Guten morgen zusammen,
privat betreibe ich zum testen einen Exchange 2016 welcher mit OWA usw. im Netz direkt hängt (Fritzbox mit Portweiterleitung auf 443, gehärtet nach den Anleitungen von Frank). Bisher hatte ich null Probleme und der läuft nun schon seit einigen Jahren so.
Nun habe ich einen Kunden der einen Exchange Server haben möchte, nur möchte ich diesen nicht so ohne weiteres ins Netz hängen.
Wir bekommen dort eine neue Firewall von Watchguard. Meine Frage ist nun, reicht es aus wenn der Port 25 nur auf ist und 443, alles andere zu bleibt, oder ist es schon genau der SSL Port der dann die Probleme machen wird das man sich dort einhacken kann?
Sorry für die vielleicht dumme frage :)
Schöne Grüße
Michael
Findet vor dem Exchange Server bereits die Spamfilterung statt oder überlässt du das dem Exchange Server?
Du solltest dem Exchange Server idealerweise etwas vorschalten, das die Klassifzierung übernimmt und nur noch zustellen, was nicht als Spam klassifiziert wurde.
Den Empfangsconnector kannst du dann auf eine IP oder einen IP-Adressbereich eingrenzen, von dem er SMTP Anfragen entgegen nehmen soll.
Guten Morgen Michael,
wir haben in einem anderen Thread grundsätzlich diese Thematik schon aufgegriffen :
https://www.frankysweb.de/community/exchange2016/exchange-absichern/
Wir bekommen dort eine neue Firewall von Watchguard. Meine Frage ist nun, reicht es aus wenn der Port 25 nur auf ist und 443, alles andere zu bleibt, oder ist es schon genau der SSL Port der dann die Probleme machen wird das man sich dort einhacken kann?
Nichts ist 100% Sicher (:
Wir sprechen hier von normalen NAT/PortForwardings, ergo brauchst du für genau die beiden Ports solltest du dem Benutzer den Zugriff von extern gestatten wollen.
Grob zusammengefasst:
25 SMTP
443 Webdienste
Nun bin ich nicht der Watchguard Profi, aber ich denke hier kommt es auf das Modell und die Lizenz an welche Möglichkeiten du hast den Exchange Server sicherer zu machen in Hinsicht einer WAF.
Darüber hinaus kommt noch das Argument von Mathis, hier bieten sich wirklich gerade in solchen Umgebungen bestens die Cloud-Provider an für mehr Sicherheit und usability.
Gruß,
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Wie das die Watchguard handhabt weiß ich nicht. ich habe beim Kunden ne Sophos UTM - arbeitet als Mailrelay, Spamfilter und Reverseproxy. Sprich der Exchange ist nicht direkt erreichbar und so finde ich es ganz gut
Servus,
Wenn Port 443 von extern geschlossen bleibt, sind die Webdienste des Exchange Servers nicht über das Internet erreichbar, OWA und Outlook Anywhere funktionieren somit auch nicht. Wenn der Kunde diese Features nicht benötigt, dann muss natürlich auch Port 443 nicht veröffentlicht werden. Es wäre ja beispielsweise auch denkbar, das Benutzer zunächst eine VPN Verbindung herstellen, um dann auf Exchange zuzugreifen.
Port 25 ungefiltert ins Internet zu hängen, halte ich allerdings für keine gute Idee. Die AntiSpam und Virenschutz Features des Exchange Servers sind nur sehr sehr rudimentär. Mit Watchguard kenne ich mich ebenfalls nicht aus, wenn hier also keine Viren/Spam Filterung auf der Watchguard stattfindet, würde ich mir Gedanken um einen ordentlichen Spam Filter machen. Dies könnte beispielsweise auch ein Cloud Dienst wie Exchange Online Protection oder Proofpoint Essentials übernehmen.
Gruß,
Frank