Jump to content

Exchange 201X mit Port 443 im Internet richtig absichern

Dutch_OnE

Von Dutch_OnE
in MS Exchange Forum

Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dutch_OnE Veteran

Dutch_OnE   40

Geschrieben
  • Autor
Geschrieben

In meinem Szenario sind Exchange und Mail-Virenscanner mit Spamfunktion auf dem selben Server. Kann man die Software von F-Secure E-Mail und Server Security V15 von der Sicherheit als akzeptabel betrachten und würde es die Sicherheit erhöhen, wenn der Virenschutz auf einem vorgelagerten Server in einer DMZ ausgeführt wird?

NorbertFe Grand Master

NorbertFe   2.283

Geschrieben
Geschrieben
vor 2 Minuten schrieb Dutch_OnE:

würde es die Sicherheit erhöhen, wenn der Virenschutz auf einem vorgelagerten Server in einer DMZ ausgeführt wird?

Pauschal: Ja, aber nicht unbedingt, weil der Virenschutz ausgelagert wird, sondern weil die Verbindung vom Internet aus nicht im internen Netz landet. ;)

mwiederkehr Veteran

mwiederkehr   395

Geschrieben
Geschrieben

Virenscanner müssen wesentlich mehr mit potenziell gefährlichen Daten machen als Mailserver. Sie müssen die Anhänge öffnen und analysieren. Dabei besteht die Möglichkeit, dass Sicherheitslücken im Viewer für einen Dateityp ausgenutzt werden. Auch deshalb ist es sinnvoll, den Virenscanner auf einem separaten System (muss nicht Windows sein) zu betreiben.

Dutch_OnE Veteran

Dutch_OnE   40

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Am 4.1.2023 um 22:40 schrieb teletubbieland:

Ich nutze die Regel

New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges x.x.x.x/24"

um zu verhindern, dass man sich von extern einloggen kann.

Ist vielleicht nicht 100%ig, aber trägt zur Sicherheit bei.

 

Ich habe die Regel an einem E2019 mal eingerichtet. laut dem Test cmdlet scheint diese auch zu funktionieren. Greife ich aus dem Internet drauf zu, sehe ich aber das Exchange Admin Center weiterhin. In der URL steht dann aber auch nicht mehr blablabla\ecp, sondern blablabla\owa. 

Eine Idee, was ich hier falsch gemacht haben könnte?

 

Update:

OK, die Block Meldung erscheint erst, wenn man sich anmeldet.

bearbeitet von Dutch_OnE
Dutch_OnE Veteran

Dutch_OnE   40

Geschrieben
  • Autor
Geschrieben

@NorbertFe

 

Mit zweiten Connector meinst Du das hier?

 

Zitat

Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;)

Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt.

 

Bye

Norbert

 

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...