msblog.eu

Sicherheit von Empfangsconnectoren

12. June 2011 by Malte Schoch 1 Comment

Damit der Exchange Server von bestimmten IP Adressen auf z.B. Port 25 E-Mails animmt, müssen hierfür Empfangsconnectoren erstellt werden. Dabei ist es wichtig, die Empfangsconnectoren nur für bestimmte IP Adressen freizuschalten. Des Weiteren haben Sie die Möglichkeit, die Authentifizierung und Berechtigungsgruppen auf Ihre Bedürfnisse einzustellen. In diesen Artikel möchte ich Ihnen die verschiedenen Optionen erklären.

 

 

 

 

 

 

 

 

 

 

Auf dieser Registerkarte können Sie die Authentifizierung festlegen, mit der sich die Clients am Exchange Server anmelden können, um E-Mails über diesen Connector zu versenden.

Transport l Layer Security (TLS) – Wenn Sie diese Option aktivieren, verwender der Serv er STARTTLS in der EHLO-Antwort an sendene Systeme und wartet auf eine TLS Authentifizierung. Die spätere Datenübertragung per SSL verschlüsselt.

Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) – Durch aktivieren dieser Option, muss sich der Empfangsconnecor (Exchange Server) an der Gegenstelle mit der gleichen Authentifizierung (TLS) authentifizieren.

Standardauthentifizierung – Diese Verbindung läuft nicht über SSL – Benutzername und Kennwort werden also unverschlüsselt übertragen. Um eine Standardauthentifizierung zu erlauben, verwendet der Exchange Server AUTH in einer EHLO-Antwort.

Standardauthentifizierung nur nach dem Starten von TLS anbieten – Ich würde Ihnen immer empfehlen, diese Option zusätzlich zur Standardauthentifizierung zu aktivieren. In diesem Fall wird erst TLS gestartet und anschließend die Standardauthentifizierung angeboten. Somit sind Benutzername und Kennwort bei der Übertragung wieder verschlüsselt.

Exchange Server Authentifizierung – Diese Option wird von Exchange 2003 / 2007 und 2010 für die interne Kommunikation unterstützt unterstützt. Durch das aktivieren dieser Option wird von dem Connector eine TLS Vertrauenstellung oder Kerberos über TLS verwendet.

Integrierte Windows-Authentifizierung – Hinter dieser Option versteckt sich die Verwendung von NTLM und Kerberos für die Authentifizierung. Es werden keine Kennwörter übertragen.

Extern gesichert (zum Beispiel IPsec) – Diese Option ist sinnvoll, wenn die Verbindung durch ein VPN oder IPsec gesichert werden soll. Der Exchange Server kann diese Sicherung nicht überprüfen. Darum ist es wichtig, dass sie auf dem nächsten Reiter  “Berechtigungsgruppen” die Option Exchange Server aktivieren.

 

 

 

 

 

 

 

 

 

 

Zusätzlich zu den Authentifizierungen können Sie auch verschiedene Berechtigungsgruppen für die Herstellung einer Verbindung konfigurieren.

Anonyme Benutzer – Alle Benutzer können eine Verbindung aufbauen.

Exchange Benutzer – Alle Authentifizierten Benutzerkonten können eine Verbindung aufbauen.

Exchange Server – Alle Mitglieder der AD Gruppe “Exchange Server” in der OU “Microsoft Exchange Security Groups” können eine Verbindung aufbauen.

Vollversionen von Exchange Server – Alle Mitglieder der AD Gruppe “ExchangeLegacyInterop in der OU “Microsoft Exchange Security Groups” können eine Verbindung aufbauen.

Partner – Alle Benutzerkonten aus anderen Gesamtstrukturen, welche mit dieser Organisation verbunden ist, können eine Verbindung aufbauen.

Filed Under: Exchange 2007, Exchange 2010 Tagged With: Exchange 2007, Exchange 2010, Relay

Trackbacks

  1. Anonymes Relaying erlauben | msblog.eu says:
    15. June 2011 at 22:09

    […] habe in den beiden Artiklen Sicheres Relaying erlauben und Sicherheit von Empfangsconnectoren darauf hingewiesen, welche Möglichkeiten Sie haben, ein sicheres Relay einzurichten. Es gibt ein […]

    Log in to Reply

Leave a Reply Cancel reply

You must be logged in to post a comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Ein Blog über Exchange Server

Ein Blog über Exchange Server

Tags

Active Sync Adress Policy ADSI-Edit Berechtigungen BPA CAS CAS Array DAG Database Dienste Exchange 2003 Exchange 2007 Exchange 2010 Exchange 2013 Exclaimer Installation Internal Internet Explorer iPhone ISA / TMG Server Lizenzen Logs Mailbox Management Studio Migration Outlook 2007 Outlook 2010 Outlook 2013 Outlook Web Access Permission Powershell PST Public Folder Relay Security Service Packs SQL Server Transport Rules Uninstall Updates/Rollups Verteilergruppen Virtualisierung Windows Server 2012 Zertifikate Zertifizierungsstelle

Latest Posts

  • Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Exchange 2007 deinstallieren – Setup bleibt hängen
  • E-Mail bleibt im Postausgang hängen bei zusätzlichen Postfach
  • Ändern der Standardschrift in OWA für alle Benutzer
  • VMware Workstation – Not enough physical Memory

Links

  • Exchange Remote Connectivity Analyzer
  • Exchange Server Technet Forum
  • The Exchange Team Blog
  • Trageberatung in Kiel
  • Windows Server Catalog

Last Comments

  • Exchange Server 2010: Kein Login via OWA möglich. Fehlermeldung " ERR_RESPONSE_HEADERS_TRUNCATED" - doktorlatte und captain coffeedoktorlatte und captain coffee on Welche Exchange 2010 Systemdienste gibt es?
  • Peter on Ändern der Standardschrift in OWA für alle Benutzer
  • Anon on Berechtigung auf Postfach Ordner mit Hilfe der Powershell setzen
  • Patrick on Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Micha on Anzeige aller E-Mail Adressen in Exchange 2010

Copyright © 2025 · Outreach Pro on Genesis Framework · WordPress · Log in