Sicherheit für Microsoft Exchange Server

Vorwort
In den meisten Unternehmen basiert die Nachrichteninfrastruktur auf Exchange Server. Exchange Server bietet
eine skalierbare, zuverlässige und Active Directory Integrierte Nachrichtenplattform. Exchange Server 2003
ermöglicht Benutzern den Zugriff auf unternehmenskritische Anwendungen, wann immer und wo immer sie
diesen benötigen, und soll mehr Sicherheit, Verfügbarkeit und Zuverlässigkeit bieten als andere Nachrichten-
plattformen und auch frühere Exchange Versionen.

Hinweis:
Exchange Server ist nicht Bestandteil von Windows Server 2003. Aus diesem Grund können Sie sich in Bezug
auf sicherheitsrelevante Patches nicht auf Windows Update verlassen. Rufen Sie stattdessen die Seite
http://www.microsoft.com/exchange/downloads auf, um die aktuellen Updates herunterzuladen.
Seit SUS bzw. WSUS können auch mit Ihm Exchange Updates heruntergeladen werden.

Exchange ermöglicht Benutzern über einen Webserver den Zugriff auf Ihre E-Mails, indem sie eine Verbindung
mit einem OWA-Server (Outlook Web Access) herstellen. OWA wiederum verwendet IIS, weswegen Sie IIS
kennen müssen, um zu wissen wie Sie die Sicherheit für OWA konfigurieren. Nach der Installation verwalten
Sie Exchange Server mithilfe des System-Managers in der Programmgruppe Microsoft Exchange.

 

Netzwerkverschlüsselung
Zur Verschlüsselung der Kommunikation im Netzwerk verwendet Exchange das TLS-Protokoll (Transport
Layer Security), welches auf SSL basiert und mit diesem interoperabel ist. SSL hingegen wird von IIS und frü-
heren Exchange-Versionen (einschließlich Exchange Server 5.5) benutzt. Gehen Sie wie folgt vor um
die TLS Verschlüsselung zu erzwingen:

  1. Öffnen Sie die Konsole System-Manager.

  2. Erweitern sie den Knoten Server, dann Ihren Serverknoten, dann Protokolle und SMTP.

  3. Klicken Sie mit der rechten Maustaste auf den virtuellen Server und wählen Sie dann Eigenschaften
    um das Dialogfeld Eigenschaften zu öffnen.

  4. Klicken Sie auf die Registerkarte Zugriff.

  5. Klicken Sie auf Authentifizierung. Aktivieren Sie das Kontrollkästchen TLS-Verschlüsselung erfor-
    der    lich und klicken Sie auf OK.

  6. Klicken Sie auf die Registerkarte Übermittlung und dann auf Ausgehende Sicherheit.

  7. Aktivieren Sie das Kontrollkästechen TLS Verschlüsselung.

  8. Klicken Sie zweimal auf OK, um zum System Manager zurückzukehren.

Die Aktivierung von TLS schützt Nachrichten, die zwischen Mailservern mithlife von SMTP ausgetauscht werden,
nicht jedoch den Datenverkehr vom Client zum Server. Um die Kommunikation zwischen Webbrowsern und
OWA zu verschlüsseln, müssen Sie SSL am Webserver aktivieren. POP3- oder IMAP4 Benutzer (Post Office
Protocol Version 3, Internet Message Access Protocol 4) sollten einen Client verwenden, der SSL mit POP3
und IMAP4 unterstützt, zb. Microsoft Outlook Express. Alternativ können Sie den gesamten Datenverkehr
zwischen Clients und Servern mit IPSec verschlüsseln. Die IPSec Verschlüsselung ist swohl für Exchange als
auch für Clientanwendungen transparent.

 

Überlegungen zur Protokollierung
Mithlfe des Nachrichtenstatus kann Exchange praktisch alle Aktivitäten protokollieren, die am Nachrichtenser-
ver stattfinden, so etwa detaillierte Informationen zu Nachrichten, die von und an den Server gesendet wurden.
Zwar sind diese Protokollierungsoptionen für die Behandlung von Nachrichtenproblemen essenziell, aber für
sicherheitsbezogene Zwecke lassen sie sich - sofern Ihr System nicht etwa für die Überprüfung von Spam
missbraucht wird, was durchaus vorkomen kann - eher nicht verwenden.

