leon123
Goto Top

Exchange direkt in das Internet?

Hi zusammen,

darf euer Exchange direkt in das Internet?

Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)

Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.

Wie macht ihr das?

Danke ;)

Content-Key: 1074647317

Url: https://administrator.de/contentid/1074647317

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: tikayevent
tikayevent 22.07.2021 um 11:52:21 Uhr
Goto Top
darf euer Exchange direkt in das Internet?
Nein
Wie macht ihr das?
Sämtlicher Traffic läuft durch eine Proxy-Kaskade, egal ob SMTP, MAPI oder HTTP(S), Updates kommen vom WSUS.
Mitglied: itisnapanto
itisnapanto 22.07.2021 um 11:53:42 Uhr
Goto Top
Hallo,

Exchange ist hinter einer WAF (Web Application Firewall)

Gruss
Mitglied: Doskias
Doskias 22.07.2021 um 13:14:27 Uhr
Goto Top
Moin
Zitat von @leon123:
Hi zusammen,
darf euer Exchange direkt in das Internet?
Nein. Alleine bei der Frage bekomme ich Gänsehaut. Das einzige was direkt ins Internet darf ist das Modem, dann kommt die Firewall. Kein Gerät darf direkt ins Internet.

Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt.
Richtig so.

Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)
Also erstens ändert Microsoft ja nicht mehrmals am Tag die Adressen und zweitens kannst du ja auch *.microsoft.com in der Firewall für exakt diesen einen Server freigeben.

Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.
Was hat das damit zu tun? Der Schadcode wird im Regelfall nicht vom Exchange nachgeladen sondern vom Client-PC im (vermutlich bei dir) Outlook des Anwenders.

Gruß
Doskias
Mitglied: leon123
leon123 22.07.2021 um 13:30:28 Uhr
Goto Top
Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...
Mitglied: Scirca
Scirca 22.07.2021 um 13:53:05 Uhr
Goto Top
Zitat von @leon123:

Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...

Nun beim Hafnium Exploit war das Exploit im Webpanel vom Exchange Server, wenn man wie oben beschrieben den Exchange durch ein Web Application Firewall abgesichert hatte. War man nicht betroffen, da das entsprechende Panel nicht erreichbar war von außen.
Mitglied: leon123
leon123 22.07.2021 um 14:27:27 Uhr
Goto Top
Zitat von @Scirca:

Zitat von @leon123:

Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...

Nun beim Hafnium Exploit war das Exploit im Webpanel vom Exchange Server, wenn man wie oben beschrieben den Exchange durch ein Web Application Firewall abgesichert hatte. War man nicht betroffen, da das entsprechende Panel nicht erreichbar war von außen.


Dazu braucht man aber einen Reverse Proxy?

Welche Dienste benötige ich eigentlich für die Handys?
Mir bekannt: /owa|/autodiscover|/ecp|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange

owa, autodiscover und Microsoft-Server-ActiveSync sollte doch für eine APP wie GMail reichen?
Mitglied: preysa
preysa 22.07.2021 um 14:27:38 Uhr
Goto Top
Wie schon von allen geschrieben würde ich den Exchange nie direkt an das Internet hängen.

Emails gehen vom Exchange per Smarthost an die UTM, diese versendet dann per postfix/smtp weiter.

OWA wurde seit Hafnium komplett ins VPN verfrachtet.

Gruß
Mitglied: leon123
leon123 22.07.2021 um 14:35:18 Uhr
Goto Top
Zitat von @preysa:

Wie schon von allen geschrieben würde ich den Exchange nie direkt an das Internet hängen.

Emails gehen vom Exchange per Smarthost an die UTM, diese versendet dann per postfix/smtp weiter.

OWA wurde seit Hafnium komplett ins VPN verfrachtet.

Gruß

So ist es bei uns auch...


Allerdings will die GF wieder die E-Mails auf Handy ohne VPN... Hier gibt es in unserer UTM einen Reverse Proxy.
Mitglied: preysa
preysa 22.07.2021 aktualisiert um 14:42:21 Uhr
Goto Top
Es gäbe noch diese Alternative(englisch):

https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/

So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.

Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.

Ist halt immer die Frage: Sicherheit oder Komfort?

Gruß
Mitglied: Scirca
Scirca 22.07.2021 um 14:44:46 Uhr
Goto Top
Zitat von @preysa:

Es gäbe noch diese Alternative(englisch):

https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/

So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.

Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.

Ist halt immer die Frage: Sicherheit oder Komfort?

Gruß

Wie oft in der IT steckt der Teufel im Details, also was ist konfiguriert und was kann deine UTM bzgw. deine WAF. wenn man sie halt nur anschaltet und trozdem alles nach drausen weiterleitet wird sie wenig Schutz bringen.
Darum gibt es halt Fälle wo es trozdem durchging und Fälle wo es halt nicht durchging.
Mitglied: mbehrens
mbehrens 22.07.2021 um 18:20:40 Uhr
Goto Top
Zitat von @leon123:

Allerdings will die GF wieder die E-Mails auf Handy ohne VPN... Hier gibt es in unserer UTM einen Reverse Proxy.

