OWA in Organisation mit nur einem Server
Hallo zusammen,
unsere Kirchengemeinde hat einen einzelnen Server (Small Business Server 2011). Dieser Server ist gleichzeitig DomänenController und Fileserver.
Gibt es eine sichere Möglichkeit, den Outlook Web Access dieses Servers für die nicht residierenden hauptamtlichen Mitarbeiter nach außen bereitzustellen? Mit einem Einzelserver kann ich ja wohl keine DMZ realisieren, und da der Server eben auch die Dateien der Gemeinde enthält, ist es vermutlich nicht klug, ihn per Portweiterleitung im Router einfach für alle freizugeben.
Wenn jemand ein paar (deutschsprachige) suchmaschinengeeignete Schlüsselwörter hat, würde mir das auch weiterhelfen.
Danke im Voraus,
Sarek \\//_
unsere Kirchengemeinde hat einen einzelnen Server (Small Business Server 2011). Dieser Server ist gleichzeitig DomänenController und Fileserver.
Gibt es eine sichere Möglichkeit, den Outlook Web Access dieses Servers für die nicht residierenden hauptamtlichen Mitarbeiter nach außen bereitzustellen? Mit einem Einzelserver kann ich ja wohl keine DMZ realisieren, und da der Server eben auch die Dateien der Gemeinde enthält, ist es vermutlich nicht klug, ihn per Portweiterleitung im Router einfach für alle freizugeben.
Wenn jemand ein paar (deutschsprachige) suchmaschinengeeignete Schlüsselwörter hat, würde mir das auch weiterhelfen.
Danke im Voraus,
Sarek \\//_
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272885
Url: https://administrator.de/forum/owa-in-organisation-mit-nur-einem-server-272885.html
Ausgedruckt am: 02.04.2025 um 02:04 Uhr
33 Kommentare
Neuester Kommentar

Ist das so unsicher, den OWA mit SSL zu betreiben und den einzelnen Port zu öffnen? Wieso den gleich in ne DMZ packen? Der Exchange braucht ja auch die Mailports zum Provider offen.
Ansonsten könnte ja noch ein IIS auf einem anderen Rechner den OWA bereitstellen.
Gruß
Kai
Ansonsten könnte ja noch ein IIS auf einem anderen Rechner den OWA bereitstellen.
Gruß
Kai
Zitat von @keine-ahnung:
> Schon mal was von POP3-Konnektoren und SmartHosts gehört?
Gehört schon ... aber warum baut man sich einen Exchange hin, wenn man dann doch wieder nur poppen will
?
Sind eben auch nur Menschen > Schon mal was von POP3-Konnektoren und SmartHosts gehört?
Gehört schon ... aber warum baut man sich einen Exchange hin, wenn man dann doch wieder nur poppen will
Ist das so unsicher, den OWA mit SSL zu betreiben und den einzelnen Port zu öffnen?
Naja, immerhin wird OWA seit Exchange 2003 verwendet und bisher ist keine Sicherheitslücke bekanntgeworden. Da kann man das Risiko nicht eingehen und einen Port öffnen
Nein, das ist allgemeine "Server Paranoia". Der Server muss so sicher wie möglich sein und dann wird mit mobilen Devices darauf zugegriffen, auf denen alle wichtigen Firmendaten gespeichert und dabei wird meist wissentlich ignoriert, dass die installierten Apps mehr oder weniger alle Daten auf irgenwelche Server kopieren.
Ansonsten könnte ja noch ein IIS auf einem anderen Rechner den OWA bereitstellen.
Das geht nicht. OWA kann nur am Exchange laufen. Wenn dann müsste der IIS als Proxy arbeiten.
LG Günther

Zitat von @wiesi200:
> Zitat von @keine-ahnung:
>
> > Schon mal was von POP3-Konnektoren und SmartHosts gehört?
> Gehört schon ... aber warum baut man sich einen Exchange hin, wenn man dann doch wieder nur poppen will
?
>
Sind eben auch nur Menschen
Jup, aber die Pfaffen kennen sich ja bekanntlich bestens aus mit Po..en.> Zitat von @keine-ahnung:
>
> > Schon mal was von POP3-Konnektoren und SmartHosts gehört?
> Gehört schon ... aber warum baut man sich einen Exchange hin, wenn man dann doch wieder nur poppen will
>
Sind eben auch nur Menschen
Duck und wech...
Gruß auch an den Insulaner
jodel32
Mein Arbeitgeber in meinem "normalen" Job setzt leider auch auf Cloudlösungen
Das ist aber wieder etwas anderes. Cloud Lösungen etablierter Anbieter können durchaus auch im Firmenumfeld eingesetzt werden ohne Probleme zu bekommen.
Deine POP3 Lösung ist ja auch nichts anderes
Was ich meine sind die diversen Apps, die auf den mobilen Devices installiert sind. Und hier macht sich niemand Gedanken über die Sicherheit.
LG Günther
Moin SarekHL,
für den Zugriff auf OWA von aussen öffnest Du lediglich den Port 443.
Ich habe das hier über einen längeren Zeitraum so praktiziert, bis ich eben auf die bereits propagierte VPN Lösung umgestiegen bin.
Es gab zwar ein paar Versuche der üblichen Verdächtigen, die aber allesamt nicht zum Erfolg führten.
Gruß,
Uwe
für den Zugriff auf OWA von aussen öffnest Du lediglich den Port 443.
Ich habe das hier über einen längeren Zeitraum so praktiziert, bis ich eben auf die bereits propagierte VPN Lösung umgestiegen bin.
Es gab zwar ein paar Versuche der üblichen Verdächtigen, die aber allesamt nicht zum Erfolg führten.
Gruß,
Uwe

Nur aus eigener Erfahrung zur Sicherheit:
In 10 Jahren Exchange (SBS2003, dann Exch2010) hatte ich bisher einmal eine Kompromittierung der Einwahl beim SMTP des Providers, ansonsten jede Menge Einbruchsversuche vornehmlich aus dem chinesischen und russischen Bereich (eben dort und international tätiges Planungsbüro), alle ohne Erfolg.
Der Exchange bzw. der Server darunter selber hatte bisher noch nie etwas abbekommen, genutzt nach außen: OWA, IMAP und HTTP-Proxy.
Gruß
Kai
In 10 Jahren Exchange (SBS2003, dann Exch2010) hatte ich bisher einmal eine Kompromittierung der Einwahl beim SMTP des Providers, ansonsten jede Menge Einbruchsversuche vornehmlich aus dem chinesischen und russischen Bereich (eben dort und international tätiges Planungsbüro), alle ohne Erfolg.
Der Exchange bzw. der Server darunter selber hatte bisher noch nie etwas abbekommen, genutzt nach außen: OWA, IMAP und HTTP-Proxy.
Gruß
Kai
Die Ports 80 und 443 sind nun mal auch beliebte Angriffsziele FÜR Hacker und Würmer.
Ich weiss nicht, warum Du jetzt :80 aufmachen willst, Du benötigst bestenfalls :25 für smtp, :443 für OWA/OMA/remote arbeitsplatz (den ich allerdings nicht nutzen würde), sharepoint werdet Ihr nicht von aussen nutzen und VPN direkt auf dem SBS würde ich auch nicht machen.Heisst, Du hast lediglich einen "nutzbaren" offenen port, den man Stand heute nur penetrieren kann, wenn die Passwort-Sicherheit in der Domäne nicht stimmt - also "Jesus", "Christus", "Superstar" etc. sollte man vermeiden
Und unter uns Klosterbrüdern: wie sensibel sind die Daten einer Kirchgemeinde wirklich (mal abgesehen von den Schwarzgeldkonten und diesen speziellen Messdienerphotos) und wer macht sich die Mühe, eine Gemeinde anzugreifen ... da fangen selbst robots an zu gähnen
LG von Bornholm, Thomas
(z.B. Senioren-Geburtstagslisten)
Huiii, ja dann geht wohl kein Weg am reverse-proxy vorbei!Die sind da teilweise sehr phantasielos
Dafür gibt es Peitschen, Lackleder-Klamotten oder Kündigungsschreiben.Macht es aus sicherheitstechnischer Sicht eigentlich Sinn, einen unbekannten Port wie 6692 zu nehme, so dass man OWA nur aufrufen kann, wenn man z.B. https://johannes-kirchengemeinde.de:6692 eingibt?
Gibt einem ein besseres Bauchgefühl, interessiert aber kein script-kid wirklich. Du baust Dir eine schöne neue Welt - und wirst mit Deinem Wissen grandios scheitern, weil Du die Portbindungen im IIS verwursteln wirst. Und mit ...wird wohl gar niemand OWA Aufrufen können
LG

Hallo Sarek,
eine direkte Portweiterleitung würde ich nicht machen.
Wenn dann über einen Reverse Proxy auf der Firewall oder über einen Reverse Proxy(Squid) in der DMZ.
VG
Val
eine direkte Portweiterleitung würde ich nicht machen.
Wenn dann über einen Reverse Proxy auf der Firewall oder über einen Reverse Proxy(Squid) in der DMZ.
VG
Val
Jetzt sag ich es mal ganz offen: Wenn Du keine qualifizierteren Kommentare abgeben kannst, dann halt lieber die Klappe!
Darf ich auch? Wenn Du noch mehr keine-ahnung hast als ich ... melde konsequenterweise Dein Gewerbe ab.Geburtstagslisten enthalten Geburtsdaten, und die unterliegen datenschutzrechtlichen Anforderungen.
Echt? Welchem? Und entweder Du gibst dazu einen sachdienlichen Hinweis, der mich weiterbringt, oder Du lässt es. Deine destruktiven Kommentare kotzen mich an!
Hmmh, geht mir mit Deinen hilflosen Fragen ähnlich - und das von mir empfohlene Buch hast Du möglicherweise gekauft, aber nicht gelesen ... aber Gott sei Dank tendiere ich nicht zum Gebrauch dieser präkären Sprache - dem Atheismus geschuldet?LG von Bornholm, Thomas
Hallo,
die einzige mir bekannte Sicherheitsschwäche bei OWA/OMA ist, dass es kein Fail2ban gibt.
Wenn Jemand Benutzernamen und Kennwörter durchprobiert, hat er unendlich viele Versuche und niemand bekommt davon etwas mit.
Schön wäre hier ein Proxy mit Fail2Ban.
5 falsche Kennwörter in OWA oder OMA und schon wird die IP für 24h gesperrt + Statistik zum abrufen.
Vieleicht hat ja hier Jemand sowas schon umgesetzt?
Viele Grüße
Stefan
PS: In meinem Wordpress führt Russland gerade vor Polen und Mexiko bei illegalen Zugriffsversuchen.
die einzige mir bekannte Sicherheitsschwäche bei OWA/OMA ist, dass es kein Fail2ban gibt.
Wenn Jemand Benutzernamen und Kennwörter durchprobiert, hat er unendlich viele Versuche und niemand bekommt davon etwas mit.
Schön wäre hier ein Proxy mit Fail2Ban.
5 falsche Kennwörter in OWA oder OMA und schon wird die IP für 24h gesperrt + Statistik zum abrufen.
Vieleicht hat ja hier Jemand sowas schon umgesetzt?
Viele Grüße
Stefan
PS: In meinem Wordpress führt Russland gerade vor Polen und Mexiko bei illegalen Zugriffsversuchen.
Zitat von @keine-ahnung:
> Geburtstagslisten enthalten Geburtsdaten, und die unterliegen datenschutzrechtlichen Anforderungen.
Echt? Welchem?
Bei uns gibt es eine Rubrik in der Regionalausgabe der Tageszeitungen, in welcher die täglichen Geburtstage der Senioren (älter als 70) aufgeführt sind.> Geburtstagslisten enthalten Geburtsdaten, und die unterliegen datenschutzrechtlichen Anforderungen.
Echt? Welchem?
BTT: Dir wurde hier von mehreren erfahrene Mitgliedern bestätigt, dass die Nutzung von OWA von außerhalb deiner Organisation kein Sicherheitsrisiko darstellt, so lange die Einwahlberechtigten sichere Kennwörter verwenden. Auch kann man den Zugriff nur für bestimmte Leute gewähren.
Warum fragst du dann ständig weiter,
Wenn wir gerade schon dabei sind.
Bin da mal in einem Tecchannel Artikel drüber gestolpert
Hat hier jemand Erfahrung mit diesem Produkt? ( sowas wie Fail2Ban, nur für Windows Server)
Klingt eigentlich nicht so schlecht und hier auf meinem Testserver sieht es auch ganz gut aus bisher.
Sehr einfach zu administrieren, verschiedenste Sperr-Möglichkeiten, einzig der Preis dürfte für den einen oder anderen zu hoch sein.
Die Free-Version 2.1.3 war meiner Meinung nach noch weniger abgespeckt als die aktuelle 2.1.5
Mit der Software verlieren dann wohl auch sehr simple Passwörter an Schrecken für uns Admins ;)
https://cyberarms.net/
Bin da mal in einem Tecchannel Artikel drüber gestolpert
Hat hier jemand Erfahrung mit diesem Produkt? ( sowas wie Fail2Ban, nur für Windows Server)
Klingt eigentlich nicht so schlecht und hier auf meinem Testserver sieht es auch ganz gut aus bisher.
Sehr einfach zu administrieren, verschiedenste Sperr-Möglichkeiten, einzig der Preis dürfte für den einen oder anderen zu hoch sein.
Die Free-Version 2.1.3 war meiner Meinung nach noch weniger abgespeckt als die aktuelle 2.1.5
Mit der Software verlieren dann wohl auch sehr simple Passwörter an Schrecken für uns Admins ;)
https://cyberarms.net/

Zitat von @SarekHL:
Hattet Ihr den Server noch speziell gehärtet, oder reichen da die Default-Einstellungen?
Hattet Ihr den Server noch speziell gehärtet, oder reichen da die Default-Einstellungen?
Das ist bisher Default.

Hm, deutsche Firma, aber das Produkt und die Dokumentation gibt es nur auf Englisch 
Naja hier ist doch alles auf Deutsch erklärt:https://de.cyberarms.net/download-preise/installation-konfiguration.aspx
Das Programm in English sollte bei gefühlt 10 Konfigurationspunkten eigentlich kein Problem sein.
VG
Val