Exchange 2007 von außen sinnvoll erreichen mit wenig Risiko
Port öffen oder einen Server vorschalten? Was ist sinnvoll?
Hallo,
ich habe einen Exchange 2007 und wir holen derzeit die Mail per POP3 Connector über eine Sammelmailbox ab. Das möchte ich nicht mehr. Nun kann ich den SMTP öffnen und das Relay absichern. Ich bin nur kein Fan von einer direkten Portöffnung. Der Server hängt in keiner DMZ und muss aktiv im Netzwerk kommunizieren.
Gibt es eine Alternative? So etwas wie ein oder zwei "Exchangeproxy", der im WAN hängt und direkt mit dem Exchangeserver kommuniziert und z.B. über LDAP prüft ob die Mailboxen vorhanden sind? So müsste man nur den SMPT und/oder LDAP Port für den Server öffnen und wenn der Server draußen kompromitiert wird, ist das Risiko relativ überschaubar.
Hat jemand da Erfahrungsberichte?
Bin mal gespannt.
Schönen Gruß
derLenhart
Hallo,
ich habe einen Exchange 2007 und wir holen derzeit die Mail per POP3 Connector über eine Sammelmailbox ab. Das möchte ich nicht mehr. Nun kann ich den SMTP öffnen und das Relay absichern. Ich bin nur kein Fan von einer direkten Portöffnung. Der Server hängt in keiner DMZ und muss aktiv im Netzwerk kommunizieren.
Gibt es eine Alternative? So etwas wie ein oder zwei "Exchangeproxy", der im WAN hängt und direkt mit dem Exchangeserver kommuniziert und z.B. über LDAP prüft ob die Mailboxen vorhanden sind? So müsste man nur den SMPT und/oder LDAP Port für den Server öffnen und wenn der Server draußen kompromitiert wird, ist das Risiko relativ überschaubar.
Hat jemand da Erfahrungsberichte?
Bin mal gespannt.
Schönen Gruß
derLenhart
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143172
Url: https://administrator.de/contentid/143172
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
rate mal, warum diverse Postfixe, Sendmailer etc. für genau diesen Zweck *rumhängen*
Ansonsten hilft Dir sicher http://www.msxfaq.de weiter - aber das hättest Du auch mit ner Forumssuche - und / oder Google rausbekommen....
Gruß
24
rate mal, warum diverse Postfixe, Sendmailer etc. für genau diesen Zweck *rumhängen*
Ansonsten hilft Dir sicher http://www.msxfaq.de weiter - aber das hättest Du auch mit ner Forumssuche - und / oder Google rausbekommen....
Gruß
24
Hallo,
Exchange 2007 sieht genau dafür die Edge-Rolle vor. Das ist ein Exchange-Server, der in der DMZ installiert wird, dort Relaying, Spam- und Virenschutz macht. Er ist selber nicht im AD, und erhält die Informationen z.B. über angelegte Empfänger (andere weißt er gleich ab) über die Edge-Synchronization/ADAM (unidirektionaler Push von innen nach außen).
Trotzdem bleibt Filtering m.E. nach eine relativ anspruchsvolle Aufgabe, insofern kann ich ein Hosted Filtering (ein spezialisierter Anbieter, auf den die MX-Records zeigen, der also erstmal alle Mails annimmt & prüft) nur empfehlen.
Mit selbst gebastelten Relays auf Basis Postfix etc kann man zwar quasi alles umsetzen, was man sich überhaupt nur vorstellen kann. Aber dazu muss man sich schon auch gut mit der Materie auskennen, sonst hat man nichts als Ärger. Für Einsteiger (und vor allem Windows-Admins!) dann vielleicht doch lieber oben erwähnter Edge Server. Alternative sind noch zahlreiche auf dem Markt erhältliche Appliances, diese sind i.A. auch sehr gut zu handhaben.
Einen ISA als Reverse-Proxy für SMTP kann ich gar nicht empfehlen. ISA besitzt für SMTP sehr wenig bis keine Intelligenz, bringt also gegenüber einer einfachen Firewallfreischaltung nur für Port 25 keinen wirklichen Vorteil.
Gruß
Filipp
Exchange 2007 sieht genau dafür die Edge-Rolle vor. Das ist ein Exchange-Server, der in der DMZ installiert wird, dort Relaying, Spam- und Virenschutz macht. Er ist selber nicht im AD, und erhält die Informationen z.B. über angelegte Empfänger (andere weißt er gleich ab) über die Edge-Synchronization/ADAM (unidirektionaler Push von innen nach außen).
Trotzdem bleibt Filtering m.E. nach eine relativ anspruchsvolle Aufgabe, insofern kann ich ein Hosted Filtering (ein spezialisierter Anbieter, auf den die MX-Records zeigen, der also erstmal alle Mails annimmt & prüft) nur empfehlen.
Mit selbst gebastelten Relays auf Basis Postfix etc kann man zwar quasi alles umsetzen, was man sich überhaupt nur vorstellen kann. Aber dazu muss man sich schon auch gut mit der Materie auskennen, sonst hat man nichts als Ärger. Für Einsteiger (und vor allem Windows-Admins!) dann vielleicht doch lieber oben erwähnter Edge Server. Alternative sind noch zahlreiche auf dem Markt erhältliche Appliances, diese sind i.A. auch sehr gut zu handhaben.
Einen ISA als Reverse-Proxy für SMTP kann ich gar nicht empfehlen. ISA besitzt für SMTP sehr wenig bis keine Intelligenz, bringt also gegenüber einer einfachen Firewallfreischaltung nur für Port 25 keinen wirklichen Vorteil.
Gruß
Filipp