Exchange und Firewalls

Seite 6/6

Exchange 2000 mit zwei virtuellen Servern

Die einen Administratoren schlagen die Hände über dem Kopf zusammen, wenn Sie einen Exchange Server direkt am Internet betreiben würden. Auf der anderen macht genau Microsoft dies und stellt eigene Exchange Server direkt an das Internet. Das ist auch erforderlich, wenn Sie z.B.: die Funktion des "Spam-Mail ablehnen" mit dem Intelligent Message Filter nutzen wollen. Dazu muss der Exchange Server schon bei der Verbindungsannahme die IP-Adresse des einliefernden Servers, den Empfänger und später auch den Inhalt prüfen und bei bedarf die Verbindung unterbrechen können.

Wenn Sie ihren Exchange Server nicht direkt am Internet betreiben wollen und trotzdem die Spamschutz Funktion benötigen, dann muss eine andere Software diese Funktionen übernehmen oder ein SMTP-Proxy wie NoSpamProxy übernimmt die Mailweitergabe.

Betreiben Sie jedoch ihren Exchange Server direkt am Internet bzw. über eine Firewall, die Verbindung auf Port 25/TCP direkt zu Exchange durchstellt, dann ist zumindest der virtuelle SMTP-Server auf Exchange auch möglichen Angriffen ausgesetzt. Auch wenn ein Angreifer hierüber nicht in Exchange eindringen kann so kann er doch die Funktion durch Überlastung (Denial of Service) stören oder gar ausfallen lassen.

Nun wird der Zugriff per SMTP auf Exchange noch für einige andere Funktionen benötigt z.B.

  • Intrasite Kommunikation
    Sind mehrere Server in einer Routing Gruppe zusammen gefasst, dann unterschalten Sie sich per SMTP miteinander
  • Routing Group Connectoren
    Ist ihre interne Struktur umfangreicher mit mehreren Standorten, dann nutzen Sie meist Routinggruppenconnectoren zur Verbindung der Routinggruppen. Auch diese Kommunikation erfolgt über SMTP
  • Interne SMTP-Sender
    Es gibt auch in einer Firma häufig Systeme, die nicht mit Outlook oder Outlook Webzugriff arbeiten, sondern per POP3 und IMAP4 zugreifen. Diese müssen ihre Mails natürlich per SMTP senden. Ebenso gibt es häufig Überwachungsprogramme und Systeme, die per SMTP einfache Alarme versenden oder Lösungen wie PDF2SMTP
  • Active Directory Replikation
    Es ist möglich, dass auch das Active Directory einige Informationen über SMTP repliziert.

Sie sehen also, dass ein Angriff auf einen von extern erreichbaren virtuellen SMTP-Server nicht nur die Kommunikation mit dem Internet stören kann. Aus diesem Grunde bietet es sich an, diese Funktionen von einander zu trennen und zwei virtuelle SMTP-Server zu betreiben. Da SMTP per Default nur auf Port 25 horcht und die Betrieb  mehrerer SMTP-Server auf einer IP-Adresse nicht möglich ist (Beim IIS können mehrere Webserver über Hostheader die gleiche IP-Adresse nutzen, es sei denn es wird SSL verlangt), benötigen Sie in dieser Konfiguration mindestens zwei IP-Adressen.

  • IP1: Internet
    Eine dieser Schnittstellen hat eine Verbindung zum Internet und ist damit direkt erreichbar. Wir vertrauen also der sicheren Funktion des SMTP-Servers von Windows ergänzt um die Funktionen von Exchange und einer korrekten Konfiguration durch den Administrator. Dieser virtuelle Server wird auch vom SMTP-Connector für ausgehende Mails verwendet
  • IP2: intern
    Die zweite Schnittstelle ist nur aus dem internen LAN erreichbar. Dieser virtuelle Server ist damit der Endpunkt für Client und Connectoren zwischen Routing Gruppen.

Damit lassen sich zwei virtuelle SMTP-Server aufbauen, die getrennt  zu konfigurieren sind. Damit kann der externe Server sehr viel restriktiver gehandhabt werden, als der interne Server.

Hier stehen noch Erweiterungen an. Bitte haben Sie Verständnis, wenn nicht alle Seiten gleich fertig sind

 

 

 Dies macht vor allem dann Sinn, wenn wir eine Trennung von internem und externen DNS haben, d.h. der interne DNS-Server keine externen Adressen auflösen kann und umgekehrt. Vor Exchange 2000 waren solche Konstellationen nur über Smarthosts (Relays) zu lösen.