Absichern der Exchange Server-Kommunikation
Sichere Kommunikation zwischen Exchange Servern und Clients
Auf dieser SeiteModulübersichtIn diesem Modul wird beschrieben, wie eine höhere Sicherheit bei der Kommunikation zwischen Microsoft® Exchange Servern und Clients erzielt werden kann. Es führt auf, wie verschlüsselter RPC-Verkehr (Remote Procedure Call) zwischen dem Messaging- und Collaboration-Client für Microsoft Outlook® und dem Server aktiviert wird. Es werden detaillierte Anweisungen für die Verwendung eines Microsoft Internet Security & Acceleration Server gegeben, um den Verkehr von einem Webclient zum Exchange Server zu sichern. Darüber hinaus wird die Front-End/Back-End-Topologie erklärt, und wie Sie diese verwenden können, um den Client/Server-Verkehr noch besser zu sichern. Abschließend werden Möglichkeiten für das Sichern von SMTP-Verkehr (Simple Mail Transfer Protocol) aufgezeigt. Zielsetzung
BetrifftDie Informationen in diesem Modul gelten für folgende Produkte und Technologien:
Verwendung dieses ModulsDieses Modul ist ein Nachtrag zu Security Operations for Microsoft Windows 2000 Server (Microsoft Press, ISBN: 0-7356-1823-2). Es ist empfehlenswert, dass Sie dieses Handbuch vollständig lesen, bevor Sie mit diesem Modul fortfahren. Einige Abschnitte dieses Moduls beziehen sich direkt auf Informationen im Handbuch Security Operations for Microsoft Windows 2000 Server. Dies wird im Text entsprechend gekennzeichnet. Wir empfehlen außerdem, das Handbuch Microsoft Exchange 2000 Server Operations (Microsoft Press, ISBN: 0 7356-1831-3), in dem Sie weitere Informationen zum Einsatz von Exchange 2000 Server erhalten. Dieses Modul soll Ihnen beim Absichern der Exchange 2000 Server-Umgebung größtmögliche Hilfestellung bieten, ohne dass dabei die Hauptfunktionalitäten von Exchange Server beeinträchtigt werden. Dieses Handbuch konzentriert sich explizit auf die Schritte, die für das Erstellen und Aufrechterhalten einer sicheren Umgebung auf Servern erforderlich sind, die Exchange 2000 Server ausführen. Verwenden Sie dieses Handbuch als Teil der gesamten Sicherheitsstrategie für Exchange Server. Dieses Handbuch ist kein vollständiges Nachschlagewerk für alle Aspekte des Erstellens und Verwaltens einer sicheren Umgebung. Dieses Modul sollte zusammen mit den Modulen "Absichern der Exchange 2000 Server-Umgebung" und "Absichern von Computern mit Exchange 2000 Server - basierend auf ihrer Rolle" verwendet werden. Dieses Modul bietet detaillierte Methoden für das Sichern von Exchange-Front-End- und -Back-End-Servern mithilfe von verschlüsseltem RPC, ISA Servern, SSL und IPSec. Zusätzlich wird das Sichern von SMTP-Übertragungen beschrieben. Die Schritte sind modular und geben klare Anweisungen, wie die Server mit den Einstellungen konfiguriert werden. Sie können diese auf eine neue oder vorhandene Exchange Server-Umgebung anwenden. EinführungWenn Sie die Sicherheit Ihres Netzwerks erhöhen wollen, sollten Sie nicht nur die Sicherheit der Computers selbst, sondern auch die Daten untersuchen, die zwischen diesen übertragen werden. Bei jedem System ist die beste Vorgehensweise, die verfügbare Funktionalität zu betrachten und zu untersuchen, was in Bezug auf das Risiko erforderlich ist, das von jeder Funktion ausgeht. In diesem Handbuch wird davon ausgegangen, dass Sie die Möglichkeit zum Senden und Empfangen von E-Mails über das Internet erfordern, und auf Exchange Server über das Internet mithilfe von Outlook Web Access zugreifen. Wenn Sie diese Funktion nicht benötigen, können Sie Ihre Systeme noch besser sperren. Wenn Sie andererseits POP3- und IMAP4-Funktionen benötigen, müssen Sie Ihre Umgebung öffnen, um diese einzusetzen. Die in diesem Handbuch empfohlene Front-End/Back-End-Umgebung