten Ports. Ansonsten müsste ich ja nach außen RPC und eine Latte Highports aufmachen.

 

Das Problem ist aber, dass nach INNEN alles aufzumachen ist, was ein AD-Client so braucht.

 

Gruß

 

woiza

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...