4
Outlook Anywhere ohne Forefront
Brauche eure Meinung
Hallo Leute,
wir haben ein kleines Setup mit einem FileServer/DC und einem Multi-Role Exchange 2007 Server im Unternehmen.
Wir benutzten ein öffentlich beglaubigtes Zertifikat von Thawte.
Auf unserer Firewall haben wir einen Proxy auf Port 25 eingerichtet der einpaar dinge Prüft und dann an den Server forwarded (nat)
Die Proxy Regeln sind:
- Conn. Timeout
- Max. recipients
- Max. mail size
- Max. mail line length
- Greeting rules
- ESMTP: Allow ERTN, Allow 8-Bit MIME, Auth: Digest-MD5, CRAM-MD5, Login, Login (old-style), NTLM und GSSAPI
- Einschränkungen auf Datei-Typen und Datei-Namen (.bat, .exe) usw.
- Erlaubte Empfänger (nur unsere Domains)
Dies bezieht sich jedoch alles nur auf Einkommenden SMTP verkehr und nicht auf den Port 443 (HTTPS). Auf dem Port 443 habe ich bisher auch nicht mal auf der Firewall einen Proxy aktivieren können, aus zeitlichen Gründen....
Okay jetzt haben wir keinen vollwertigen Forefront, nicht mal einen einfachen HTTPS Proxy auf der Firewall und einen Multi-Role Mailserver der direkt am Internet steht und aus dem Unternehmen kommt die Anforderung nach Outlook Anywhere.
Ich habe ein ganz schlechtes Gefühl bei der Sache, da ich diese Option eigentlich erst im Zusammenhang mit einem vernüpftig konfigurierten Forefront, aktivieren würde.
Oder vielleicht zumindest wenn ein einfacher Proxy für HTTPS auf der Firewall konfiguriert wurde aber auch dann nicht umbedingt.
Für mich ist die Sache eigentlich klar und die Anwender sollen auf weiterhin ihr MobilVPN benutzen bevor Outlook sich mit dem Server verbindet aber ich würde gerne mal ein paar andere Meinungen dazu hören.
Achja ein Argument eines leicht IT-erfahren Mitarbeiters war, dass wir bisher ja auch die Mobilgeräte via Activ-Sync direkt per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....
Ich möchte der GF hierzu bald ein konkretes Feedback geben warum wir das nicht machen sollten und welche Änderungen von Nöten wären um dieses sicher zu etablieren oder aber auch (falls ich daneben liege) das ganze doch anzubieten.
Bin um jede art von Feedback dankbar.
Mit freundlichem Gruß
uLmi
wir haben ein kleines Setup mit einem FileServer/DC und einem Multi-Role Exchange 2007 Server im Unternehmen.
Wir benutzten ein öffentlich beglaubigtes Zertifikat von Thawte.
Auf unserer Firewall haben wir einen Proxy auf Port 25 eingerichtet der einpaar dinge Prüft und dann an den Server forwarded (nat)
Die Proxy Regeln sind:
- Conn. Timeout
- Max. recipients
- Max. mail size
- Max. mail line length
- Greeting rules
- ESMTP: Allow ERTN, Allow 8-Bit MIME, Auth: Digest-MD5, CRAM-MD5, Login, Login (old-style), NTLM und GSSAPI
- Einschränkungen auf Datei-Typen und Datei-Namen (.bat, .exe) usw.
- Erlaubte Empfänger (nur unsere Domains)
Dies bezieht sich jedoch alles nur auf Einkommenden SMTP verkehr und nicht auf den Port 443 (HTTPS). Auf dem Port 443 habe ich bisher auch nicht mal auf der Firewall einen Proxy aktivieren können, aus zeitlichen Gründen....
Okay jetzt haben wir keinen vollwertigen Forefront, nicht mal einen einfachen HTTPS Proxy auf der Firewall und einen Multi-Role Mailserver der direkt am Internet steht und aus dem Unternehmen kommt die Anforderung nach Outlook Anywhere.
Ich habe ein ganz schlechtes Gefühl bei der Sache, da ich diese Option eigentlich erst im Zusammenhang mit einem vernüpftig konfigurierten Forefront, aktivieren würde.
Oder vielleicht zumindest wenn ein einfacher Proxy für HTTPS auf der Firewall konfiguriert wurde aber auch dann nicht umbedingt.
