OWA Security Exchange 2013
Hallo zusammen
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Mich würde interessieren, was ihr alles vornehmt, um es so sicher wie möglich zu gestalten.
Bei mir sieht das ungefähr so aus:
- Einschränkung der Erreichbarkeit im IIS (z.B. ECP nur vom internen Netz aufrufbar)
- Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
- Zugriff auf OWA erfolgt ausschliesslich per SSL
- Als Domänen-Admin verwende ich nicht den Benutzernamen "Admin" oder "Administrator"
- User müssen sichere Passwörter verwenden
- Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
Neulich bin ich auf "Messageware OWA Guard" gestossen. Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren. Man hat zusätzlich noch ein übersichtliches Log, in welchem alle Login-Versuche aufgeführt sind. Man sieht ebenfalls ein Kuchendiagramm in dem ersichtlich ist, von welchem Land aus die meisten Fehlversuche stammen.
Habt ihr Erfahrungen mit dem Produkt? Ich werde es auf jedenfall mal testen.
Ich danke euch im Voraus für Tipps und Anregungen. Bin gespannt
Gruss DelPiero
Ich setze mich momentan mit der Sicherheits erhöhung von OWA bzw Exchange auseinander.
Mich würde interessieren, was ihr alles vornehmt, um es so sicher wie möglich zu gestalten.
Bei mir sieht das ungefähr so aus:
- Einschränkung der Erreichbarkeit im IIS (z.B. ECP nur vom internen Netz aufrufbar)
- Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
- Zugriff auf OWA erfolgt ausschliesslich per SSL
- Als Domänen-Admin verwende ich nicht den Benutzernamen "Admin" oder "Administrator"
- User müssen sichere Passwörter verwenden
- Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
Neulich bin ich auf "Messageware OWA Guard" gestossen. Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren. Man hat zusätzlich noch ein übersichtliches Log, in welchem alle Login-Versuche aufgeführt sind. Man sieht ebenfalls ein Kuchendiagramm in dem ersichtlich ist, von welchem Land aus die meisten Fehlversuche stammen.
Habt ihr Erfahrungen mit dem Produkt? Ich werde es auf jedenfall mal testen.
Ich danke euch im Voraus für Tipps und Anregungen. Bin gespannt
Gruss DelPiero
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287222
Url: https://administrator.de/contentid/287222
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Je nach dem setze ich einen GEO-IP-Filter mit einer Firewall und blockiere den Zugriff von Ländern, welche vermutlich nie vom Kunden bereist werden (z.B. Afghanistan, Pakistan etc.)
den Aufwand kannst du dir sparen, da heute IP-adressen nicht mehr wirklich geografisch zuordnen lassen.Aufteilung der Exchange-Server-Rollen auf zwei Server auf. CAS in der DMZ und MBX intern
Daran denken, dass du zwei Exchangelizenzen benötigst. Einfacher und günstiger wäre ein SMTP-Proxy bzw. Relay in die DMZ zu stellen und eine Weiterleitung auf dem Exchange-Server einzurichten.Mit diesem Produkt lässt sich ein Captcha Code in der OWA-Seite implementieren.
Was soll der Capatcha code verhindern bzw. abhalten? Wir haben mit Hilfe von Vasco eine 2FA hinterlegt. D.h. ein Login ist nur mit gültigen Benutzer + Passwort + PIN über einen Token möglich.Gruß,
Dani
Moin,
Der SMTP-Proxy arbeitet nicht nach dem Store-and-Forward-Prinzip. Sprich von der Außenwelt ist es nicht möglich eine direkte Verbindung mit dem MTA (in deinem Fall Exchange) aufzubauen. Schickt dir einer ne Mail wird die Verbindung mit dem Proxy aufgebaut und der Proxy baut eine neue Verbindung zum MTA auf. Die Mail wird erst zustellt, wenn das OK vom Mailserver kommt.
Gruß,
Dani
Was sind die Vor-/Nachteile eines SMTP-Proxys im Vergleich zu CAS in der DMZ?
Du meinst sicherlich Edge und nicht CAS. Der SMTP-Proxy arbeitet nicht nach dem Store-and-Forward-Prinzip. Sprich von der Außenwelt ist es nicht möglich eine direkte Verbindung mit dem MTA (in deinem Fall Exchange) aufzubauen. Schickt dir einer ne Mail wird die Verbindung mit dem Proxy aufgebaut und der Proxy baut eine neue Verbindung zum MTA auf. Die Mail wird erst zustellt, wenn das OK vom Mailserver kommt.
Gruß,
Dani