Dutch_OnE 40 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 Moin, bei einer Umgebung, zeigt der MX Eintrag direkt auf die offizielle IP, wo der Exchange Server steht. Zur Zeit sind Port 443 und 25 direkt per NAT auf den Server durchgeleitet. Ein offizielles Zertifikat ist vorhanden. Auf dem Exchange Server ist ein Mailscanner der Firma F-Secure installiert. Die Windows Firewall steht auf Default Einstellungen. Speziell für OWA, ActiveSync, ECP ... ist keine erweiterte Absicherung vorhanden. Default ECP würde ich für intern und extern sperren und über eine weitere Site mit anderem Port für interne Zugriff öffnen. Gibt es eine smarte UTM / WAF Lösung? Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen. Kann man OWA via Exchange Shell komplett deaktivieren? Kann man im Active Sync für ein Postfach nur bestimmt Mobilgeräte zulassen? Gruß DO
cj_berlin 1.508 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 vor 13 Minuten schrieb Dutch_OnE: Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen Das kannst Du nicht, zumindest keinen Mailbox-Server. Exchange muss ungehinderten Zugang zu mindestens einem schreibbaren Domain Controller haben, der in der gleichen AD-Site steht. vor 15 Minuten schrieb Dutch_OnE: Kann man im Active Sync für ein Postfach nur bestimmt Mobilgeräte zulassen? Stichwort: Quarantäne. vor 16 Minuten schrieb Dutch_OnE: Kann man OWA via Exchange Shell komplett deaktivieren? Nein, dann funktioniert ECP nicht mehr. Du kannst OWA aber für alle Postfächer deaktivieren.
NorbertFe 2.283 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 vor 19 Minuten schrieb Dutch_OnE: Default ECP würde ich für intern und extern sperren Je nach Version funktionieren dann diverse Funktionen in owa nicht mehr. Ich würd eher mal über mfa für owa und exp nachdenken. vor 22 Minuten schrieb Dutch_OnE: Den Exchange sollte ich auf jeden Fall noch in eine DMZ packen Keine Firewall zwischen dc und exchange mailboxservern erlaubt. Und dann kannst du dir die dmz auch sparen. ;) als Tipp, Port 25 auf keinen Fall von extern per Authentifizierung anbieten, und auch die anderen Protokolle, imap, Pop und smtp 587 am besten nicht verwenden.
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 Erst einmal vielen Dank. Ich bin über den Link "gestolpert" https://administrator.de/forum/absicherung-exchange-server-1099666010.html Die anderen Protokolle sollten deaktiviert sein. Was mich sehr interessiert ist das Thema UTM für die Exchange Dienste. Habe ihr da irgendwas im Einsatz?
Beste Lösung NorbertFe 2.283 Geschrieben 4. Januar 2023 Beste Lösung Melden Geschrieben 4. Januar 2023 Da tuts die oft vorhandene Sophos sg oder xgs ganz ok. Alternativ kann man auch kemp nehmen, die sind da ganz fit und bieten deutlich mehr Möglichkeiten als bspw. die Sophos. Je nachdem wieviel man selbst investieren will oder kann, geht natürlich auch https://www.frankysweb.de/apache-als-reverse-proxy-fuer-exchange-server-teil-1/amp/ aber da sollte man sich dann eben auch damit beschäftigen (gut, bei den anderen Dingen auch).
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 Das ist doch schon mal ein guter Tipp. Die werde ich mir mal anschauen, ggf. hatte ich noch die Securepoint aus Lüneburg als Alternative mir ausgesucht. Auf jeden Fall ist mir der Bintec Router mit durchgeleiteter NAT definitiv zu wenig, da muss nachgebessert werden. vor 37 Minuten schrieb NorbertFe: als Tipp, Port 25 auf keinen Fall von extern per Authentifizierung anbieten Hierbei geht es doch um die Einstellungen der Exchange Empfangsconnectoren oder?
NorbertFe 2.283 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 (bearbeitet) vor 4 Minuten schrieb Dutch_OnE: Bintec Router Ist jetzt auch nichts was ich unter Firewall oder waf abheften würde. ;) vor 4 Minuten schrieb Dutch_OnE: Hierbei geht es doch um die Einstellungen der Exchange Empfangsconnectoren oder? Ja leider verwenden viele den default connector und aktivieren auf ihm die Authentifizierung. Empfehlenswert, wenn man kein eigenes relay davor schalten kann oder will, ist ein eigener receive connector der aus dem Internet nur anonym zulässt und korrekten ehlo String und Zertifikat anbietet. persönlich bin ich ein Freund des exchange Edge, aber da steh ich vermutlich allein auf weiter Flur. ;) bearbeitet 4. Januar 2023 von NorbertFe
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 Danke für die Info. Nochmal als Lösung kann ich aber leider nicht anklicken. Gruß und schönen Abend.
teletubbieland 215 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 Ich nutze die Regel New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges x.x.x.x/24" um zu verhindern, dass man sich von extern einloggen kann. Ist vielleicht nicht 100%ig, aber trägt zur Sicherheit bei.
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 Super und vielen Dank für den Tipp. Ich glaube, dass meinte Norbert: Exchange 2019:- Set TLS Certificate name on your receive connector. – Everything-PowerShell
NorbertFe 2.283 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 Das dürfte aber afaik nur mit 2019 funktionieren. 2016 geht nicht: https://learn.microsoft.com/en-us/exchange/clients/client-access-rules/client-access-rules?view=exchserver-2019
teletubbieland 215 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 Gerade eben schrieb NorbertFe: Das dürfte aber afaik nur mit 2019 funktionieren. 2016 geht nicht: https://learn.microsoft.com/en-us/exchange/clients/client-access-rules/client-access-rules?view=exchserver-2019 das stimmt.
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 vor 30 Minuten schrieb NorbertFe: Ja leider verwenden viele den default connector und aktivieren auf ihm die Authentifizierung. Empfehlenswert, wenn man kein eigenes relay davor schalten kann oder will, ist ein eigener receive connector der aus dem Internet nur anonym zulässt und korrekten ehlo String und Zertifikat anbietet. ist das im Default Connector nicht automatisch so eingestellt? Per Default sind ja alle Authentifizierungen, bis auf "Extern gesichert" ausgewählt.
NorbertFe 2.283 Geschrieben 4. Januar 2023 Melden Geschrieben 4. Januar 2023 (bearbeitet) vor 4 Minuten schrieb Dutch_OnE: Per Default sind ja alle Authentifizierungen, bis auf "Extern gesichert" ausgewählt. Nein default ist nicht alles gewählt sondern mailbox User ist auch deaktiviert. https://learn.microsoft.com/en-us/exchange/mail-flow/connectors/receive-connectors?view=exchserver-2019#default-receive-connectors-created-during-setup Deswegen mein Hinweis, dass man sowas am besten mit einem eigenen connector regelt. Oder noch besser - relay in die dmz. bearbeitet 4. Januar 2023 von NorbertFe
Dutch_OnE 40 Geschrieben 4. Januar 2023 Autor Melden Geschrieben 4. Januar 2023 OK, unten in den Berechtigungen. Sorry, die habe ich nicht betrachtet.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden