chris123
Goto Top

Exchange 2016 - IMAP4 nur von einer internen IP

Hallo,

ich möchte IMAP nur von einer bestimmten IP im Netzwerk an den Exchange zulassen. Wenn ich aber bei der IMAP Konfiguration, statt (Alle verfügbaren IPv4) nur die eine IP-Adresse hinterlege, läßt sich der Dienst "IMAP4" nicht mehr starten.

imap

Was muss ich den beachten, wenn ich IMAP nur für eine interne IP freigeben möchte?

Vielen Dank!

Content-ID: 666695

Url: https://administrator.de/contentid/666695

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

JoeDevlin
JoeDevlin 13.05.2021 um 08:02:09 Uhr
Goto Top
Hallo,

wo hast du die Konfiguration vorgenommen? Hast du evtl. das Binding des IMAP-Dienstes angepasst, also unter welcher iP-Adresse der Dienst erreichbar ist? Das würde den Fehler beim Starten des Dienstes erklären.

Nach meinen Wissen (da kann ich aber falsch liegen, wir verwenden IMAP nicht), kannst du das nicht an dem Dienst einstellen. Entweder du machst das an einer vorgelagerten Firewall oder alternativ auf der Windows-Firewall auf dem Server, je nach Netzwerk-Konstellation.

Viele Grüße
maretz
maretz 13.05.2021 um 08:02:46 Uhr
Goto Top
Ich würde sowas über die Firewall abfackeln - da es eigentlich gar nich die Aufgabe vom Service beim Exchange ist die abfragende IP zu ermitteln (ganz davon ab das die natürlich auch aus div. Gründen keine wirkliche Sicherheit bietet).
chris123
chris123 13.05.2021 um 08:10:04 Uhr
Goto Top
Vorgenommen habe ich die Einstellungen hier:
imap2

Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?
JoeDevlin
JoeDevlin 13.05.2021 um 08:16:45 Uhr
Goto Top
Zitat von @chris123:
Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?

Ja, der Exchange hört nur auf diese lokale IP. Das bedeutet, dass der Exchange auf dieser IP seinen IMAP-Dienst anbietet. Da der Exchange aber diese IP garnicht selbst besitzt, startet der Dienst nicht.

Dein Ziel erreichst du nur über eine Firewall, z.B. halt auch über sie Windows-Firewall.
maretz
Lösung maretz 13.05.2021 um 08:38:53 Uhr
Goto Top
Nein - ist es eben nicht. Denn es gibt da ja verschiedene Wege:
a) Du verwendest (vermutlich) einen Router/Firewall zwischen dem Exchange und dem internen Netzwerk. Da hat dann dein Exchange idR. eh eine private IP und solang du kein Forwarding am Router hast wird da auch erstmal nix ankommen.
b) Die meisten (ernstzunehmenden!) Angriffe finden aus dem internen Netzwerk statt - weil z.B. irgendein Anwender mal wieder auf jedes lustige Mail-Attachment, Werbebanner im Internet,... klickt. Schon würde der Angriff ja aus dem internen Netz erfolgen.

Die IP ist damit erst mal relativ sinnfrei als Kriterium - damit kannst du höchstens mit der groben Keule mal vorsortieren (z.B. alle IPs aus Ländern blockieren - mit dem WISSEN das du da eben ggf. auch noch andere mit erwischt...). Da holst du dann aber nur nen paar Script-Kiddys mit weg und auch nur dann wenn der Exchange direkt im Internet erreichbar wäre (ist aber mehr um die Logfile nich mit völligen Datenmüll vollzusemmeln).

Wenn du den INTERN wirklich schützen willst brauchst du andere Dinge - z.B. 2FA - damit die Passwörter nicht so schnell geknackt werden können. Alles andere is eher "nice to have" - weil jeder halbwegs gute Angriff heute eben erst mal versucht die Arbeitsrechner im internen Netzwerk zu bekommen (die Personen vorm Rechner sind idR. leichter zu überzeugen was auszuführen als die Technik... und es wird auch weniger bei den Personen überwacht als bei den tech. Systemen...). Somit würde dein Exchange einen Angriff über "telnet" von 192.168.1.x auf Port 143 genauso legitim sehen wie nen ipap-login...
chris123
chris123 13.05.2021 um 09:59:55 Uhr
Goto Top
Vielen Dank für die ausführliche Erklärung!