ermöglicht Ihnen das Senden von E-Mails an das Internet und das Empfangen dieser aus dem Internet sowie das Bereitstellen des Zugriffs auf Exchange Server über das Internet. Dieses Modul konzentriert sich auf das Sichern dieser Kommunikation und untersucht ebenfalls das Sichern von Kommunikation auf dem Client. Hinweis: Auf Outlook kann über das Internet zugegriffen werden, indem ein Exchange-RPC-Anwendungsfilter verwendet wird, der auf ISA Servern zur Verfügung steht. Diese Methode des Zugriffs auf Exchange Server wird in dieses Handbuch nicht behandelt. Weitere Informationen finden Sie in den Whitepaper "Configuring and Securing Microsoft Exchange 2000 Server and Clients" und dem Handbuch Microsoft Exchange 2000 Server Hosting Series (Microsoft Press, ISBN: 0-7356-1829-1 und 0-7356-1830-5), die im Abschnitt "Weitere Informationen" aufgeführt sind. Absichern der Kommunikation in Outlook 2002Sie können eine Reihe von Maßnahmen in Outlook 2002 ergreifen, um die Sicherheit der Kommunikation zu erhöhen. Dazu gehören:
Verschlüsseln der MAPI-Verbindung von Outlook 2002 zu Exchange Servern.Windows 2000 verfügt über ein integriertes Sicherheitsfeature, dass die 128-Bit-Verschlüsselung von RPC-Kommunikation ermöglicht. Die MAPI-Verbindungen werden über RPC abgewickelt, wodurch Sie die Vorteile dieses Features verwenden können, um die Sicherheit Ihrer Verbindung von Outlook 2002-Clients zu Exchange Servern zu erhöhen.
Hinweis: Sie können diese Einstellung auch festlegen, wenn Sie in Outlook 2002 Benutzerprofile festlegen. Die RPC-Verschlüsselung verschlüsselt nur Daten, die vom MAPI-Client zum Exchange Server transportiert werden. Die Nachrichten selbst werden nicht verschlüsselt. Signieren und Verschlüsseln von NachrichtenIn Outlook 2002 können Sie Nachrichten für die Übertragung an interne oder externe Empfänger signieren und verschlüsseln. Für diese Verschlüsselung benötigen Sie ein Zertifikat. Wenn Sie signierte und/oder verschlüsselte E-Mails an Internetempfänger übertragen möchten, müssen Sie ein anerkanntes Zertifikat (auch als digitale ID bezeichnet) von einem Drittanbieter verwenden. Sobald Sie ein Zertifikat auf dem Client installiert haben, können Sie mit dem Senden von signierten und verschlüsselten Nachrichten unter Verwendung von S/MIME beginnen. Sie können verschlüsselte E-Mails nur an andere Benutzer senden, wenn Sie Zugriff auf deren öffentlichen Schlüssel haben. Das wird erreicht, indem ein anderer Benutzer Ihnen eine signierte Nachricht sendet, und Sie diesen Benutzer zu Ihren Kontakten hinzufügen. Sie verfügen nun über dessen öffentlichen Schlüssel. Hinweis: Weitere Informationen über das Signieren und Verschlüsseln von Nachrichten finden Sie im englischen Knowledge Base-Artikel Q286159 "Encryption and Message Security Overview". SchlüsselverwaltungsdienstWenn Sie regelmäßig signierte und verschlüsselte Nachrichten zwischen Benutzern innerhalb Ihrer Exchange Server-Organisation austauschen möchten, sollten Sie die Verwendung des Schlüsselverwaltungsdiensts in Erwägung ziehen, der in Exchange 2000 Server zur Verfügung steht. Dieser Dienst verwendet Windows 2000-Zertifikatdienste und bietet Zugriff auf öffentliche Schlüssel mit sicherem und zentralem Zugriff auf private Schlüssel. Dies bietet Clients einen reibungslosen Zugriff auf signierte und verschlüsselte Nachrichten, und ermöglicht diesen das Senden dieser Nachrichten an jeden anderen Empfänger in der globalen Adressliste (GAL) mit aktivierter Sicherheit. Hinweis: Wenn Sie einen Schlüsselverwaltungsserver mit einer Zertifizierungsstelle verwenden, die einer Zertifizierungsstelle eines Drittanbieters untergeordnet ist, können Sie die Schlüsselverwaltungsdienste mit anderen im Internet integrieren. Absichern der Outlook