Exchange 2000 unterstützt eine ganze Reihe von Zugriffsmöglichkeiten für Clients, darunter MAPI, IMAP, POP3 und Web. Als Beispiel soll hier die MAPI-Konfiguration dienen. Beim Zugriff auf Microsoft Exchange ist MAPI das gewählte Zugriffsprotokoll der Clients für die Kommunikation zwischen E-Mail-Client und Server.
Um den E-Mail-Clients vollen Zugriff auf den Server zu ermöglichen, muss man vier Ports durch die Firewall hindurch zum Windows 2000 Exchange Server in der DMZ öffnen. Der erste dieser vier Ports ist TCP 135 (RPC Endpoint Mapper).
Drei weitere Ports werden für die MAPI-Kommunikation des Clients zum Exchange Server verwendet. Obwohl diese Ports normalerweise beliebige Ports mit hoher Nummer sein können, empfiehlt sich die statische Zuweisung mithilfe von zwei Registry-Schlüsseln, um Sicherheitsalbträumen vorzubeugen. Man öffnet den Registrierungs-Editor (Regedt32.exe) und nimmt die entsprechenden Änderungen an den folgenden Schlüsseln vor:
Schlüssel 1
HKEY_LOCAL_MACHINESystemCurrentControlSetServices MSExchangeSAParameters
Name: TCP/IP Port
Typ: REG_DWORD
Wert: Wählen Sie einen ungenutzten Port, dessen Nummer größer als 1024 ist.
Name: TCP/IP NSPI Port
Typ: REG_DWORD
Wert: Wählen Sie einen ungenutzten Port, dessen Nummer größer als 1024 ist.
Schlüssel 2
HKEY_LOCAL_MACHINESystemCurrentControlSetServices MSExchangeISParametersSystem
- Microsoft Exchange Information Store Interface:
Name: TCP/IP port
Typ: REG_DWORD
Wert: Wählen Sie einen ungenutzten Port, dessen Nummer größer als 1024 ist.
Wenn diese Ports zum Windows 2000 Exchange Server in der DMZ offen sind, haben interne und externe Clients vollständigen Zugriff auf ihre Mailbox über ihr Outlook-Programm.
Fazit
Manchmal kann ein Geschäftsprozess die Netzwerkstruktur und Sicherheitsarchitektur an den Rand der Unsicherheit bringen. Dennoch ist die Einrichtung eines sicheren Zugangs zu einem Windows 2000 Exchange Server, der sich in der DMZ befindet, vergleichsweise einfach und unkompliziert. Viel schwieriger ist es, immer mit allen Patches auf dem Laufenden zu bleiben…
Neueste Kommentare
2 Kommentare zu Windows und Exchange 2000 durch die Firewall konfigurieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Exchange Server in der DMZ
Nach meiner Meinung hat ein EMail-Server in einer DMZ nichts verloren, da ja die Inhalte aller Postfächer und öffentlicher Ordner i.d.R. ebenfalls auf diesem Server liegen.
Besser ist es wohl einen Relay-Server in die DMZ zu stellen der zum einen EMails via SMTP an den Exchange Server im LAN weiterleitet bzw. für diesen als Smarthost zum Versenden funktioniert. Somit müssen nur die Ports für SMTP und DNS freigegeben werden, also erheblich weniger Koinfigurationsarbeit bei höherer Sicherheit. Ausserdem können bereits auf dem Relay-Server Prüfungen auf Viren bzw. Spam durchgeführt werden und so den eigentlichen Mailserver und die (hoffentlich) dort installierten Sicherheitsmechanismen entlasten.
AW: Exchange Server in der DMZ
In der Regel wird man diese Konfiguration mit der Front-End – Back-End Strategie bewerkstelligen (OWA). Firewall 1 (Port 80) -> Exchange (Front-End -> Firewall 2 (im Artikel genannte Ports) -> Produktiv Netz. Diese Konstellation ist in der Regel relativ sicher. Die Postfächer und die Öffentlichen Ordner liegen effektiv hinter der Firewall 2 auf dem Produktiv Server und sind somit geschützt. Der IIS sollte aber mit den Patches auf dem laufenden sein (URL Lockdown, Hotfixes, etc). Man kann aber auch anstatt der Firewall 2 einen ISA Server im Reverse Proxy Modus betreiben. Mit dieser Variante kann man sich den Front-End Server sparen.
Letztendlich ist es eine Abwägung zwischen Kosten und Sicherheit, für welche Variante man sich entscheidet.
Bei Front-End Back-End benötigt man zwei Exchangeserver Lizenzen. Der Front-End muss ein Advanced oder Enterprise Server sein (bis Exchange 2000, bei Exchange 2003 ist die Funktion schon in der Standard Version vorhanden).