Sicherheit meiner OWA Einrichtung - Anregungen u. Tipps gesucht
Moin,
seit kurzer Zeit hat unser kleines Unternehmen einen SBS2003 Server. Ich habe nun Outlook Web Access eingerichtet. Da ich nicht wirklich viel Ahnung habe, hätte ich gerne mal eure Meinung wie sicher das Ganze ist.
Ich habe über Dyndyns eine Weiterleitung eingerichtet und nur den Port 443 in der Router Firewall auf den Server geforwarded. Über den Internet-Assistenten in der Serververwaltungskonsole habe ich nur den Internetzugriff auf OWA erlaubt. Als Zertifikat habe ich die dyndns Adresse eingetragen. Ich habe den für OWA freigeschalteten Benutzern ein sicheres PW gegeben (9-stellig, Buchst. & Zahlen, groß und klein). Funktioniert soweit alles wunderbar. Nun meine Fragen:
1. Ich habe unter „Serververwaltungskonsole > Benutzer“ das OWA für die Benutzer deaktiviert bzw. aktiviert (Standard war aktiviert). Verstecken sich vielleicht irgendwo anders noch „Nutzer“ mit denen man sich in OWA einlogen könnte?
2. Ich würde gerne die Anzahl max. fehlgeschlagener Logins für OWA festlegen (z.B. 10 mal, dann gesperrt). Geht bzw. wo geht das?
3. Da eine dyndns Adresse nicht besonders einprägsam ist, habe ich eine Weiterleitung von einer Subdomain eingerichtet (mail.firma.de nach https://firma.dyndns.org/exchange). 1und1 bietet hier auch die Möglichkeit einer Frame-Weiterleitung (https Seite öffnet sich im Frame, Vorteil: Schöne Adressleiste, Nachteil: sichere Verbindung wird nicht angezeigt)
Bestehen hier irgendwelche weiteren Sicherheitsnachteile?
4. Ich würde unseren wenigen Mitarbeitern sagen, dass sie das „fehlerhafte“ Zertifikat akzeptieren sollen oder lohnt sich doch der Aufwand eines „fehlerfreien“ Zertifikats?
Bin für alle weiteren Anregungen dankbar.
Gruß aus dem sonnigen Hamburg
Para
seit kurzer Zeit hat unser kleines Unternehmen einen SBS2003 Server. Ich habe nun Outlook Web Access eingerichtet. Da ich nicht wirklich viel Ahnung habe, hätte ich gerne mal eure Meinung wie sicher das Ganze ist.
Ich habe über Dyndyns eine Weiterleitung eingerichtet und nur den Port 443 in der Router Firewall auf den Server geforwarded. Über den Internet-Assistenten in der Serververwaltungskonsole habe ich nur den Internetzugriff auf OWA erlaubt. Als Zertifikat habe ich die dyndns Adresse eingetragen. Ich habe den für OWA freigeschalteten Benutzern ein sicheres PW gegeben (9-stellig, Buchst. & Zahlen, groß und klein). Funktioniert soweit alles wunderbar. Nun meine Fragen:
1. Ich habe unter „Serververwaltungskonsole > Benutzer“ das OWA für die Benutzer deaktiviert bzw. aktiviert (Standard war aktiviert). Verstecken sich vielleicht irgendwo anders noch „Nutzer“ mit denen man sich in OWA einlogen könnte?
2. Ich würde gerne die Anzahl max. fehlgeschlagener Logins für OWA festlegen (z.B. 10 mal, dann gesperrt). Geht bzw. wo geht das?
3. Da eine dyndns Adresse nicht besonders einprägsam ist, habe ich eine Weiterleitung von einer Subdomain eingerichtet (mail.firma.de nach https://firma.dyndns.org/exchange). 1und1 bietet hier auch die Möglichkeit einer Frame-Weiterleitung (https Seite öffnet sich im Frame, Vorteil: Schöne Adressleiste, Nachteil: sichere Verbindung wird nicht angezeigt)
Bestehen hier irgendwelche weiteren Sicherheitsnachteile?
4. Ich würde unseren wenigen Mitarbeitern sagen, dass sie das „fehlerhafte“ Zertifikat akzeptieren sollen oder lohnt sich doch der Aufwand eines „fehlerfreien“ Zertifikats?
Bin für alle weiteren Anregungen dankbar.
Gruß aus dem sonnigen Hamburg
Para
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 86851
Url: https://administrator.de/contentid/86851
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Para,
Ich nehme mich einmal Frage Punkt Nummero 4 an.
Du redest hier von einem SSL Zertifikat, welches sich unterschiedlich nach Anbieter in einem Preis von zirka 900 € (verisign) bis zirka 50 Dollar (FreeSLL, Zertifikate von GeoTrust). Bei kostenlosen Zertifikaten ist darauf zu achten, das der Private Key auf dem Lokalen Server generiert wird und nicht "online" wie es zum Beispiel bei dem teilweise kostenlosen Anbieter Start Com ist, wodurch es möglich wird (für StartCom ) sämtliche Verschlüsselte Daten zu dechriffieren, was ja genau das ist was der Zertifikat verhindern soll.
