relay ja/nein, Sicherheit port 25 443 auf sbs

08/03/2009 - 21:05 von derLars | Report spam
Hallo zusammen,

ich erklàre erst mal was ich habe:
SBS2003, Exchange 2003, automatische Updates aktiviert
DSL mit dyn IP
NAT übernimmt ein Router
Umleitung der Mails von Strato via dyndns auf einen internen W2K Relay
Server
Port 25 auf den Relay Server offen
Port 443 auf den Exchange Server offen
Der Webserver ist mit IIS Bordmitteln von extern nicht zu erreichen
Ich betreibe ActiveSync, AUTD, über SSL

Nun will ich die SBS Kiste so sicher wie möglich haben und hoffe auf Eure
Hilfe!

Ich habe zwar Kenntnisse im Netzbereich aber eher rudimentàr und nutze die
nur, wenn ich diese mal wieder brauche. Deswegen schon mal sorry!
Ich will den W2K SMTP Relay Server ablösen!
Frage 1: Ist es aus Sicherheitsgründen nötig ein SMTP Relay zu betreiben,
damit Exchange nicht direkt am Netz hàngt?
Meine Idee: Ich habe einen Linux Server den ich vorschalten möchte um mails
schon mal abzulehnen etc. Postfix oder Sendmail
Nur wenn es nicht "nötig" ist ein Relay vorzuschalten, lasse ich das
natürlich. Stromsparen!

Frage 2: Reicht es aus, den SBS via URLSCAN sicher zu machen, also nur die
Exchange relavanten Verzeichnisse nach aussen sichtbar zu machen?
Könnte der Linux Server auch die HTTPS Verbindung annehmen und mich dann auf
die Exchange Kiste weiterleiten?
Daraus resultiert die Frage ob es kein System gibt, das erkennt, jepp das
ist das Mobile von Lars, den lassen wir rein, den Rest nicht? MacAddress
oder so?

Ach ja, Kaufsoftware wird leider nicht in frage kommen können.

Sollte ich zu viel Bockmist geschrieben haben, sorry. Aber ich habe versucht
kurz zusammenzufassen womit ich mich beschàftige und was ich mir nicht
beantworten kann.

Gruß

Lars
 

Lesen sie die antworten

#1 Steinsdorfer Walter [MVP Exchange Server]
09/03/2009 - 09:32 | Warnen spam
Hi,

ich erklàre erst mal was ich habe:
SBS2003, Exchange 2003, automatische Updates aktiviert
DSL mit dyn IP
NAT übernimmt ein Router
Umleitung der Mails von Strato via dyndns auf einen internen W2K Relay
Server
Port 25 auf den Relay Server offen
Port 443 auf den Exchange Server offen
Der Webserver ist mit IIS Bordmitteln von extern nicht zu erreichen
Ich betreibe ActiveSync, AUTD, über SSL

Nun will ich die SBS Kiste so sicher wie möglich haben und hoffe auf Eure
Hilfe!



Sicherheit kostet, entweder viel Manpower oder Geld. Wichtig ist die
richtige Abwàgung wie viel Sicherheit brauche ich für mich/mein Unternehmen.


Ich habe zwar Kenntnisse im Netzbereich aber eher rudimentàr und nutze die
nur, wenn ich diese mal wieder brauche. Deswegen schon mal sorry!
Ich will den W2K SMTP Relay Server ablösen!
Frage 1: Ist es aus Sicherheitsgründen nötig ein SMTP Relay zu betreiben,
damit Exchange nicht direkt am Netz hàngt?



aus meiner Sicht: Für SMTP nein. SMTP ist ein uraltes (aus Internetsicht
gesehen) Protokoll. Da es wie der Name schon sagt "Simple" ist beinhaltet es
nur relativ wenig Befehle. Für SSL (Owa, RPC über https, Active Sync) ist
das was anderes. Hier wird der Tunnel meistens nicht an der Firewall
terminiert, der Exchange ist also der Endpunkt der Verschlüsselung. Damit
kann man wenn die Clients von denen man zugreift natürlich Viren geradezu
einladen. Hier wàre ein Verschlüsselungsendpunkt Vor dem Exchange sinnvoll
(sofern es sich um nicht selbst verwaltete Clients handelt).

Meine Idee: Ich habe einen Linux Server den ich vorschalten möchte um
mails
schon mal abzulehnen etc. Postfix oder Sendmail
Nur wenn es nicht "nötig" ist ein Relay vorzuschalten, lasse ich das
natürlich. Stromsparen!



siehe oben.


Frage 2: Reicht es aus, den SBS via URLSCAN sicher zu machen, also nur die
Exchange relavanten Verzeichnisse nach aussen sichtbar zu machen?
Könnte der Linux Server auch die HTTPS Verbindung annehmen und mich dann
auf
die Exchange Kiste weiterleiten?
Daraus resultiert die Frage ob es kein System gibt, das erkennt, jepp das
ist das Mobile von Lars, den lassen wir rein, den Rest nicht? MacAddress
oder so?



siehe oben.


Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://msmvps.com/blogs/wstein

Ähnliche fragen