Exchange direkt in das Internet?

Mitglied: leon123
Hi zusammen,

darf euer Exchange direkt in das Internet?

Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt. Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)

Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.

Wie macht ihr das?

Danke ;)

Content-Key: 1074647317

Url: https://administrator.de/contentid/1074647317

Ausgedruckt am: 27.07.2021 um 11:07 Uhr

Mitglied: tikayevent
tikayevent 22.07.2021 um 11:52:21 Uhr
Goto Top
darf euer Exchange direkt in das Internet?
Nein
Wie macht ihr das?
Sämtlicher Traffic läuft durch eine Proxy-Kaskade, egal ob SMTP, MAPI oder HTTP(S), Updates kommen vom WSUS.
Mitglied: itisnapanto
itisnapanto 22.07.2021 um 11:53:42 Uhr
Goto Top
Hallo,

Exchange ist hinter einer WAF (Web Application Firewall)

Gruss
Mitglied: Doskias
Doskias 22.07.2021 um 13:14:27 Uhr
Goto Top
Moin
Zitat von @leon123:
Hi zusammen,
darf euer Exchange direkt in das Internet?
Nein. Alleine bei der Frage bekomme ich Gänsehaut. Das einzige was direkt ins Internet darf ist das Modem, dann kommt die Firewall. Kein Gerät darf direkt ins Internet.

Unser Exchange ist hinter einem Webfilter, der die Server nur auf bestimmte Seiten raus lässt.
Richtig so.

Allerdings ändert Microsoft ständig seine URLs und auch einige andere Zugriffe die der Exchange nach Hause macht, erscheinen im Eventlog weil ich diese noch nicht in der Firewall freigegeben habe. (z.B. https://o15.officeredir.microsoft.com --> MSEchangeApplicationLogic 3018 Fehler täglich mehrmals.)
Also erstens ändert Microsoft ja nicht mehrmals am Tag die Adressen und zweitens kannst du ja auch *.microsoft.com in der Firewall für exakt diesen einen Server freigeben.

Wenn der Exchange nicht direkt ins Internet darf hat halt den Vorteil, dass kein Schadcode nachgeladen werden kann.
Was hat das damit zu tun? Der Schadcode wird im Regelfall nicht vom Exchange nachgeladen sondern vom Client-PC im (vermutlich bei dir) Outlook des Anwenders.

Gruß
Doskias
Mitglied: leon123
leon123 22.07.2021 um 13:30:28 Uhr
Goto Top
Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...
Mitglied: Scirca
Scirca 22.07.2021 um 13:53:05 Uhr
Goto Top
Zitat von @leon123:

Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...

Nun beim Hafnium Exploit war das Exploit im Webpanel vom Exchange Server, wenn man wie oben beschrieben den Exchange durch ein Web Application Firewall abgesichert hatte. War man nicht betroffen, da das entsprechende Panel nicht erreichbar war von außen.
Mitglied: leon123
leon123 22.07.2021 um 14:27:27 Uhr
Goto Top
Zitat von @Scirca:

Zitat von @leon123:

Also beim Exchange Exploit hat der Exchange Schadcode nachgeladen...

Nun beim Hafnium Exploit war das Exploit im Webpanel vom Exchange Server, wenn man wie oben beschrieben den Exchange durch ein Web Application Firewall abgesichert hatte. War man nicht betroffen, da das entsprechende Panel nicht erreichbar war von außen.


Dazu braucht man aber einen Reverse Proxy?

Welche Dienste benötige ich eigentlich für die Handys?
Mir bekannt: /owa|/autodiscover|/ecp|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange

owa, autodiscover und Microsoft-Server-ActiveSync sollte doch für eine APP wie GMail reichen?
Mitglied: preysa
preysa 22.07.2021 um 14:27:38 Uhr
Goto Top
Wie schon von allen geschrieben würde ich den Exchange nie direkt an das Internet hängen.

Emails gehen vom Exchange per Smarthost an die UTM, diese versendet dann per postfix/smtp weiter.

OWA wurde seit Hafnium komplett ins VPN verfrachtet.

Gruß
Mitglied: leon123
leon123 22.07.2021 um 14:35:18 Uhr
Goto Top
Zitat von @preysa:

Wie schon von allen geschrieben würde ich den Exchange nie direkt an das Internet hängen.

Emails gehen vom Exchange per Smarthost an die UTM, diese versendet dann per postfix/smtp weiter.

OWA wurde seit Hafnium komplett ins VPN verfrachtet.

Gruß

So ist es bei uns auch...


Allerdings will die GF wieder die E-Mails auf Handy ohne VPN... Hier gibt es in unserer UTM einen Reverse Proxy.
Mitglied: preysa
preysa 22.07.2021 aktualisiert um 14:42:21 Uhr
Goto Top
Es gäbe noch diese Alternative(englisch):

https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/

So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.

Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.

Ist halt immer die Frage: Sicherheit oder Komfort?

Gruß
Mitglied: Scirca
Scirca 22.07.2021 um 14:44:46 Uhr
Goto Top
Zitat von @preysa:

Es gäbe noch diese Alternative(englisch):

https://www.alitajran.com/disable-external-access-to-ecp-exchange-2016/

So hatten wir es bei uns gemacht und wir waren, vielleicht nur aus Glück, nicht von Hafnium damals betroffen.

Ansonsten bleibt wohl nur ein Reverse Proxy. Ich hatte aber auch von Leute gelesen, die trotz Reverse Proxy von Hafnium betroffen waren. Wie der RP konfiguriert war weiß ich nicht, aber anscheinend ist ein RP nicht unbedingt die Lösung gegen alle Angriffe.

Ist halt immer die Frage: Sicherheit oder Komfort?