Die in Exchange vordefinierten Überwachungsfunktionen sind allerdings für die Nachverfolgung von Gebrauch
und Missbrauch sehr nützlich. Die Überwachung in Exchange wird mit den gleichen Methoden implementiert,
die auch Windows Server 2003 nutzt, und Überwachungsereignisse erscheinen in der Ereignisanzeige. Gehen
Sie wie folgt vor, um die Überwachung unter Exchange Server 2003 zu aktivieren:

  1. Starten Sie den System-Manager und erweitern Sie den Knoten Server.

  2. Klicken Sie mit der rechten Maustaste auf ein Objekt, welches überwacht werden kann, also beispiels-
    weise auf eine Adressliste, einen Server oder einen Postfachspeicher, und wählen Sie dann Eigen-
    schaften    .

  3. Klicken Sie auf die Registerkarte Sicherheit und dann auf Erweitert.

  4. Klicken Sie auf die Registerkarte Überwachung.

  5. Klicken Sie auf die Schaltfläche Hinzufügen und wählen Sie dann die Benutzer aus, deren Aktionen Sie
    überwachen wollen.

  6. Das Dialogfeld Überwachungseintrag wird angezeigt. Klicken Sie auf die zu aktivierende Überwachung und
    dann auf OK.

    Beachten Sie, dass die Liste Zugriff nachrichtenspezifische Optionen wie Open Mail, Send Queue,
    Senden als    , und Empfangen als enthält.

  7. Klicken Sie zweimal auf OK, um zum System-Manager zurückzukehren.

Nachdem Sie die Überwachung aktiviert haben, können Sie die Überwachungsereignisse im Systemprotokoll
mithilfe der Ereignisanzeige betrachten.

 

Schützen von Exchange Server mit Firewalls
Sie sollten mithilfe einer Firewall verhindern, dass unnötiger Datenverkehr Ihre Exchange Servercomputer
erreicht. Exchange Server-Computer können zur Kommunikation mit Clients und anderen Mailservern
mehrere verschiedene Protokolle verwenden. Wann immer möglich, sollten Sie die Kommunikation ein-
schränken, sodass nur die benötigten Anschlüsse zwischen einem Exchange Server-Computer und ein-
em anderen Computer geöffnet sind. Die folgende Tabelle zeigt häufig auftretende Kommunikationssitua-
tionen von Exchange Servern und die entsprechenden Portnummern.

Netzwerkkommunikation Notwendiger Datenverkehr
Kommunikation mit Domänen-
controllern 		LDAP-Standardprotokoll (389/TCP; 636/TCP bei Verwendung von SSL)
LDAP-Kommunikation für Standortreplikationsdienst (379/TCP)
LDAP-Kommunikation für globalen Katalog (3368/TCP; 3269/TCP bei Verwendung von SSL)
Ausgehende DNS-Anforder-ungen an einen DNS Server DNS (53/TCP und 53/UDP)
Nachrichtenaustausch zwischen Servern SMTP Datenverkehr (25/TCP; 465/TCP bei Verwendung von TLS)
SMTP Verbindungsalgorithmus (691/TCP)
Clients, die E-Mail über POP3 herunterladen POP3 (110/TCP; 995/TCP bei Verwendung von SSL)
Clients, die E-Mail über IMAP4 herunterladen IMAP4 (143/TCP; 993/TCP bei Verwendung von SSL)
Client, der Newsreader einsetzt NNTP (119/TCP; 563/TCP bei verwendung von SSL)
Webbrowser, der E-Mail von OWA herunterlädt HTTP-Protokoll (80/TCP; 443/TCP bei Verwendung von SSL)
Clients, die Sofortnachrichten verwenden RVP (80/TCP sowie Anschlüsse über 1024/TCP)
Clients, die ein Chatprotokoll verwenden IRC/IRCX (6667/TCP; 994/TCP bei Verwendung von SSL

 

 

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006