Exchange Port 25 und 443 absichern

[Dutch_OnE 40]

Moin,

 

zur Zeit habe ich einen Bintec Router, der per NAT 443 und 25 auf den Exchange weiterleitet. Das ist natürlich nicht sehr optimal.

Ich suche eine smarte Kiste, die ich zwischen Router und Exchange dazwischenstellen kann, um 443 und 25 nochmal ein wenig zu filtern.

 

Den Hauptrouter würde ich gerne bestehen lassen, da dort viele VPNs eingerichtet sind. Die UTM von Secure Point ist mir eigentlich schon fast zu mächtig. 

Irgendwie habe ich mal bei Heise gelesen, dass die eine kleine Box vor Ihren Exchange bauen, damit das sicher wird.

Hat da jemand einen guten Tipp?

 

Gruß DO

[Stephan Betken 43]

Moin,

 

die Sophos UTM vielleicht eine Option! Gibt es je nach Größenordnung schon für schmales Geld als Appliance oder als Software bzw. VM.

[NorbertFe 2.277]

Port 25 seh ich relativ unkritisch, wenn dort nur anonyme Zugriffe erlaubt sind. Für Port 443 gibts diverse Reverse Proxy Lösungen.

[Dutch_OnE 40]

Erst einmal vielen Dank. @NorbertFe hast Du da einen konkreten Tipp?

[NorbertFe 2.277]

Sophos funktioniert ganz gut (sowohl sg (aber jetzt mit eol angekündigt) als auch die xgs). Bei vielen Kunden hab ich kemp im Einsatz. Das is ganz gut und deutlich logischer. Kannst du in der Free Edition ja testen. Die hat vieles drin was man sonst kaufen müßte. Waf gibts bei kemp aber nur gegen Bezahlung.

[Dutch_OnE 40]

Kannst Du mir auch sagen, warum Perpetual (Ewig) bei 2.000€ liegt und das 1 Jahres Abo bei 1.750€? 

[NorbertFe 2.277]

Weil bei perpetual nur die standard features dabei sind und weitere dann per subscription dazukommen. Wenn du nur subscription kaufst hast du immer Enterprise. (Aus dem Gedächtnis) wenn du es genau brauchst, muss ich morgen nachschauen, sag mir dann kurz Bescheid.

[Nobbyaushb 1.580]

vor 3 Stunden schrieb Dutch_OnE:

 

Irgendwie habe ich mal bei Heise gelesen, dass die eine kleine Box vor Ihren Exchange bauen, damit das sicher wird.

Vielleicht wurden die deshalb gehakt? (schreibt man das auf DE jetzt mit oder ohne "c"?)

Reverse-Proxy fängt schon mal eine Menge weg

Ebenso die Weiterleitung von Port 25 an den Exchange, da gehen dann geoblocking usw.

Es gibt meiner Erfahrung nicht DIE Lösung - was für den einen Kunden absolut OK ist, kann für den anderen entweder vie zu klein oder völlig oversized sein.

Und das ist nichts statisches wie ein Switch (früher) mit Plug-and-forget

Egal welche UTM oder wie immer das bei den Herstellern benannt worden ist muss gepflegt werden - täglich

Was heute gut ist kann schon übermorgen total gefährlich sein...

Ixh habe - alleine wegen der sehr schnellen Leitung - eine SecurPoint RC200G5 laufen - weil meine Daten meine Daten sind

Selbt wenn ich mal alles in die Wolke packe wird das Teil da bleiben

 

my2cent

[NorbertFe 2.277]

vor 6 Minuten schrieb Nobbyaushb:

Ebenso die Weiterleitung von Port 25 an den Exchange, da gehen dann geoblocking usw.

Ich weiß, aber wie gesagt Port 25 empfinde ich als relativ unkritisch, wenn nur anonym drauf ist. Und geoblocking geht ja unabhängig davon pro Protokoll, wenn man die richtige Firewall nutzt. Dann ist das je nach Umgebung durchaus vertretbar, wenn man noch einen vernünftigen spamfilter drauf hat. Wenn’s mehr sein darf, geht das natürlich immer und grad im spamfilter/smtp Umfeld gibts ja nun wirklich jede Menge Lösungen. Welche da passt, muss man halt probieren.

[Sunny61 833]

vor 14 Stunden schrieb Nobbyaushb:

(schreibt man das auf DE jetzt mit oder ohne "c"?)

Mit c, also gehackt: ;)