Outlook Anywhere ohne Forefront

Mitglied: uLmi

uLmi (Level 2) - Jetzt verbinden

24.08.2011, aktualisiert 15:52 Uhr, 3448 Aufrufe, 4 Kommentare

Brauche eure Meinung

Hallo Leute,

wir haben ein kleines Setup mit einem FileServer/DC und einem Multi-Role Exchange 2007 Server im Unternehmen.
Wir benutzten ein öffentlich beglaubigtes Zertifikat von Thawte.

Auf unserer Firewall haben wir einen Proxy auf Port 25 eingerichtet der einpaar dinge Prüft und dann an den Server forwarded (nat)
Die Proxy Regeln sind:

- Conn. Timeout
- Max. recipients
- Max. mail size
- Max. mail line length
- Greeting rules
- ESMTP: Allow ERTN, Allow 8-Bit MIME, Auth: Digest-MD5, CRAM-MD5, Login, Login (old-style), NTLM und GSSAPI
- Einschränkungen auf Datei-Typen und Datei-Namen (.bat, .exe) usw.
- Erlaubte Empfänger (nur unsere Domains)

Dies bezieht sich jedoch alles nur auf Einkommenden SMTP verkehr und nicht auf den Port 443 (HTTPS). Auf dem Port 443 habe ich bisher auch nicht mal auf der Firewall einen Proxy aktivieren können, aus zeitlichen Gründen....

Okay jetzt haben wir keinen vollwertigen Forefront, nicht mal einen einfachen HTTPS Proxy auf der Firewall und einen Multi-Role Mailserver der direkt am Internet steht und aus dem Unternehmen kommt die Anforderung nach Outlook Anywhere.
Ich habe ein ganz schlechtes Gefühl bei der Sache, da ich diese Option eigentlich erst im Zusammenhang mit einem vernüpftig konfigurierten Forefront, aktivieren würde.

Oder vielleicht zumindest wenn ein einfacher Proxy für HTTPS auf der Firewall konfiguriert wurde aber auch dann nicht umbedingt.

Für mich ist die Sache eigentlich klar und die Anwender sollen auf weiterhin ihr MobilVPN benutzen bevor Outlook sich mit dem Server verbindet aber ich würde gerne mal ein paar andere Meinungen dazu hören.

Achja ein Argument eines leicht IT-erfahren Mitarbeiters war, dass wir bisher ja auch die Mobilgeräte via Activ-Sync direkt per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....


Ich möchte der GF hierzu bald ein konkretes Feedback geben warum wir das nicht machen sollten und welche Änderungen von Nöten wären um dieses sicher zu etablieren oder aber auch (falls ich daneben liege) das ganze doch anzubieten.


Bin um jede art von Feedback dankbar.

Mit freundlichem Gruß
uLmi
Mitglied: ollembyssan
24.08.2011 um 20:20 Uhr
Hallo,

kurz und knapp: OWA, ActiveSync und Outlook Anywhere sollten natürlich, wenn möglich über einen Forefront TMG veröffentlicht werden, besser noch samt E-Mail Empfang und Versand.


Achja ein Argument eines leicht IT-erfahren Mitarbeiters war, dass wir bisher ja auch die Mobilgeräte via Activ-Sync direkt
per Port 443 an den Server lassen und es wäre mit Outlook anywhere ja praktisch nichts anderes.....

Genau, deswegen kannst Du ActiveSync und OWA gleich mit Outlook Anywhere über den Forefront veröffentlichen ;-) face-wink

Grüße
Stephan
Bitte warten ..
Mitglied: uLmi
25.08.2011 um 11:07 Uhr
okay also ist es im prinzip egal ob ich jetzt noch Outlook Anywhere anmache da wir eh nicht ganz optimal arbeiten ?
Bitte warten ..
Mitglied: ollembyssan
25.08.2011 um 12:20 Uhr
Hallo uLmi,

egal ist hier schon einmal überhaupt nichts ;-) face-wink

Aber dennoch ist die Übertragung bei ActiveSync, sowie bei Outlook Anywhere verschlüsselt, von daher bist Du hier zunächst auf der sicheren Seite...
Prinzipiell geht es darum und das denke ich war auch der Ursprung deiner Frage, den Exchange-Server nicht einfach so salopp im Internet zu veröffentlichen und er somit nicht "nackt" da steht!

Du gehst sicherlich auch nicht nackt zur Arbeit, oder? ;-) face-wink

Grüße
Stephan
Bitte warten ..
Mitglied: uLmi
25.08.2011 um 13:02 Uhr
ja genau aber was macht der Forefront genau ?

der sitzt doch auf einem Read-Only DomainController und prüft anhand gewisser regeln (die mir nicht ganz bekannt sind) ob die kommunikation sauber ist oder nicht ?
man liest ja gerne mal von einem verhärteten system und so aber was genau bedeutet das ?


Vielleicht sollte ich dann zumindest mal den HTTPS Proxy auf der Firewall aktivieren und die deep packet inspection einstellen.
dort kann ich folgende einstellungen vornehmen:

"HTTP request methods", "urls paths", "header fields" "authorization"
und
"HTTP response methods", "header fields", "content types", "cookies", "body content types"

klingt das gut ?

gruß
uLmi
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Erwerb von M365 Lizenzen, Partner Autorisierung für Azure AD - Globaler Administrator wirklich nötig?
gelöst NidavellirVor 1 TagFrageMicrosoft4 Kommentare

Hi zusammen, bitte entschuldigt den etwas sperrigen Titel, aber ein knapperer wollte mir nicht einfallen. :D Wir wollen bei einem Systemhaus M365 Lizenzen (Business ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 17 StundenFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Off Topic
BKA und der Bundestrojaner
brammerVor 1 TagInformationOff Topic4 Kommentare

Hallo, habe kurz überlegt ob das unter Off Topic allgemein oder Off Topic LOL gehört brammer

Speicherkarten
Welchen USB Stick für Bootstick?
gelöst dlnkrgVor 1 TagFrageSpeicherkarten6 Kommentare

Hallo, Ich bin auf der Suche nach USB - Sticks, auf denen ich Linux Ubuntu installieren kann und praktisch als Festplatte für das Betriebssystem ...

Windows Netzwerk
Sporadisch kein Netz auf mehreren Win10-Maschinen
SolarflareVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...

MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 6 StundenFrageMikroTik RouterOS25 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

Windows 7
Userpfad Problem nach Aenderung des Computernamens
BernerVor 1 TagFrageWindows 712 Kommentare

In einem Netzwerk von 9 PCs sind 9 Ersatz-PCs eingebunden, bei denen im Bedarfsfall vor dem Einsatz nur der Computername und die IP-Adresse angepasst ...

VB for Applications
Auf SQL Datenbank schreiben welche Sich im Firmennetzwerk befindet
RSST-SORVor 1 TagFrageVB for Applications12 Kommentare

Hallo Ich habe ein funktionierendes VBA Makro im EXCEL welches mit: conn.Open "driver={SQL Server};" & _ "server=RSST-OFFICEIII\RSSTSQLSERVER;database=RSSTZeiterfassung;" Daten in die Tabelle schreibt Nun würde ...