6
Exchange 2016 - IMAP4 nur von einer internen IP
Hallo,
ich möchte IMAP nur von einer bestimmten IP im Netzwerk an den Exchange zulassen. Wenn ich aber bei der IMAP Konfiguration, statt (Alle verfügbaren IPv4) nur die eine IP-Adresse hinterlege, läßt sich der Dienst "IMAP4" nicht mehr starten.
Was muss ich den beachten, wenn ich IMAP nur für eine interne IP freigeben möchte?
Vielen Dank!
ich möchte IMAP nur von einer bestimmten IP im Netzwerk an den Exchange zulassen. Wenn ich aber bei der IMAP Konfiguration, statt (Alle verfügbaren IPv4) nur die eine IP-Adresse hinterlege, läßt sich der Dienst "IMAP4" nicht mehr starten.
Was muss ich den beachten, wenn ich IMAP nur für eine interne IP freigeben möchte?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666695
Url: https://administrator.de/contentid/666695
Printed on: April 27, 2024 at 02:04 o'clock
6 Comments
Latest comment
Hallo,
wo hast du die Konfiguration vorgenommen? Hast du evtl. das Binding des IMAP-Dienstes angepasst, also unter welcher iP-Adresse der Dienst erreichbar ist? Das würde den Fehler beim Starten des Dienstes erklären.
Nach meinen Wissen (da kann ich aber falsch liegen, wir verwenden IMAP nicht), kannst du das nicht an dem Dienst einstellen. Entweder du machst das an einer vorgelagerten Firewall oder alternativ auf der Windows-Firewall auf dem Server, je nach Netzwerk-Konstellation.
Viele Grüße
wo hast du die Konfiguration vorgenommen? Hast du evtl. das Binding des IMAP-Dienstes angepasst, also unter welcher iP-Adresse der Dienst erreichbar ist? Das würde den Fehler beim Starten des Dienstes erklären.
Nach meinen Wissen (da kann ich aber falsch liegen, wir verwenden IMAP nicht), kannst du das nicht an dem Dienst einstellen. Entweder du machst das an einer vorgelagerten Firewall oder alternativ auf der Windows-Firewall auf dem Server, je nach Netzwerk-Konstellation.
Viele Grüße
Ich würde sowas über die Firewall abfackeln - da es eigentlich gar nich die Aufgabe vom Service beim Exchange ist die abfragende IP zu ermitteln (ganz davon ab das die natürlich auch aus div. Gründen keine wirkliche Sicherheit bietet).
Vorgenommen habe ich die Einstellungen hier:
Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?
Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?
Zitat von @chris123:
Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?
Da IMAP nur von intern erreicht werden soll, muss ich an der Firewall nichts einstellen. Mir ging es nur darum, dass der Exchange nur auf diese eine IP hört. Ich dachte, dass wäre nochmal eine zusätzliche Sicherheit?
Ja, der Exchange hört nur auf diese lokale IP. Das bedeutet, dass der Exchange auf dieser IP seinen IMAP-Dienst anbietet. Da der Exchange aber diese IP garnicht selbst besitzt, startet der Dienst nicht.
Dein Ziel erreichst du nur über eine Firewall, z.B. halt auch über sie Windows-Firewall.
Nein - ist es eben nicht. Denn es gibt da ja verschiedene Wege:
a) Du verwendest (vermutlich) einen Router/Firewall zwischen dem Exchange und dem internen Netzwerk. Da hat dann dein Exchange idR. eh eine private IP und solang du kein Forwarding am Router hast wird da auch erstmal nix ankommen.
b) Die meisten (ernstzunehmenden!) Angriffe finden aus dem internen Netzwerk statt - weil z.B. irgendein Anwender mal wieder auf jedes lustige Mail-Attachment, Werbebanner im Internet,... klickt. Schon würde der Angriff ja aus dem internen Netz erfolgen.
Die IP ist damit erst mal relativ sinnfrei als Kriterium - damit kannst du höchstens mit der groben Keule mal vorsortieren (z.B. alle IPs aus Ländern blockieren - mit dem WISSEN das du da eben ggf. auch noch andere mit erwischt...). Da holst du dann aber nur nen paar Script-Kiddys mit weg und auch nur dann wenn der Exchange direkt im Internet erreichbar wäre (ist aber mehr um die Logfile nich mit völligen Datenmüll vollzusemmeln).
Wenn du den INTERN wirklich schützen willst brauchst du andere Dinge - z.B. 2FA - damit die Passwörter nicht so schnell geknackt werden können. Alles andere is eher "nice to have" - weil jeder halbwegs gute Angriff heute eben erst mal versucht die Arbeitsrechner im internen Netzwerk zu bekommen (die Personen vorm Rechner sind idR. leichter zu überzeugen was auszuführen als die Technik... und es wird auch weniger bei den Personen überwacht als bei den tech. Systemen...). Somit würde dein Exchange einen Angriff über "telnet" von 192.168.1.x auf Port 143 genauso legitim sehen wie nen ipap-login...
a) Du verwendest (vermutlich) einen Router/Firewall zwischen dem Exchange und dem internen Netzwerk. Da hat dann dein Exchange idR. eh eine private IP und solang du kein Forwarding am Router hast wird da auch erstmal nix ankommen.
b) Die meisten (ernstzunehmenden!) Angriffe finden aus dem internen Netzwerk statt - weil z.B. irgendein Anwender mal wieder auf jedes lustige Mail-Attachment, Werbebanner im Internet,... klickt. Schon würde der Angriff ja aus dem internen Netz erfolgen.
Die IP ist damit erst mal relativ sinnfrei als Kriterium - damit kannst du höchstens mit der groben Keule mal vorsortieren (z.B. alle IPs aus Ländern blockieren - mit dem WISSEN das du da eben ggf. auch noch andere mit erwischt...). Da holst du dann aber nur nen paar Script-Kiddys mit weg und auch nur dann wenn der Exchange direkt im Internet erreichbar wäre (ist aber mehr um die Logfile nich mit völligen Datenmüll vollzusemmeln).
Wenn du den INTERN wirklich schützen willst brauchst du andere Dinge - z.B. 2FA - damit die Passwörter nicht so schnell geknackt werden können. Alles andere is eher "nice to have" - weil jeder halbwegs gute Angriff heute eben erst mal versucht die Arbeitsrechner im internen Netzwerk zu bekommen (die Personen vorm Rechner sind idR. leichter zu überzeugen was auszuführen als die Technik... und es wird auch weniger bei den Personen überwacht als bei den tech. Systemen...). Somit würde dein Exchange einen Angriff über "telnet" von 192.168.1.x auf Port 143 genauso legitim sehen wie nen ipap-login...
Vielen Dank für die ausführliche Erklärung!