Web Access KommunikationAuf den ersten Blick ist die Kommunikation mit OWA sehr einfach. Die Webbrowser kommunizieren für E-Mails mit OWA-Servern. Dies wird über Port 80 durchgeführt, oder über Port 443, wenn die Kommunikation sicher ist. Während Client jedoch eine Verbindung zu Front-End-Servern über Port 80 oder Port 443 herstellen, müssen die Front-End-Server wiederum mit Domänencontrollern in ihrer Domäne kommunizieren, um die Benutzer zu authentifizieren. Sie müssen zusätzlich mit Exchange-Back-End-Servern kommunizieren, um tatsächlich auf die Informationen des entsprechenden Postfachs oder öffentlichen Ordners zuzugreifen. Die OWA-Front-End-Server können gesichert werden, indem Sie innerhalb eines Perimeternetzwerks (wird auch als demilitarisierte Zone, DMZ, bezeichnet) platziert werden, wobei der Back-End-Server sich innerhalb der inneren Firewall befindet. Damit dieses entsprechend in Betrieb genommen werden kann, muss eine große Anzahl von Ports auf der inneren Firewall geöffnet werden. Verwenden von ISA Servern zum Sichern von OWAUm die Anzahl der erforderlichen offenen Ports auf der inneren Firewall zu minimieren, können Sie eine Firewall auf Anwendungsebene verwenden, wie den Microsoft ISA Server. Mithilfe eines ISA Servers können Sie sowohl den SMTP-Server als auch den OWA-Front-End-Server hinter der Firewall platzieren. Durch Verwenden von Serverpublishing- und Webpublishingregeln verdeckt der ISA Server die Identität der internen Server vor dem Internet, ohne diese Server in der DMZ-Zone zu platzieren. Hinweis: Eine Liste der Ports, die für die Kommunikation zwischen Front-End- und anderen Servern verwendet werden, finden Sie im Whitepaper "Exchange 2000 Front-end and Back-end Topology", das im Abschnitt "Weitere Informationen" am Ende des Moduls aufgeführt wird. Abbildung 1 zeigt einen ISA Server, der einen OWA-Server und zwei OWA-Clients im Internet veröffentlicht:  Abbildung 1 Hinweis: In dieser Konfiguration müssen sich externe DNS-Einträge für die Front-End-Server auf die IP-Adresse beziehen, die auf dem ISA Server veröffentlicht ist und nicht auf die Adresse des OWA-Front-End-Servers. Hinweis: Wenn Sie die vorhandenen beiden Firewallinfrastrukturen nicht ändern können, um den ISA Server aufzunehmen, können Sie den ISA Server innerhalb der aktuellen inneren Firewall platzieren und den TCP-Port 443 über den ISA Server übertragen. Die Firewalls schützen die Server vor Angriffen. Sie müssen jedoch auch die Daten schützen, die zwischen den Servern übertragen werden. Wenn Webbrowser-Clients im Internet auf Exchange Server über OWA unter der Verwendung von HTTP zugreifen, geschieht Folgendes:
Als Teil der Konfiguration der Microsoft Internetinformationsdienste (IIS) für die Unterstützung von OWA müssen Sie die Standardauthentifizierung aktivieren. Die integrierte Windows-Authentifizierung kann nicht ausgeführt werden, da das einzige für die Kommunikation verwendete Protokoll entweder HTTP oder HTTPS ist. Sie sollten keinen anonymen Zugriff verwenden, da dies die E-Mail-Umgebung für alle Personen im Internet öffnet. Standardauthentifizierung bedeutet, dass Kennwörter und E-Mails über eine HTTP-Verbindung in unverschlüsselter Form über das Internet übertragen werden. Wenn keine zusätzlichen Verschlüsselungsmethoden verwendet werden, werden die Pakete weiterhin unverschlüsselt zwischen dem ISA Server und dem OWA-Front-End-Server im Klartext übertragen. Nachdem OWA die Authentifizierung ausgeführt hat, werden die gleichen unverschlüsselten Informationen, einschließlich Kennwörter, über HTTP zwischen OWA-Front-End-Server und Back-End-Server gesendet. Um dies zu verhindern, ist es wichtig, die Benutzerinformationen auf dem gesamten Übertragungsweg zwischen dem Webbrowser und dem Back-End-Server zu verschlüsseln. Dies kann folgendermaßen erzielt werden:
