Exchange Server 2013: Sicherheitseinstellungen aktivieren und verwalten

Administratoren, die lokale Exchange-Server auf Basis von Exchange Server 2013 betreiben, sollten die wichtigsten Bereiche der Sicherheit im Auge behalten und Sicherheitsfunktionen des Servers nutzen. ZDNet erläutert in diesem Beitrag die wichtigsten Sicherheitseinstellungen, auf die Administratoren achten sollten. Die vorgestellten Sicherheitsfunktionen lassen sich auch mit Office 365 umsetzen. Allerdings stehen die meisten Sicherheitsfunktionen nur für Unternehmen mit den großen Enterprise-Versionen von Office 365 zur Verfügung.

Verwalten der Sicherheit von Empfangsconnectoren

Exchange nimmt E-Mails entgegen und stellt diese an Empfänger zu oder leitet sie an andere Server weiter. Das Entgegennehmen von E-Mails sollte daher besonders abgesichert werden. Wie bei Sendeconnectoren, lassen sich auch bei Empfangsconnectoren in den Eigenschaften Sicherheitseinstellungen aktivieren. Da Empfangsconnectoren auch die E-Mails aus dem Internet in Empfang nehmen, sollten hier wichtige Einstellungen überprüft und festgelegt werden.

Während der Installation von Exchange 2013, erstellt der Assistent automatisch Empfangsconnectoren, die man aber nachträglich bearbeiten oder anpassen kann. Der Connector Default Frontend <Servername> ist bereits so konfiguriert, dass er E-Mails aus dem Internet empfangen kann.

Verwalten der Exchange-Empfangsconnectoren im Exchange Admin Center (Screenshot: Thomas Joos).

Die Konfiguration von Empfangsconnectoren erfolgt über das Exchange Admin Center über Nachrichtenfluss/Empfangsconnectors. Der Connector Client Frontend <Servername> dient dem Verbindungsaufbau von Nicht-MAPI-Clients, zum Beispiel der Verbindung über POP3 oder IMAP4. Der Connector nimmt über jede Netzwerkverbindung von allen IP-Adressen Anfragen entgegen. Er antwortet auf den Port 587. Auf der Registerkarte Sicherheit, in den Eigenschaften von Connectoren, konfigurieren man die Authentifizierung für Empfangsconnectoren. Hier wird festegelegt, wie sich andere E-Mail-Server an diesem Server anmelden müssen, damit der Connector E-Mails entgegennimmt und zustellt:

Layer Security (TLS) — Durch die Aktivierung dieser Option, verwendet der Server TLS-Authentifizierung. Die Datenübertragung ist ähnlich wie beim Zugriff auf eine HTTPS-Adresse über SSL verschlüsselt.

Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) — Durch das Aktivieren dieser Option, muss sich der Empfangsconnector mit TLS-Authentifizierung am Remoteserver genauso authentifizieren wie der Remoteserver am lokalen Server.

Standardauthentifizierung — Dadurch verwendet der Connector AUTH in der EHLO-Antwort an SMTP-Server, die eine Verbindung herstellen. Der Server akzeptiert dann die Standardauthentifizierung.

Standardauthentifizierung erst nach dem Start von TLS anbieten — Damit startet der Connector zunächst TLS und bietet erst danach die Standardauthentifizierung an.

Integrierte Windows-Authentifizierung — Dadurch verwendet der Connector NTLM und Kerberos für die Authentifizierung. Hierbei werden keine Kennwörter übertragen.

Exchange-Serverauthentifizierung — Damit verwendet der Connector eine TLS-Vertrauensstellung oder Kerberos über TLS, die nur von Exchange-Servern für die interne Kommunikation verwendet wird. Unterstützt werden die Versionen Exchange 2003/2007/2010/2013.

Extern gesichert (zum Beispiel mit IPSec) — Bei dieser Option wird die Verbindung durch ein VPN oder über IPSec gesichert. Durch die Aktivierung kann Exchange die Sicherung nicht überprüfen, da diese außerhalb der Exchange-Dienste stattfindet.