Exchange direkt in das Internet?
Hi zusammen,
darf euer Exchange direkt in das Internet?
Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)
Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.
Wie macht ihr das?
Danke ;)
darf euer Exchange direkt in das Internet?
Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)
Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.
Wie macht ihr das?
Danke ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1074647317
Url: https://administrator.de/forum/exchange-direkt-in-das-internet-1074647317.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
20 Kommentare
Neuester Kommentar
Moin
Nein. Alleine bei der Frage bekomme ich Gänsehaut. Das einzige was direkt ins Internet darf ist das Modem, dann kommt die Firewall. Kein Gerät darf direkt ins Internet.
Gruß
Doskias
Nein. Alleine bei der Frage bekomme ich Gänsehaut. Das einzige was direkt ins Internet darf ist das Modem, dann kommt die Firewall. Kein Gerät darf direkt ins Internet.
Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt.
Richtig so.Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)
Also erstens ändert Microsoft ja nicht mehrmals am Tag die Adressen und zweitens kannst du ja auch *.microsoft.com in der Firewall für exakt diesen einen Server freigeben.Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.
Was hat das damit zu tun? Der Schadcode wird im Regelfall nicht vom Exchange nachgeladen sondern vom Client-PC im (vermutlich bei dir) Outlook des Anwenders.Gruß
Doskias
Nun beim Hafnium Exploit war das Exploit im Webpanel vom Exchange Server, wenn man wie oben beschrieben den Exchange durch ein Web Application Firewall abgesichert hatte. War man nicht betroffen, da das entsprechende Panel nicht erreichbar war von außen.
Es gäbe noch diese Alternative(englisch):
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.
Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.
Ist halt immer die Frage: Sicherheit oder Komfort?
Gruß
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.
Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.
Ist halt immer die Frage: Sicherheit oder Komfort?
Gruß
Zitat von @preysa:
Es gäbe noch diese Alternative(englisch):
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.
Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.
Ist halt immer die Frage: Sicherheit oder Komfort?
Gruß
Es gäbe noch diese Alternative(englisch):
https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/
So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.
Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.
Ist halt immer die Frage: Sicherheit oder Komfort?
Gruß
Wie oft in der IT steckt der Teufel im Details, also was ist konfiguriert und was kann deine UTM bzgw. deine WAF. wenn man sie halt nur anschaltet und trozdem alles nach drausen weiterleitet wird sie wenig Schutz bringen.
Darum gibt es halt Fälle wo es trozdem durchging und Fälle wo es halt nicht durchging.
Zitat von @leon123:
Allerdings will die GF wieder die E-Mails auf Handy ohne VPN... Hier gibt es in unserer UTM einen Reverse Proxy.
Dafür gibt's doch MDM/MAM inkl. Mikro-VPN.
Zitat von @leon123:
Danke für die Antworten...
Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.
Danke für die Antworten...
Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.
Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.
https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...
Zitat von @leon123:
Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.
Hat jemand eine Idee was hier falsch läuft?
Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.
Hat jemand eine Idee was hier falsch läuft?
Wahrscheinlich ist der Proxy nicht kompatibel mit WinHttp
https://docs.microsoft.com/de-de/microsoft-365/security/defender-endpoin ...
Ich würde wenn eher direkt einen transparent Proxy implementieren als einen klassischen.
Zitat von @149062:
Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.
https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...
Zitat von @leon123:
Danke für die Antworten...
Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.
Danke für die Antworten...
Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.
Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.
https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...
Mach mal folgenden CMD Befehl (mit Admin rechten, die Proxy Einstellung muss auch als Admin gesetzt sein !! )
netsh winhttp import proxy source=ie