Jeder dieser Punkte wird nun nacheinander untersucht. Absichern der Kommunikation zwischen Webbrowsern und ISA ServernUm Daten zwischen Webbrowsern und einem ISA Server mithilfe von SSL zu verschlüsseln, müssen Sie ein SSL-Zertifikat auf dem ISA Server und einen entsprechenden SSL-Listener installieren. Das Zertifikat sollte von einer globalen vertrauenswürdigen Zertifizierungsstelle ausgestellt sein, da es von externen Webclients verwendet wird, die möglicherweise nicht Teil der Infrastruktur Ihrer Organisation sind. Konfigurieren von ISA Servern für die Unterstützung von SSL-KommunikationISA Server können auf unterschiedliche Weise konfiguriert werden, um SSL-Anforderungen von Webbrowsern zu akzeptieren. Sie können:
Hinweis: Das Entschlüsseln und Verschlüsseln von SSL-Kommunikation erfordert ISA Server mit Service Pack 1 oder höher. Die nachfolgenden Vorgehensweisen können nicht ausgeführt werden, wenn ISA Server mit Service Pack 1 oder höher nicht installiert wurde. Von diesen drei Methoden ist die sicherste Methode, die Pakete zu entschlüsseln und sie dann wieder zu verschlüsseln, weil der ISA Server auf diese Weise die Daten auf Sicherheitsrisiken untersuchen kann. Die Daten können auf diese Weise auch nicht innerhalb des ISA Servers angegriffen werden. Hinweis: Die Gesetze in einigen Ländern können das Entschlüsseln und Untersuchen von Daten an einem Vermittlungspunkt in Ihrem Netzwerk verhindern. Sie sollten die Legalität dieser Lösung überprüfen, bevor Sie diese anwenden. Hinweis: Um die Leistung zu verbessern und den Overhead von SSL zu verringern, sollten Sie die Verwendung von SSL-Beschleunigernetzwerkadaptern in Betracht ziehen. Um die Daten erfolgreich zu verschlüsseln, sollten Sie Folgendes sicherstellen:
ISA Server verwenden eine Webpublishingregel, um die OWA-Server für Internetclients zur Verfügung zu stellen. Bevor jedoch die Webpublishingregel erstellt werden kann, muss Webpublishing selbst auf dem ISA Server vorbereitet werden. Dies wird durch Konfigurieren von Eingehenden Webanforderungen und Ausgehenden Webanforderungen erzielt. Hinweis: Bevor Sie die folgende Vorgehensweise durchführen können, müssen Sie die externen Zertifikate importieren.
Hinweis: Das Ausführen der folgenden Vorgehensweise verhindert, dass Benutzer im internen Netzwerk den ISA Server als einen Proxyserver verwenden können, um Websites im Internet auszurufen. Diese Vorgehensweise ist nicht erforderlich, um OWA über ISA zur Verfügung zu stellen, aber sie ist für zusätzliche Sicherheit enthalten.
Sie können jetzt Webpublishing konfigurieren, um OWA zu unterstützen.
Hinweis: Sie müssen ebenfalls entsprechende Regeln für Port 80 und Port 443 auf den entsprechenden Routern und Firewalls in Ihrer Umgebung konfigurieren. Hinweis: Weitere Informationen über das Veröffentlichen von SMTP und OWA mithilfe von ISA Servern finden Sie (in englischer Sprache) in den Knowledge Base-Artikeln Q290113 "How to Publish Outlook Web Access Behind ISA Server" und Q308599 "How to Configure ISA Server to Publish Exchange for OWA". Verschlüsselung zwischen ISA Servern und OWA-Front-End-ServernUm HTTP-Verkehr zwischen ISA Servern und einem OWA-Front-End-Server zu verschlüsseln, müssen Sie ein SSL-Zertifikat auf den OWA-Front-End-Servern installieren. Die ISA Server und OWA-Front-End-Server sind Teil der Infrastruktur der Organisation, daher muss das OWA-Front-End-Zertifikat von der internen Stammzertifizierungsstelle oder von einer der untergeordneten vertrauenswürdigen Zertifizierungsstellen ausgestellt werden.
Hinweis: Bei den folgenden Schritten wird davon ausgegangen, dass in Ihrer Umgebung eine Zertifizierungsstelle installiert ist.
