Service Pack Exchange 2003

Bitte lesen Sie beide Seiten komplett, ehe Sie ein Service Pack installieren und auf die auftretenden Probleme korrekt reagieren zu können. Auf der Servicepack stehen die Hinweise zur Durchführung. Bitte achten Sie darauf, dass ihr Betriebssystem aktuell ist. Windows NT4 und Windows 2000 haben ihre eigenen Service Packs. Auch Zusatzdienste wie der IIS etc. haben eigene Fixes die eingespielt werden sollen.

Der beste Weg "aktuell" zu sein ist die Nutzung von "Microsoft Update" oder WSUS. Beide Produkte erkennen auch Exchange und zeigen ihnen alle erforderlichen Updates an

Es ist immer eine gute Idee, die aktuelle Installation mit ExBPA zu überprüfen.

Exchange 2003 (13. Apr 2010)

Recht überraschend kam Mitte April 2010 ein Update für den doch betagten Exchange 2000 Server heraus, welches in einem Security Bulletin angekündigt wurde. Der Windows SMTP-Stack, welcher auch von Exchange 2000 und 2003 genutzt wird, ist durch "Denial of Service"-Attacken zu stören und in dem Rahmen wurden Updates für alle vier Exchange Versionen auf einmal veröffentlicht.

Bitte installieren Sie das Update, wenn Sie einen Exchange 2000/2003 Server betreiben.

ACHTUNG
Es gibt Berichte, dass das Update einige Einstellungen(z.B. den Port) wieder auf Standards setzt. Wer also mehrere SMTP-Server z.B. kaskadiert und daher andere Ports als 25/TCP einsetzt, sollte nach dem Update die Einstellungen überprüfen.

Achtung
Dieser Patch wurde "RERELEASE", weil es wohl vermehrt Probleme gegeben hat. Bitte prüfen Sie, dass Sie die aktuellste Version einsetzen.

  • 976702 Security Update für Exchange Server 2003 Service Pack 2
  • 981832 MS10-024: Vulnerabilities in Microsoft Exchange and Windows SMTP Service could allow denial of service

Exchange 2003 Security Update

Am 9.Mai 2007 wurde eine Lücke in 2000/2003 und 2007 gefunden und gefixt. Zur Installation ist Exchange 2003 SP1 oder Exchange 2003 SP2 erforderlich.

Bitte prüfen Sie zügig, bis wann Sie dieses Rollup installieren können. Die Risiken sind in falsch formatierten Anlagen enthalten, die den Benutzern zugesendet werden.

Der Fehler sind interne Verarbeitungen von HTML-Anlagen, ical-Anlagen und anderen Inhalten. Wenn Sie das Rollup nicht installieren können, dann sollten Sie die Beschreibungen im Security Bulletin lesen, welche alternativen Sie haben. Im wesentlichen können Sie dann:

  • Anlagen vom Typ .HTM/.HTML blockieren
  • Anlagen vom Typ .ics blockieren
  • Zugriff per IMAP4 verhindern (Dienst stoppen)
  • Anonyme Zugriffe auf POP3/IMAP4 etc. verhindern
    (sollte ja eh verboten sein)
  • Anonyme Zugriff auf SMTP steuern
    Der anonyme Zugriff auf den SMTP-Stack können Sie nicht wirklich verhindern, da Sie dann keine Mails mehr aus dem Internet empfangen würden. Daher sind hier die Filter der Anlagen besonders wichtig.

Achtung
Auch wenn das Update per "WSUS" verteilt wird, so kann es ratsam sein, das Update manuell zu installieren, um detailliertere Meldungen zu erhalten. Bei meinem Server hat das Update "gestoppt". Allerdings konnte ich im Eventlog sehen, dass der MSI-Installer sich beschwert, dass einige Dateien von einem anderen Prozess blockiert wurden. Nachdem dieser andere Prozess (BackupAgent) beendet war, ist auch das Update fehlerfrei durchgelaufen.

Exchange 2003 SP2

Sie dazu auch die eigene Seite Exchange 2003 SP2.

Update für Microsoft Exchange Server 2003 (KB888619) 16.Sep 2005

Für den Einsatz eines MAC-Systems mit Office 2004 SP2 ist folgendes Update erforderlich, um alle Funktionen zu nutzen:

Ohne diesen Patch sind Ordner in delegierten Postfächern oder öffentliche Ordner für Office 2004 nicht beschreibbar.

Security Update für Exchange Server 2003 SP1 (KB894549)

Update für Exchange 2003 (KB 883543)

Und noch ein kleines Exchange 2003 PostSP1 Update

Exchange 2003 SMTP Hotfix

Ein Fehler in der DNS-Abfrage kann ihren Exchange 2003 Server lahm legen. Das Problem scheint darin zu liegen, wenn ihr Exchange Server seine Mails "DIREKT" in das Internet sendet und eine DNS-Abfrage macht. Exchange bekommt vom DNS-Server die Liste der Mailgateways für eine Domäne (MX-Record) zurück. Anscheinend hat der IISADMIN-Dienst ein Problem, wenn die Liste sehr lang ist.