Dafür gibt's doch MDM/MAM inkl. Mikro-VPN.
Mitglied: MysticFoxDE
MysticFoxDE 22.07.2021 um 20:15:10 Uhr
Goto Top
Moin Leon,

darf euer Exchange direkt in das Internet?

meinst du so ganz alleine ohne Leine? 🙃

Nein auf gar keinen Fall, nur durch einen Proxy, sprich mit Leine.
Und aus dem bösen Internet darf auch keiner direkt drauf, der Weg ist über ne WAF, SMTP Proxy & Co abgesichert.

Beste Grüsse aus BaWü

Alex
Mitglied: leon123
leon123 22.07.2021 aktualisiert um 22:12:02 Uhr
Goto Top
Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe. Erst ging die Exchange Management Shell nicht. Ich hab jetzt bei den Ausnahmen *.firma.local und *.firma.de hinzugefügt, jetzt scheint zumindest die Management Shell wieder zu laden.

Ich habe Allerdings immer folgende Einträge im Eventlog:
Fehler bei der Anforderung. Postfach:  URL: https://o15.officeredir.microsoft.com/r/(...) Ausnahme: System.Net.WebException: Die Verbindung mit dem Remoteserver kann nicht hergestellt werden. ---> System.Net.Sockets.SocketException: Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat 5------6:443

In der UTM ist eigentlich *.microsoft.com freigegeben. Update kommen ja auch über den Proxy.
Mit Set-ExchangeServer ServerName -InternetWebProxy http://192.168.188.1:8080 habe ich den Proxy auch im Exchange gesetzt. Dennoch erhalte ich immer noch die Fehlermeldungen.

Die neuste Warnung ist seitdem ich den Proxy gesetzt habe: Warnung 22.07.2021 21:19:36 ASP.NET 4.0.30319.0 1309 Web Event
Hier wird versucht auf Request URL: https://mx01.firma.local:444/rpc/rpcproxy.dll?localhost:6001 zuzugreifen...

Im Exchange 2013 kann ich keine Bypass Liste setzen. Den Befehl gibt es erst ab 2016... Ich vermute diese Warnung kommt wegen dem Proxy im Exchange Server. Im Systemproxy ist mx01.firma.local als Ausnahme hinzugefügt (zusätzlich ist auch *.firmal.ocal als Ausnahme hinzugefügt... sicher ist sicher haha)
Mitglied: 149062
149062 22.07.2021 aktualisiert um 22:30:21 Uhr
Goto Top
Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...
Mitglied: leon123
leon123 22.07.2021 um 22:32:22 Uhr
Goto Top
Danke für deine Antwort... aber den Systemproxy habe ich schon gesetzt.
Mitglied: leon123
leon123 23.07.2021 um 10:34:30 Uhr
Goto Top
Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?
Mitglied: 149062
149062 23.07.2021 aktualisiert um 11:41:34 Uhr
Goto Top
Zitat von @leon123:

Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?

Wahrscheinlich ist der Proxy nicht kompatibel mit WinHttp
https://docs.microsoft.com/de-de/microsoft-365/security/defender-endpoin ...

Ich würde wenn eher direkt einen transparent Proxy implementieren als einen klassischen.
Mitglied: TomTomBon
TomTomBon 23.07.2021 um 11:44:15 Uhr
Goto Top
Zitat von @149062:

Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...

Mach mal folgenden CMD Befehl (mit Admin rechten, die Proxy Einstellung muss auch als Admin gesetzt sein !! )

netsh winhttp import proxy source=ie
Mitglied: leon123
leon123 23.07.2021 um 12:25:38 Uhr
Goto Top
Zitat von @TomTomBon:

Zitat von @149062:

Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...

Mach mal folgenden CMD Befehl (mit Admin rechten, die Proxy Einstellung muss auch als Admin gesetzt sein !! )

netsh winhttp import proxy source=ie

Das mach ich immer so, ist einfach einfacher. Mit show hab ich den Proxy angezeigt, er ist eingetragen mit Umgehungsliste die ich vorher in den Internetoptionen eingetragen habe...
Mitglied: leon123
leon123 23.07.2021 um 12:26:21 Uhr
Goto Top
Zitat von @149062:

Zitat von @leon123:

Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?

Wahrscheinlich ist der Proxy nicht kompatibel mit WinHttp
https://docs.microsoft.com/de-de/microsoft-365/security/defender-endpoin ...

Ich würde wenn eher direkt einen transparent Proxy implementieren als einen klassischen.

unser Proxy hat Benutzer Authentifizierung, das wird mit transparenten Proxy schwer..