Für mich ist die Sache eigentlich klar und die Anwender sollen auf weiterhin ihr MobilVPN benutzen bevor Outlook sich mit dem Server verbindet aber ich würde gerne mal ein paar andere Meinungen dazu hören.
Achja ein Argument eines leicht IT-erfahren Mitarbeiters war, dass wir bisher ja auch die Mobilgeräte via Activ-Sync direkt per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....
Ich möchte der GF hierzu bald ein konkretes Feedback geben warum wir das nicht machen sollten und welche Änderungen von Nöten wären um dieses sicher zu etablieren oder aber auch (falls ich daneben liege) das ganze doch anzubieten.
Bin um jede art von Feedback dankbar.
Mit freundlichem Gruß
uLmi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172008
Url: https://administrator.de/contentid/172008
Printed on: April 16, 2024 at 13:04 o'clock
4 Comments
Latest comment
Hallo,
kurz und knapp: OWA, ActiveSync und Outlook Anywhere sollten natürlich, wenn möglich über einen Forefront TMG veröffentlicht werden, besser noch samt E-Mail Empfang und Versand.
Genau, deswegen kannst Du ActiveSync und OWA gleich mit Outlook Anywhere über den Forefront veröffentlichen
Grüße
Stephan
kurz und knapp: OWA, ActiveSync und Outlook Anywhere sollten natürlich, wenn möglich über einen Forefront TMG veröffentlicht werden, besser noch samt E-Mail Empfang und Versand.
Achja ein Argument eines leicht IT-erfahren Mitarbeiters war, dass wir bisher ja auch die Mobilgeräte via Activ-Sync direkt
per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....
per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....
Genau, deswegen kannst Du ActiveSync und OWA gleich mit Outlook Anywhere über den Forefront veröffentlichen
Grüße
Stephan
okay also ist es im prinzip egal ob ich jetzt noch Outlook Anywhere anmache da wir eh nicht ganz optimal arbeiten ?
Hallo uLmi,
egal ist hier schon einmal überhaupt nichts
Aber dennoch ist die Übertragung bei ActiveSync, sowie bei Outlook Anywhere verschlüsselt, von daher bist Du hier zunächst auf der sicheren Seite...
Prinzipiell geht es darum und das denke ich war auch der Ursprung deiner Frage, den Exchange-Server nicht einfach so salopp im Internet zu veröffentlichen und er somit nicht "nackt" da steht!
Du gehst sicherlich auch nicht nackt zur Arbeit, oder?
Grüße
Stephan
egal ist hier schon einmal überhaupt nichts
Aber dennoch ist die Übertragung bei ActiveSync, sowie bei Outlook Anywhere verschlüsselt, von daher bist Du hier zunächst auf der sicheren Seite...
Prinzipiell geht es darum und das denke ich war auch der Ursprung deiner Frage, den Exchange-Server nicht einfach so salopp im Internet zu veröffentlichen und er somit nicht "nackt" da steht!
Du gehst sicherlich auch nicht nackt zur Arbeit, oder?
Grüße
Stephan
ja genau aber was macht der Forefront genau ?
der sitzt doch auf einem Read-Only DomainController und prüft anhand gewisser regeln (die mir nicht ganz bekannt sind) ob die kommunikation sauber ist oder nicht ?
man liest ja gerne mal von einem verhärteten system und so aber was genau bedeutet das ?
Vielleicht sollte ich dann zumindest mal den HTTPS Proxy auf der Firewall aktivieren und die deep packet inspection einstellen.
dort kann ich folgende einstellungen vornehmen:
"HTTP request methods", "urls paths", "header fields" "authorization"
und
"HTTP response methods", "header fields", "content types", "cookies", "body content types"
klingt das gut ?
gruß
uLmi
der sitzt doch auf einem Read-Only DomainController und prüft anhand gewisser regeln (die mir nicht ganz bekannt sind) ob die kommunikation sauber ist oder nicht ?
man liest ja gerne mal von einem verhärteten system und so aber was genau bedeutet das ?
Vielleicht sollte ich dann zumindest mal den HTTPS Proxy auf der Firewall aktivieren und die deep packet inspection einstellen.
dort kann ich folgende einstellungen vornehmen:
"HTTP request methods", "urls paths", "header fields" "authorization"
und
"HTTP response methods", "header fields", "content types", "cookies", "body content types"
klingt das gut ?
gruß
uLmi