113726
13.11.2013 um 22:19:40 Uhr
2951
9
0
SBS richtig absichern
Guten Nabend,
ich hatte gerade wieder ein Interessantes Gespräch, wo es um POP3 vs SMTP geht und das ganze hat mich noch mal etwas zum Nachdenken angeregt.
Wir haben derzeit einen SBS 2011 Standard mit Exchange 2010. Per MX-Eintrag erfolgt eine direkte SMTP Zustellung. Der SBS ist der einzige Server und besitzt eine USV. Auf dem SBS kommt Avira Small Business zum Einsatz. Eine feste IP ist vorhanden.
Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft. Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.
NUN stellt sich für mich die Frage:
- Hätte ich statt SMTP weiterhin meine Mails über POP3 Abholen lassen sollen? Ist das in unserem Fall besser? Denn wenn der eine Server ausfällt war es das mit Emails.
- DNS lasse ich auch über den SBS laufen, früher lief er über die Fritzbox. Ist das so ok?
- Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
- was würde noch Sinn machen?
Ich bedanke mich schon mal im Voraus.
Viele Grüße
Manuel
ich hatte gerade wieder ein Interessantes Gespräch, wo es um POP3 vs SMTP geht und das ganze hat mich noch mal etwas zum Nachdenken angeregt.
Wir haben derzeit einen SBS 2011 Standard mit Exchange 2010. Per MX-Eintrag erfolgt eine direkte SMTP Zustellung. Der SBS ist der einzige Server und besitzt eine USV. Auf dem SBS kommt Avira Small Business zum Einsatz. Eine feste IP ist vorhanden.
Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft. Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.
NUN stellt sich für mich die Frage:
- Hätte ich statt SMTP weiterhin meine Mails über POP3 Abholen lassen sollen? Ist das in unserem Fall besser? Denn wenn der eine Server ausfällt war es das mit Emails.
- DNS lasse ich auch über den SBS laufen, früher lief er über die Fritzbox. Ist das so ok?
- Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
- was würde noch Sinn machen?
Ich bedanke mich schon mal im Voraus.
Viele Grüße
Manuel
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221923
Url: https://administrator.de/forum/sbs-richtig-absichern-221923.html
Ausgedruckt am: 10.04.2025 um 06:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo Manuel,
auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.
Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox. Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.
Schöne Grüße
auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.
Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox. Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.
Schöne Grüße
Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft
Welche negativen Punkte gibt es da?
Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.
Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden) erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem
DNS lasse ich auch über den SBS laufen
Das ist auch korrekt so.
Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?
Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher, es handelt sich um einen "gefährlichen Halbwissenden"
LG Günther
Zitat von @spinnifex:
Hallo Manuel,
auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder
Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die
EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.
Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high
confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox.
Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.
Schöne Grüße
Hallo Manuel,
auf die Diskussion POP/SMTP gehe ich nicht ein, weil es für beide Protokolle wirksame Spamfilter-Mechanismen (Server- oder
Client-seitig) gibt. Allein über die Outlook/Exchange-Option "Mails auf dem Server belassen" ist auch die
EIGENTLICH DRINGENDER ZU STELLENDE FRAGE NACH EINEM REGELMÄSSIGEM BACKUP zu lösen.
Ob die FritzBox als DNS-Server und Firewall ausreicht, ist eigentlich auch nicht die Frage. Verarbeitet ihr high
confidential messages solltes ihr ohne VPN gar nicht kommunizieren. Und das kann sogar eine FritzBox.
Kosten/Nutzen-Rechnung müsst ihr natürlich selbst klären.
Schöne Grüße
Hallo spinnifex,
du brauchst auch gar nicht in die Diskussion eingehen.
Backup wird bei uns ebenfalls schon mittels GFI gemacht. Das was rein kommt, wird 1:1 im Original gespeichert.
Beste Grüße
Manuel
Zitat von @GuentherH:
> Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft
Welche negativen Punkte gibt es da?
Naja vor allem wenn man dann nicht gut abgesichert ist. Denn mit einer direkten Zustellung kann man sich ja nicht mehr auf den Provider verlassen sondern muss alles selber absichern. Wenn man da nicht gut Ahnung hat, kann das natürlich nach hinten losgehen.> Im Gespräch wurde mir noch einmal alle negativen punkte von SMTP aufgelistet was Spam usw. betrifft
Welche negativen Punkte gibt es da?
> Und natürlich kam die Anmerkung was ist, wenn der SBS ausfällt.
Was soll da sein? Wenn der Server so lange ausfällt, dass die Mails nicht zugestellt werden (in der Regel 48 Stunden)
erhält der Absender einen NDR. Und was erhält er bei POP3?
Und wenn der Server wirklich länger als 48 Stunden ausfällt, dann ist das Mail Problem sicherlich das kleinere Problem
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
> DNS lasse ich auch über den SBS laufen
Das ist auch korrekt so.