Hinweis: Der gemeinsame Name ist der vollqualifizierte Domänenname des OWA-Servers, da dieser der Eigenschaft der OWA-Publishingregel auf dem ISA Server entspricht. Der ISA Server überprüft während des Publishingprozesses die Gültigkeit des OWA-Webzertifikats zusammen mit der Zertifikatsvertrauensüberprüfung und dem Zertifikatsablaufdatum. Verschlüsselung zwischen OWA-Front-End-Servern und Back-End-Exchange ServernSie können Daten zwischen OWA-Front-End-Servern und Back-End-Servern nicht mithilfe von SSL verschlüsseln. Da jedoch sowohl die Front-End- als auch die Back-End-Server Windows 2000 ausführen, können Sie IPSec für diese Verschlüsselung verwenden. IPSec hat den Vorteil, dass es wesentlich schneller als SSL ist. Hinweis: Um die Leistung zu verbessern und den Overhead von IPSec zu verringern, sollten Sie die Verwendung von speziellen Netzwerkadaptern in Betracht ziehen, die die Last der IPSec-Verarbeitung übernehmen. Mit IPSec können Sie steuern, welche Protokolle vom Netzwerkadapter akzeptiert werden. Sie können darüber hinaus bestimmte Ports blockieren oder zulassen sowie Ports verschlüsseln. Im Fall von Front-End/Back-End-Serverkommunikation müssen Sie sicherstellen, dass Port 80 verschlüsselt ist. IPSec wird über IPSec-Richtlinien gesteuert, die in den Windows 2000-Gruppenrichtlinien definiert sind. Tabelle 1. IPSec-Richtlinieneinstellungen
Sie können eingehende Anforderungen vom Front-End-Server blockieren, da der Front-End-Server jede Kommunikation mit dem Back-End-Server startet. Durch Blockieren dieser Anforderungen wird unbeabsichtigte Übertragung von Benutzerinformationen im Klartext verhindert und das Risiko von Pufferüberlaufangriffen auf Front-End-Server minimiert. Erstellen der IPSec-Richtlinien von OWA-Front-End-ServernDer erste Richtlinie, die erstellt und konfiguriert werden muss, ist für den OWA-Front-End-Server.
Erstellen der IPSec-Richtlinien von Back-End-Servern Die Richtlinie auf dem Back-End-Server verschlüsselt eingehenden Port 80-Verkehr.
Hinweis: Sie können IPSec-Einstellungen ebenfalls auf jeden lokalen Computer anwenden. Dadurch wird sichergestellt, dass IPSec auch im Fall eines Zugriffsfehlers auf die Gruppenrichtlinie des Domänencontrollers weiterhin verwendet wird. Überwachen von IP-Sicherheitsverbindungen Nach dem Konfigurieren von IPSec sollten Sie dessen Funktion überprüfen, indem Sie IPSec-bezogene Ereignisse überwachen und das IP-Sicherheitsüberwachungstool verwenden.
Hinweis: Weitere Informationen zu IPSec finden Sie im Handbuch "Step-by-Step Guide to Internet Protocol Security (IPSec)". Weitere Details finden Sie im Abschnitt "Weitere Informationen". Absichern der SMTP-KommunikationAuf jedem Exchange-Back-End-Server wird das SMTP-Protokoll ausgeführt, da es für die Übertragung von E-Mails zwischen Exchange Servern und über das Internet verantwortlich ist. In diesem Abschnitt wird beschrieben, wie SMTP-Kommunikation im Netzwerk bei gleichzeitiger Reduzierung des Risikos von Angriffen auf Ihre Organisation bereitgestellt wird. Verwenden von ISA Servern zum Sichern von SMTPWie bei den OWA-Front-End-Servern kann die Anzahl der offenen Ports auf der inneren Firewall mithilfe der Funktionen des ISA Servers ebenfalls minimiert werden. In diesem Fall können Sie das ISA Serverpublishing-Feature verwenden, um den SMTP-Server zu veröffentlichen, während der Exchange Server selbst hinter der Firewall positioniert wird. Der ISA Server verdeckt die Identität des internen SMTP-Servers, ohne das Exchange Server im Perimeternetzwerk positioniert werden muss. Hinweis: In dieser Konfiguration müssen sich externe DNS-Einträge für SMTP auf die IP-Adresse beziehen, die auf dem ISA Server veröffentlicht ist und nicht auf die Adresse des SMTP-Servers. Hinweis: Wenn Sie die vorhandenen beiden Firewallinfrastrukturen nicht ändern können, um den