Der Patch ist kritisch, denn ein Angreifer könnte z.B.: in seinem DNS-Server hunderte von MX-Einträgen aufführen und ihnen eine Mail mit Einschreiben senden. Beim der Zustellung der Quittung würde der IISADMIN dann stoppen.

Abhilfe:

  • Patch installieren:
    http://support.Microsoft.com/?id=885264 The Inetinfo.exe process repeatedly crashes and restarts, and "Event ID 7031" and "Event ID 7034" error events are repeatedly logged in the system log in Windows 2000 Server
  • Exchange sendet über einen Smarthost
    Nur in kleinen Umgebungen dürfte Exchange direkt an das Internet senden. In größeren Umgebungen wird Exchange seine Mails meist an ein System übergeben, welches z.B. Viren erkennt und andere Filter anwendet, ehe dieses System die Mails in das Internet weiterleitet
    Kleine Firmen sollten überlegen, ob Sie ihre Nachrichten nicht generell an einen Smarthost weiter leiten

Insofern ist der Fix schon wichtig, da ein Angreifer damit ihre Mailzustellung unterbrechen könnte. Eine Veruntreuung von Daten findet aber nicht statt. Der Fix ist übrigens nicht für Exchange alleine relevant, sondern auch Windows 2003 SMTP--Server ohne Exchange sind hiervon betroffen.

Exchange 2003 SP1

ACHTUNG: Vor der Installation ist unbedingt der Hotfix Q831464 zu installieren. Die Setuproutine weist aber auch gesondert noch mal darauf hin

Neue Funktionen

  • Mobile Device Update 4.0 für verbessertee WAP/OMA Unterstützung
  • Unterstützung von VSS Kopien (Schattenkopien)
  • Verschieben von Benutzern zwischen AdminGroups im Mixed Mode
  • ProfileUpdate: Passt das Profil des Benutzers an.
  • Mailbox recovery aus dem Exchange System Manager. Exmerge ist hierfür nicht mehr erforderlich.
  • OWA
    Weitere Rechtschreibprüfungen, aber auch Abwesenheitsassistenten, Suchordner, verbesserte Menüstruktur
  • Virenscan Schnittstelle VSAPI 2.5
    Verbesserte Funktion, da ältere Versionen haben manche verschlüsselte oder fremdsprachige Mails nicht zum Scannen übergeben.
  • Note Connector
    Unterstützung von Notes 6 und bessere Integrations- und Migrationstools
  • Verbesserte Support Tools
    http://www.Microsoft.com/downloads/details.aspx?FamilyId=E0F616C6-8FA4-4768-A3ED-CC09AEF7B60A&displaylang=en
  • Siehe auch Exchange 2003 Service Pack 1 Review
    http://www.MSExchange.org/pages/article.asp?id=661

Bisher gemeldete Probleme:

  • Antworten auf Mailadressen mit umlauten scheint nicht mehr zu gehen (?)
  • Ximian Evolution
    Dieser Open Source Client nutzt OWA/WebDAV. Vermutlich wird ein Update erforderlich werden, da die Kommunikation nach dem Update mit SP1 gestört ist.
  • Cluster
    Der virtuelle Server muss über ein Kontextmenü aktualisiert werden, ehe er startet-
  • OWA2003 und URLSCAN
    Das S/Mime Plugin ist nun eine EXE statt ein CAB. Entsprechend muss URLSCAN angepasst werden, da sonst die Clients das PlugIn nicht mehr herunterladen können.
  • PowerControls 2.1 Probleme
    Diese Version kann die EDB/STM-Dateien NICHT lesen. Erst nach Einspielen des Ontrack PowerControls SP1 ist dies wieder möglich. Die "EasyUpdate-Funktion" hilft ihnen dabei (Produkte:  PowerControls 2.0).
  • Small Business Server
    Nach der Installation des SP1 können im Eventlog immer wieder Meldungen über zu großen Speicherbedarf des STORE.EXE auftauchen. Hierzu gibt es einen Fix unter
    843539 Update für Windows Small Business Server 2003
    http://www.Microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=0fe89c95-e767-428c-8621-6a586c655ee3
  • Im Cluster Administrator können Sie sich die RessoUCE DLLs anschauen und wenn Sie dort mit der rechten Maustaste auf EXRES.DLL drücken komme ne Fehlermeldung "80004001 Funktion "Add menu elementes to context menu" not implemented in EXRES.DLL.". Dies stört aber die Funktion des Clusters nicht weiter.
  • "Update.exe /Forestprep" funktioniert nicht
    Wer wie bisher auch das Schema über Update.exe aktualisieren möchte, hat mit Exchange 2003 SP1 kein Glück. Bug ist gemeldet und bestätigt. Das Schemaupdate muss also weiterhin mit "setup.exe" der CD erfolgen.

Besondere Neuerungen sind nicht auf Anhieb zu sehen. Neben den üblichen Fehlerbereinigungen ist die Karteikarte "RPC over HTTP" zur vereinfachten Konfiguration und die Option zur leichteren Migration auch Benutzer zwischen administrativen Gruppen zu verschieben. Kleinere Änderungen an OMA als auch neue Sprachen für die Rechtschreibprüfung und die Unterstützung von Notes 6 mit einem Connector sind weitere Erweiterungen. Zeitgleich ist der Intelligent Message Filter verfügbar geworden.