Soviel zu dem Praktischen Teil, nun zu meiner Meinung ob man so etwas benötigt. Sehr viele Mailserver die im Moment in Betrieb sind, benutzen kein SLL bzw. nicht zwingend. Also Tausende Kunden von Providern schicken jeden Tag ihren Benutzernamen, und ihr Passwort im Klartext bzw Base64-kodiert (das ist keine Verschlüsselung) durch das WWW. Die Wahrscheinlichkeit, das jemand einen Phishing Website einrichtet um die OWA Anmeldung zu fälschen, ist wohl eher gering, wenn aber doch, wird sich eine Person mit dieser Absicht, auch ein nicht CA Zertifikat besorgen können (so nennt man die Zertifikate die von eingetragenen Zertifikatstellen Ausgegeben werden z.B. Start Com)
Das waren die Fakten, ich denke entscheiden musst du selbst.
Mit freundlichen Grüßen,
Alexander Schuhmann
Ich nehme mich einmal Frage Punkt Nummero 4 an.
Du redest hier von einem SSL Zertifikat, welches sich unterschiedlich nach Anbieter in einem Preis von zirka 900 € (verisign) bis zirka 50 Dollar (FreeSLL, Zertifikate von GeoTrust). Bei kostenlosen Zertifikaten ist darauf zu achten, das der Private Key auf dem Lokalen Server generiert wird und nicht "online" wie es zum Beispiel bei dem teilweise kostenlosen Anbieter Start Com ist, wodurch es möglich wird (für StartCom ) sämtliche Verschlüsselte Daten zu dechriffieren, was ja genau das ist was der Zertifikat verhindern soll.
Soviel zu dem Praktischen Teil, nun zu meiner Meinung ob man so etwas benötigt. Sehr viele Mailserver die im Moment in Betrieb sind, benutzen kein SLL bzw. nicht zwingend. Also Tausende Kunden von Providern schicken jeden Tag ihren Benutzernamen, und ihr Passwort im Klartext bzw Base64-kodiert (das ist keine Verschlüsselung) durch das WWW. Die Wahrscheinlichkeit, das jemand einen Phishing Website einrichtet um die OWA Anmeldung zu fälschen, ist wohl eher gering, wenn aber doch, wird sich eine Person mit dieser Absicht, auch ein nicht CA Zertifikat besorgen können (so nennt man die Zertifikate die von eingetragenen Zertifikatstellen Ausgegeben werden z.B. Start Com)
Das waren die Fakten, ich denke entscheiden musst du selbst.
Mit freundlichen Grüßen,
Alexander Schuhmann
Hallo,
Punkt 1:
Soweit ich weiß, wird standartmässig bei jedem Benutzer die OMA Funktion angeschaltet. Aber dies sollte man auch in den Richtlinien verändern können. (Wie, weiß ich gerade nicht, werde Nachschauen und geg. etwas sinnvolles Posten)
Zu Punkt 3:
Eigentlich sollte es dadurch keinerleih Sicherheitsprobleme geben. Wichtig ist nur, das von https://mail.firma.de auf https://firma.dyndns.org weitergeleitet wird
Ich würde noch Port 80 freigeben, voralleding wenn du ein Zertifikat nimmst, welches nicht von sämtlichen Browsern akzeptiert wird.
Mit freundlichen Grüßen
Alexander Schuhmann
Punkt 1:
Soweit ich weiß, wird standartmässig bei jedem Benutzer die OMA Funktion angeschaltet. Aber dies sollte man auch in den Richtlinien verändern können. (Wie, weiß ich gerade nicht, werde Nachschauen und geg. etwas sinnvolles Posten)
Zu Punkt 3:
Eigentlich sollte es dadurch keinerleih Sicherheitsprobleme geben. Wichtig ist nur, das von https://mail.firma.de auf https://firma.dyndns.org weitergeleitet wird
Ich würde noch Port 80 freigeben, voralleding wenn du ein Zertifikat nimmst, welches nicht von sämtlichen Browsern akzeptiert wird.
Mit freundlichen Grüßen
Alexander Schuhmann
hiho,
habe leider nicht viel zeit, daher nur kurz was zu punkt 4.
der aufwand für ein "fehlerfreies" zertifikat ist eigentlich sehr gering, sowohl
finanziell als auch technisch.
ich nutze bei unseren kunden immer das limitbreaker von hier:
http://www.psw.net/ssl.cfm
ist sehr günstig und auch in fast allen mobile devices enthalten, d.h. du musst
an mda, nokia und sonstigen handys nicht mit root-zertifikaten rumdoktern.
technisch ist es auch banal. zertifikatsrequest im iis generieren, assistent auf der
webseite starten und den text aus deinem request reinkopieren... zertifikat beantragen.
dauert ca. 2-3h dann bekommst du den link zum download deines zertifikats und
kannst es direkt über den assistent des iis importieren.
p.s.: sorry für kleinschreibung... sehr wenig zeit und internet via pda^^
gruß
patrick
habe leider nicht viel zeit, daher nur kurz was zu punkt 4.
der aufwand für ein "fehlerfreies" zertifikat ist eigentlich sehr gering, sowohl
finanziell als auch technisch.
ich nutze bei unseren kunden immer das limitbreaker von hier:
http://www.psw.net/ssl.cfm
ist sehr günstig und auch in fast allen mobile devices enthalten, d.h. du musst
an mda, nokia und sonstigen handys nicht mit root-zertifikaten rumdoktern.
technisch ist es auch banal. zertifikatsrequest im iis generieren, assistent auf der
webseite starten und den text aus deinem request reinkopieren... zertifikat beantragen.
dauert ca. 2-3h dann bekommst du den link zum download deines zertifikats und
kannst es direkt über den assistent des iis importieren.
p.s.: sorry für kleinschreibung... sehr wenig zeit und internet via pda^^
gruß
patrick