ISA Server aufzunehmen, können Sie den ISA Server innerhalb der aktuellen inneren Firewall platzieren und den TCP-Port 25 über den ISA Server übertragen. Hinweis: Sie sollten bei der Implementierung jeder Authentifizierungsart über Port 25 für SMTP die SSL-Authentifizierung aktivieren. Hinweis: Sie können das ausgehende SMTP-Protokoll auf einem ISA Server nicht veröffentlichen, wenn der Server ein aktives Mitglied des ISA-Array ist. Verwenden der Inhaltsfilterung mit dem Message ScreenerDurch die Inhaltsfilterung wird der SMTP-Filter aktiviert, der eingehenden Verkehr auf Port 25 zulässt, diesen untersucht und nur weiterleitet, wenn die Regeln dies zulassen. Der Filter kann Nachrichten anhand des Benutzernamens oder Domänennamens des Absenders, Anhängen oder Schlüsselwörtern akzeptieren oder zurückweisen. Er bietet sogar eingeschränkten Schutz vor DoS-Attacken. Damit der SMTP-Filter jedoch über den vollen Funktionsumfang verfügt, sollten Sie zusätzlich den Message Screener installieren. Der Message Screener ist ein eigenständiges Dienstprogramm, das mit dem ISA Server bereitgestellt wird. Es kann in vielen verschiedenen Konfigurationen installiert werden. Die sicherste Implementierung des Message Screener ist jedoch das Positionieren auf einem Server, der IIS mit einem virtuellen SMTP-Server ausführt. Dieser virtuelle Server kommuniziert dann mit Exchange Server, um E-Mails zu senden und zu empfangen. Dies hat den Vorteil, dass der Exchange Server am Rand des internen Netzwerks weiter isoliert wird. Hinweis: Weitere Informationen über den Einsatz des Message Screener finden Sie im englischen Knowledge Base-Artikel Q315132 "HOW TO: Configure SMTP Message Screener in ISA Server 2000". Weitere Details finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Moduls. Zusätzliche Maßnahmen für das Sichern von SMTPDas Veröffentlichen von SMTP über den ISA Server und das Verwenden des SMTP-Filters mit dem Message Screener trägt zum Schutz der Exchange-SMTP-Server bei. Sie sollten jedoch noch einige weitere Aktionen beachten. Verwenden eines separaten SMTP-GatewaysAls Teil der Strategie der umfassenden Verteidigung, können Sie Ihre Exchange-Back-End-Server vor SMTP-Angriffen schützen, indem Sie ein separates SMTP-Gateway in Ihrem Netzwerk verwenden. Alle eingehenden E-Mails aus dem Internet treffen zuerst auf diesen Server, bevor Sie an einen Exchange Server weitergeleitet werden. Dieser Server ist nicht Teil einer Windows 2000-Domäne und führt daher nicht Exchange Server aus. Der Vorteil dabei ist, dass ein externer Angreifer, der mithilfe von SMTP versucht auf Exchange Server zuzugreifen, zuerst auf den separaten SMTP-Server trifft. Das Ausschalten dieses SMTP-Server kann dazu führen, dass keine E-Mails mehr über das Internet gesendet werden können. Die interne E-Mail-Kommunikation ist davon jedoch unberührt. Auf diesem Server kann zusätzlich eine Antivirensoftware ausgeführt werden. Hinweis: Weitere Informationen über das Einrichten und Konfigurieren eines virtuellen SMTP-Servers finden Sie im englischen Knowledge Base-Artikel Q308161 "HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000." Verhindern von E-Mail-RelayBeim E-Mail-Relay wird ein Zwischenserver verwendet, der E-Mails annimmt und dann an Empfänger auf einem anderen Server weiterleitet. Dieser kann für legitimierte Zwecke verwendet werden. So können sich zum Beispiel servergespeicherte Benutzer mit Ihrem SMTP-Server verbinden, um E-Mails zu senden, wenn Sie sich außerhalb des Netzwerks befinden. Wenn Sie sich für begrenztes E-Mail-Relay von außerhalb des Netzwerks entscheiden, sollten Sie genau regulieren, was ausgeführt werden kann. Sie sollten darüber hinaus die Authentifizierung von den Benutzern sicherstellen, die von dieser Funktion profitieren (die Authentifizierung ist standardmäßig aktiviert). Wenn