> Macht es Sinn, die Fritzbox in die Ecke zu schmeißen und eine richtige Firewall vor dem Server zu stellen?
Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?
Nunja kann ich so nicht beantworten aber überall, wo ich gelesen habe, war die erste Reaktion: Fritzbox weg, richtige Firewall hin. Jeder ist gegen eine Fritzbox vor einem Server, das muss ja einen Grund haben.Ich kenne zwar jetzt die Fritz Box nicht, aber was macht sie anders als eine Standard Firewall?
Zusammenfasstend. Bist du sicher, dass dein Gegenüber tatsächlich Ahnung von seinem Geschäft hat. Ich glaube eher,
es handelt sich um einen "gefährlichen Halbwissenden"
Für mich ist nur die Frage, ob ich auf dem richtigen Weg bin. Also SMTP, Firewall usw.
LG Günther
Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über den E-Mail Verkehr.
LG Günther
Zitat von @GuentherH:
> Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über
den E-Mail Verkehr.
LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht. Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.> Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle über
den E-Mail Verkehr.
LG Günther
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.
Was müsste ich denn noch beachten, zum Thema Sicherheit?
Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Zitat von @113726:
> Zitat von @GuentherH:
> ----
> > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
>
> Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
über
> den E-Mail Verkehr.
>
> LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?> Zitat von @GuentherH:
> ----
> > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
>
> Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
über
> den E-Mail Verkehr.
>
> LG Günther
Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Auf msxfaq.de könntest du mal anfangen.
Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch ausreichen würde.
Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
Aber bin ich erst mal beruhigt.
Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite da hilft, kann ich dir nicht beantworten.
Was müsste ich denn noch beachten, zum Thema Sicherheit?
Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.
Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der Router DHCP-Server ist.
Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.
Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.
Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Zitat von @goscho:
> Zitat von @113726:
> ----
> > Zitat von @GuentherH:
> > ----
> > > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
> >
> > Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
> über
> > den E-Mail Verkehr.
> >
> > LG Günther
> Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen.
Danke für den Link > Zitat von @113726:
> ----
> > Zitat von @GuentherH:
> > ----
> > > Also war es die richtige Entscheidung, direkte Zustellung zu machen und die POP3 Connectoren runter zu schmeissen?
> >
> > Korrekt. Denn nur über die SMTP Zustellung hast du alle Möglichkeiten der SPAM Filterung und vollle Kontolle
> über
> > den E-Mail Verkehr.
> >
> > LG Günther
> Da bin ich schon mal beruhigt. Da habe ich mir schon wieder einen Kopf gemacht.
Hast du dich eigentlich wirklich mit den Grundlagen beschäftigt?
Auf msxfaq.de könntest du mal anfangen.
> Natürlich muss ich jetzt den SBS richtig absichern aber wenn du selbst sagst, das theoretisch die Fritzbox auch
ausreichen würde.
> Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
> Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.
Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft
werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite
da hilft, kann ich dir nicht beantworten.
Also das Avira Paket hat ja auch einen Exchange Schutz mit drinnen, von daher denke ich schon, dass es ausreichen würde.ausreichen würde.
> Klar bürgt das gewisse Risiken, unser Server könnte zur Spamschleuder werden wenn Schutzsoftware fehlt o.ä.
> Aber bin ich erst mal beruhigt.
Exchangeserver werden zumeist dann zu Spamschleudern, wenn sie von Leuten ohne Ahnung administriert werden.
Du musst - wie du ja selbst bemerkt hast - jetzt allein dafür sorgen, dass die Mails auf Viren und Spam überprüft
werden. Dies sollte vor oder auf dem Exchange-Server geschehen und nicht erst auf dem Client. In wie weit die Avira Business Suite
da hilft, kann ich dir nicht beantworten.
> Was müsste ich denn noch beachten, zum Thema Sicherheit?
>
> Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein
sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.
Besten Dank. Von der VPN Funktion der Fritzbox habe ich schon mal gehört, aber mich nicht wirklich mit beschäftigt. Wenn das natürlich sicherer ist, dann mache ich das natürlich.>
> Ports habe ich auf der Fritzbox (vllt kommt trotzdem eine richtige Firewall) nur 25, 443 und den VPN Port offen.
Soweit schon mal o.k., aber warum leitest du VPN von der Fritzbox weiter, vielleicht noch PPTP?
Wenn du nicht gerade die billigste FB stehen hast, kann die für die VPN-Einwahl genutzt werden. Damit könntest du ein
sehr sicheres IPSEC-VPN-Verfahren nutzen.
Ich empfinde das als bessere Lösung gegenüber dem RRAS und der Portweiterleitung zum SBS.
Ansonsten ist eher wenig gegen einen Fritzbox als Router/Firewall in kleinen Umgebungen einzuwenden.