Gruß

Wie oft in der IT steckt der Teufel im Details, also was ist konfiguriert und was kann deine UTM bzgw. deine WAF. wenn man sie halt nur anschaltet und trozdem alles nach drausen weiterleitet wird sie wenig Schutz bringen.
Darum gibt es halt Fälle wo es trozdem durchging und Fälle wo es halt nicht durchging.
Mitglied: mbehrens
mbehrens 22.07.2021 um 18:20:40 Uhr
Goto Top
Zitat von @leon123:

Allerdings will die GF wieder die E-Mails auf Handy ohne VPN... Hier gibt es in unserer UTM einen Reverse Proxy.

Dafür gibt's doch MDM/MAM inkl. Mikro-VPN.
Mitglied: MysticFoxDE
MysticFoxDE 22.07.2021 um 20:15:10 Uhr
Goto Top
Moin Leon,

darf euer Exchange direkt in das Internet?

meinst du so ganz alleine ohne Leine? 🙃

Nein auf gar keinen Fall, nur durch einen Proxy, sprich mit Leine.
Und aus dem bösen Internet darf auch keiner direkt drauf, der Weg ist über ne WAF, SMTP Proxy & Co abgesichert.

Beste Grüsse aus BaWü

Alex
Mitglied: leon123
leon123 22.07.2021 aktualisiert um 22:12:02 Uhr
Goto Top
Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe. Erst ging die Exchange Management Shell nicht. Ich hab jetzt bei den Ausnahmen *.firma.local und *.firma.de hinzugefügt, jetzt scheint zumindest die Management Shell wieder zu laden.

Ich habe Allerdings immer folgende Einträge im Eventlog:

In der UTM ist eigentlich *.microsoft.com freigegeben. Update kommen ja auch über den Proxy.
Mit Set-ExchangeServer ServerName -InternetWebProxy http://192.168.188.1:8080 habe ich den Proxy auch im Exchange gesetzt. Dennoch erhalte ich immer noch die Fehlermeldungen.

Die neuste Warnung ist seitdem ich den Proxy gesetzt habe: Warnung 22.07.2021 21:19:36 ASP.NET 4.0.30319.0 1309 Web Event
Hier wird versucht auf Request URL: https://mx01.firma.local:444/rpc/rpcproxy.dll?localhost:6001 zuzugreifen...

Im Exchange 2013 kann ich keine Bypass Liste setzen. Den Befehl gibt es erst ab 2016... Ich vermute diese Warnung kommt wegen dem Proxy im Exchange Server. Im Systemproxy ist mx01.firma.local als Ausnahme hinzugefügt (zusätzlich ist auch *.firmal.ocal als Ausnahme hinzugefügt... sicher ist sicher haha)
Mitglied: evoplus
evoplus 22.07.2021 aktualisiert um 22:30:21 Uhr
Goto Top
Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...
Mitglied: leon123
leon123 22.07.2021 um 22:32:22 Uhr
Goto Top
Danke für deine Antwort... aber den Systemproxy habe ich schon gesetzt.
Mitglied: leon123
leon123 23.07.2021 um 10:34:30 Uhr
Goto Top
Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?
Mitglied: evoplus
evoplus 23.07.2021 aktualisiert um 11:41:34 Uhr
Goto Top
Zitat von @leon123:

Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?

Wahrscheinlich ist der Proxy nicht kompatibel mit WinHttp
https://docs.microsoft.com/de-de/microsoft-365/security/defender-endpoin ...

Ich würde wenn eher direkt einen transparent Proxy implementieren als einen klassischen.
Mitglied: TomTomBon
TomTomBon 23.07.2021 um 11:44:15 Uhr
Goto Top
Zitat von @evoplus:

Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...

Mach mal folgenden CMD Befehl (mit Admin rechten, die Proxy Einstellung muss auch als Admin gesetzt sein !! )


Mitglied: leon123
leon123 23.07.2021 um 12:25:38 Uhr
Goto Top
Zitat von @TomTomBon:

Zitat von @evoplus:

Zitat von @leon123:

Danke für die Antworten...


Der Grund für diese Frage ist eigentlich, weil seitdem ich den Systemproxy gesetzt hab, ich ziemlich Probleme habe.

Das kommt weil einige Dienste eines Exchange noch über WinHTTP kommunizieren welcher separate Proxy Einstellungen hat und nicht per Default die WinInet Settings aus dem IE übernehmen.

https://www.msxfaq.de/netzwerk/grundlagen/windows_http_proxy.htm#proxyei ...

Mach mal folgenden CMD Befehl (mit Admin rechten, die Proxy Einstellung muss auch als Admin gesetzt sein !! )


Das mach ich immer so, ist einfach einfacher. Mit show hab ich den Proxy angezeigt, er ist eingetragen mit Umgehungsliste die ich vorher in den Internetoptionen eingetragen habe...
Mitglied: leon123
leon123 23.07.2021 um 12:26:21 Uhr
Goto Top
Zitat von @evoplus:

Zitat von @leon123:

Trotz Systemproxy erhalte ich immer noch die Fehler mit dem Zugriff auf https://o15.officeredir.microsoft.com/r/(...), das komische ist ich sehe den Zugriff nicht im Log der Firewall... D.h. der Exchange kommt warum auch immer nicht mal dort hin.

Hat jemand eine Idee was hier falsch läuft?

Wahrscheinlich ist der Proxy nicht kompatibel mit WinHttp
https://docs.microsoft.com/de-de/microsoft-365/security/defender-endpoin ...

Ich würde wenn eher direkt einen transparent Proxy implementieren als einen klassischen.

unser Proxy hat Benutzer Authentifizierung, das wird mit transparenten Proxy schwer..
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 15 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 14 StundenFrageNetzwerkmanagement15 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 8 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...