Sie das SMTP-Relay zu weit öffnen, können schnell große Mengen von E-Mails über den SMTP-Server übertragen werden. Dadurch wird die Leistung Ihrer Umgebung beeinträchtigt und die Anzahl der unerwünschten E-Mails über das Internet erhöht. Zusätzlich können Sie in Spam-Blockierungslisten aufgeführt werden, wodurch die Übertragung der legitimen E-Mails an ihr Ziel verhindert wird. Auch das autorisiertes E-Mail-Relay kann zu Problemen mit Ihrem E-Mailserver führen. Angreifer nutzen die Tatsache, dass der E-Mailserver authentifizierte Anforderungen akzeptiert, und versuchen Wörterbuchangriffe auf den Server durchzuführen. Eine gute Möglichkeit den Server zu schützen bietet ein möglichst umfangreiches Deaktivieren des E-Mail-Relay. Die externen Benutzer müssen sich zum Senden von E-Mails nicht direkt mit dem SMTP-Server verbinden, da Sie den OWA verwenden können. Um den Exchange Server von E-Mail-Relay zu schützen, sollten Sie die folgenden Maßnahmen an den internen virtuellen SMTP-Servern in Betracht ziehen:
Sie müssen diese Konfiguration auf SMTP-Servern am Gateway ein wenig öffnen. Die genauen Einstellungen hängen vom Nachrichtenfluss und der Konfiguration des Mailservers Ihres Internetdienstanbieters ab. Die beste Methode zum Erhöhen der Sicherheit besteht jedoch im vollkommenen Sperren der Systeme, um die Weiterleitung zu verhindern, und dem anschließenden Ermitteln der minimalen Einstellungen, die für den erfolgreichen Fluss von E-Mails erforderlich sind. Hinweis: SMTP ist für authentifizierte Computer erforderlich, wenn Sie IMAP und POP3 unterstützen möchten. Wenn Sie diese Protokolle aktivieren, sollten Sie das Erstellen eines separaten virtuellen Servers für diesen Verkehr in Betracht ziehen und das SSL-Zertifikat für den Schutz des virtuellen Servers verwenden. Hinweis: Weitere Informationen über das Schützen von unerwünschtem SMTP-Relay in Exchange Server finden Sie im englischsprachigen TechNet-Artikel "Controlling SMTP Relaying in Microsoft Exchange" und im englischsprachigen Knowledge Base-Artikel Q319356 "HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server." ZusammenfassungSie können nur dann davon ausgehen, dass Exchange Server die größtmögliche Sicherheit aufweist, wenn Sie Maßnahmen durchführen, die den Datenfluss absichern. Wenn Sie OWA über das Internet zulassen, ist dies besonders wichtig, da ohne richtige eingesetzte Sicherheitsmaßnahmen Kennwörter im Klartext über das Internet und innerhalb des internen Netzwerks übertragen werden. Verwenden Sie die Anweisungen in diesem Modul, um die Sicherheit Ihrer Exchange Server-Kommunikation zu erhöhen. Weitere InformationenWeitere Informationen über das Signieren und Verschlüsseln von Nachrichten finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q286159 Weitere Informationen über das Veröffentlichen von SMTP und OWA mithilfe von ISA Servern finden Sie (in englischer Sprache) unter: und http://support.microsoft.com/default.aspx?scid=kb;en-us;Q308599 Das Handbuch "Step-by-Step Guide to Internet Protocol Security (IPSec)" ist (in englischer Sprache) unter folgender Adresse verfügbar: http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx und http://support.microsoft.com/default.aspx?scid=kb;de-de;Q315132 Weitere Informationen über das Einrichten und Konfigurieren eines virtuellen SMTP-Servers finden Sie (in englischer Sprache) unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;Q308161 Weitere Informationen über das Verhindern von unerwünschten E-Mails mithilfe von Outlook 2002 finden Sie (in englischer Sprache) unter: http://office.microsoft.com/assistance/2002/articles/OlManageJunkAndAdultMail.aspx Weitere Informationen über das Verhindern von unerwünschten kommerziellen E-Mails finden Sie unter: http://support.microsoft.com/default.aspx?scid=kb;de-de;Q319356
|
In diesem Beitrag
|
