Exchange und Firewall

Wer würde heute schon einen Exchange Server ungeschützt in das Internet stellen. Keiner oder? Ich zumindest nicht. Zumindest rudimentäre Filter sollten das System gegen Angriffe und Missbrauch von außen schützen. Aber die Fragestellung ist keineswegs trivial. Schließlich bezeichnen verschiedene Hersteller ihre Software oder Hardware als Firewall und bewegen sich in Preisregionen von 39$ für eine so genannte Personal Firewall bis zu fünfstelligen Beträgen für eine Enterprise Firewall. Daher wird es auch mir nicht gelingen, auf dieser Seite eine befriedigende Antwort auf all Ihre Fragen zu geben. Allerdings möchte Ich ihnen neben einigen Basisgrundlagen einer Firewall vor allem die Aspekte aufzeigen, bei denen Exchange mit ins Spiel kommt. Dazu ist dieses Thema auf mehrere Seiten verteilt.

Teil1: Firewall Grundlagen

Zuerst ein paar Grundlagen zur Bedarfsermittlung

Teil 2: Firewall Technik

Der Begriff Firewall wird sehr breit genutzt. Viele DSL-Router für wenig Geld haben eine Firewall, auch Windows XP SP2 hat eine und eine Checkpoint kostet ein vielfaches. Was bedeutet Firewall denn genau und aus welchen Komponenten besteht eine Firewall

Teil 3: Die Zonen einer Firewall

Woher weiß die Firewall, was gut ist und was nicht ?. Was verbirgt sich hinter dem Begriff "DMZ"

Teil 4: Der Platz für Exchange, OWA und SMTP Relay

So viele Netzwerkzonen und wo ist nun der Platz für Exchange ?

Exchange, Firewalls, and Support… Oh, my!
https://blogs.technet.microsoft.com/exchange/2013/02/18/exchange-firewalls-and-support-oh-my/
Sehr lesenswerter Artikel zu Exchange und Firewalls

Teil 5: Beispiele

Es gibt keine "Standardinstallation" für Firewalls, aber es gibt durchaus häufig anzutreffende Konstellationen. Hier sind einige.

Teil 6: Exchange 2000 mit zwei SMTP

Sie möchten die Funktion "internes Mailen" und externes Mailen trennen ? Wunderbar, dann sind zwei SMTP-Server eventuell eine Lösung. Ansonsten können Sie sich über Frontend/Backend Konstellationen oder eigene Connector Server Gedanken machen

Worte der Warnung

Bitte glauben Sie nicht, dass allein diese Informationsseite ausreichend ist, ein Angebot, eine Planung oder eine Bewertung einer Anbindung zu realisieren. Auch wenn viele Hersteller versprechen, eine Firewall wäre einfach, ist es das Detail, welche eine Anbindung zum Erfolg oder Problem werden lässt.

Glauben Sie einfach mal einem Administrator, der seit 1995 mit einer Standleitung am Internet hängt und einige Angriffe überlebt hat und natürlich auch nicht. Es ist nicht ein Produkt alleine, welches Sicherheit liefert, sondern es ist die Gesamtlösung, die eine bessere Sicherheit schafft, Absolute Sicherheit bleibt eine Illusion.

Ich verzichte hier bewusst auf eine Anleitung, wie Sie was in einer Firewall frei schalten. Zum einen gibt es mehrere Produkte mit unterschiedlichen Ansätzen und KonfigurationsMöglichkeiten. Aber viel schlimmer wirkt, dass sich Regeln gegenseitig aufheben könnten oder die Reihenfolge wichtig ist, und da ich die bestehende Konfiguration ihrer Firewall nicht kenne, kann es keine gültige Antwort geben. Wenn Sie ihre Firewall selbst pflegen, sollten Sie das notwendige Wissen haben, denn die Freischaltung von POP3, SMTP, DNS und HTTP gehören zu den einfacheren Dingen einer Firewall im Gegensatz zu ICA, RPC, NFS und anderen Protokollen. Wenn Sie daran scheitern, dann rate ich ihnen auf jeden Fall einen Fachmann hinzu zu ziehen. Ein gut konfigurierter Exchange Server mit einem Portfilter auf dem Router davor ist oftmals sicherer als eine schlecht konfigurierte 10.000 DM Firewall.

Normalerweise ist die einfachste Einführung schon ein Workshop von mehreren Stunden, wie ich ihn einmal im Monat bei Net at Work halte. Wenn es notwendig könnten wir hier auch die einzelnen Bits auf dem Kabel nachspüren oder die Anbindung von außen mit Tools wie Saint, Nmap etc. Prüfen, aber dies würde den Rahmen einer Exchange FAQ sprengen.

Der Vollständigkeit halber sei auch noch auf den Artikel Funktion von SMTP im Internet als auch auf den Artikel zu OWA hingewiesen. Auch die Abhandlung zur Clientkommunikation sollten Sie können. Nicht jeder Firewall beinhaltet auch eine Komponente zum Schutz gegen Relay. Sie sollten daher auf jeden Fall prüfen (am besten sofort), ob ihr Mailsystem sicher gegen Relay ist.

Weitere Links

Links zu anderen FAQs

Ganz besonders die Firmen mit einem ISA-Server sollten folgende Links können

Links zu anderen Firmen


Nächste Seite