Was die allerdings immer noch nicht können, ist einen alternativen DNS-Server mitzugeben, wenn die Fritz als DHCP-Server
dient. Das ist z.B. nachteilig, wenn man per VPN angebundene Außenstellen hat, die keinen Server haben und in welcher der
Router DHCP-Server ist.
Dann bieten Fritzboxen auch Funktionen, wie bspw. UPNP, die aus Sicherheitsgründen abgeschaltet gehören. Auch die
Fernkonfigurationsfunktion durch den Provider (so es einen gesponsorte Box ist) gehört abgeschaltet.
> Perfekt, heißt natürlich wenn der Server nicht läuft, können auch keine Smartphones etc über das
WLAN der Fritzbox ins Internet gehen. Da kein DNS Eintrag zugewiesen wird.
Wenn ich mir solche Sätze so durchlese, dann zweifle ich tatsächlich an deiner Eignung für diesen Bereich.
Natürlich kann kein Smartphone oder auch irgend ein anderes Netzwerkgerät über WLAN ins Internet, wenn der SBS
ausfällt. Sie dürften nicht mal eine IP bekommen, da das auch der SBS machen sollte.
Wie oft kommt das denn vor und wie lange dauert dann so ein Ausfall?
Ich werde aufjedenfall die VPN Funktionalität der Fritzbox austesten, dann kann ich den VPN Port auch wieder dicht machen. Port 443 und 25 muss ja offen bleiben.
Ach und wir haben eine Fritzbox 7170, direkt von AVM.
Hallo,
ich habe (hallo an DIE beiden mitschreiber ) auch einen SBS2011. Dieser ist zwar nicht hinter einer FritzBox sondern hinter einer CISCO-ASA-Firewall.
Als Viren-Spam-Lösung nutze ich ESET. Was aber wirklich die IdealLösung ist, muss jeder irgendwie selber wissen. Die AV-Server-Suiten sind so aufgebaut, dass diese einstellbar sind - wie auch der SBS. Man muss die Protokolle von SBS und Viren/Spam-Suite im Auge behalten. Entweder kommt zuviel oder zu wenig Mail durch. Das kommt auf den jeweiligen Betrieb an, wie mit den Mail-Adressen umgegangen wird. --> Thema: brain.exe.
Wichtig ist, dass das SBS-Backup min. 1x am Tag läuft - im Notfall auch 2x. Ein weiter Server, der im Notfall einspringt. Das einspielen eines Backups dauert, je nach Masse des Systems, 1-2std.
Alle 2 Monate spiele ich das aktuelle Backup auf den Reserve-Server, fahre den 1-2x hoch (zum testen) und runter und dann schalte ich den aus. Vorher natürlich den Hautpserver auschalten.
Das funktioniert ganz gut. Un im Notfall, wenn der Hauptserver offline geht, fahre ich den 2ten hoch und 2std. später geht es weiter....
Demnächst wollte ich das ganze mal in einer Virtualisierung testen. Und dann hat man einige Möglichkeiten mehr, sein Sytem wieder zu beleben. Man sollte auf jedenfall immer einen 2ten Satz Hardware zusammengeschraubt im Rack (oder als Tower) stehen haben.
Gruß
Michael
ich habe (hallo an DIE beiden mitschreiber
) auch einen SBS2011. Dieser ist zwar nicht hinter einer FritzBox sondern hinter einer CISCO-ASA-Firewall.Als Viren-Spam-Lösung nutze ich ESET. Was aber wirklich die IdealLösung ist, muss jeder irgendwie selber wissen. Die AV-Server-Suiten sind so aufgebaut, dass diese einstellbar sind - wie auch der SBS. Man muss die Protokolle von SBS und Viren/Spam-Suite im Auge behalten. Entweder kommt zuviel oder zu wenig Mail durch. Das kommt auf den jeweiligen Betrieb an, wie mit den Mail-Adressen umgegangen wird. --> Thema: brain.exe.
Wichtig ist, dass das SBS-Backup min. 1x am Tag läuft - im Notfall auch 2x. Ein weiter Server, der im Notfall einspringt. Das einspielen eines Backups dauert, je nach Masse des Systems, 1-2std.
Alle 2 Monate spiele ich das aktuelle Backup auf den Reserve-Server, fahre den 1-2x hoch (zum testen) und runter und dann schalte ich den aus. Vorher natürlich den Hautpserver auschalten.
Das funktioniert ganz gut. Un im Notfall, wenn der Hauptserver offline geht, fahre ich den 2ten hoch und 2std. später geht es weiter....
Demnächst wollte ich das ganze mal in einer Virtualisierung testen. Und dann hat man einige Möglichkeiten mehr, sein Sytem wieder zu beleben. Man sollte auf jedenfall immer einen 2ten Satz Hardware zusammengeschraubt im Rack (oder als Tower) stehen haben.
Gruß
Michael
