msblog.eu

Keine E-Mail Kommunikation zwischen Exchange Servern

6. November 2014 by Malte Schoch 3 Comments

Nach der Installation des ersten Exchange 2010 Servers in eine Exchange 2007 Umgebung, war es nicht möglich, dass der Exchange 2010 Server E-Mails an den Exchange 2007 senden kann. Die E-Mails blieben in der Exchange Warteschlange „HUB VERSION 8“ mit folgender Meldung liegen:

451 4.4.0 Primary target IP address responded with: „451 5.7.3 Cannot achieve Exchange Server authentication.“ Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

EX2007_2010_Relay0

Die Kommunikation zwischen Exchange 2007 / 2010 läuft über die Empfangsconnectoren bzw. den Default Connector. Hier ist es wichtig, dass bei den Default Connector auf beiden Exchange Servern die Einstellungen folgendermaßen vorgenommen worden sind:

EX2007_2010_Relay

EX2007_2010_Relay1

EX2007_2010_Relay2

Im Anschluss empfehle ich Ihnen noch den Dienst „Microsoft Exchange-Transport“ neuzustarten und die Verbindung erneut zu testen.

Filed Under: Exchange 2007, Exchange 2010 Tagged With: Exchange 2007, Exchange 2010, Permission, Relay, Security

Exchange Veröffentlichung ohne TMG?

27. Dezember 2011 by Malte Schoch Leave a Comment

Ich möchte hier noch ein Artikel zu einer Frage schreiben, welche ich auch recht häufig gestellt bekommen:

Kann ich OWA, Outlook Anywhere und Microsoft Active Sync auch ohne ein TMG veröffentlichen?

Ich möchte an dieser Stelle die Frage aber nicht selbst beantworten, sondern einfach Robert Wille (Exchange MVP) zitieren, welcher in den Exchange TechNet Forum eine sehr gute Antwort zu diesem Thema geschrieben hat:

Theoretisch handelt es sich bei einem Exchange-Server um ein sehr priviligiertes Domänen-Mitglied. Würde der kompromitiert, hätte ein Angriffer vollen Lesezugriff auf alle Domänen-Daten.
Aus Sicherheitstechnischen Erwägungen sollte daher niemals ein Domänen-Mitglied und schon gar kein Exchange-Server ungesichert von außen erreichbar sein. Schlimmer wäre eigentlich nur noch ein DC selbst.
Praktisch gibt es aber keine bekannten Angriffe, die über HTTPS einen Exchange angegriffen haben. Es gibt zwar einige Angriff auf den IIS selbst, die aber bei einer normalen Exchange-Installation keine weiteren Auswirkungen oder Kenntniss über Exchange mit sich brachten.
Sicherheit in der IT hat eine noch oben offene Paranoiditätsgrenze – jeder muss für sich selbst ausmachen, wie weit er mitgehen will – und kann. Denn am Ende ist das natürlich auch eine Kostenfrage.

Aber bei der Erwägung eines TMG solltest Du noch drei Dinge im Kopf haben:
– der ist nicht nur Portfilter, sondern auch Content Filter auf Application Layer. Er schaut also in den HTTP-Strom hinein und filter Angriffe auch auf dieser Ebene.
– er ist in der Konfig anwendiger dafür aber im Design out-of-the-Box auch sicherer, als ein Exchange. Es ist also nicht so leicht, Angriff durch Konfigfehler zu ermöglichen.
– wird ein Proxy angegriffen (und geht z.B. mit eine, dDOS down), hat das keine Auswirkungen auf die dahinterliegenden Server. Er dient damit als „Puffer“

Alles in allem würde ich, sobald das Geld für einen Windows, TMG und kleinen Server da ist, immer ein TMG davor setzen. Die paar Euro wären sonst am falschen Ende gespart.

Falls allerdings schon eine andere Firewall-Infrastruktur vorhanden ist, würde ich das durchleuchten und auch für Exchange mitnutzen.

Ich hätte es selber nicht besser sagen können 🙂

Quelle: Microsoft Exchange TechNet Forum

Filed Under: Exchange 2010, ISA / TMG Server, Security Tagged With: Active Sync, Exchange 2010, ISA / TMG Server, Outlook Anywhere, Outlook Web Access, Security

iPhone Sperre bringt keine Sicherheit

2. Juli 2011 by Malte Schoch 1 Comment

Man kann heute auf „Heise Online“ einen Artikel lesen, welcher die Problematik beschreibt, wie leicht die iPhone Sperre bei Verlust des Geräts umgangen werden kann.

Ausschnitt aus dem Artikel:

Die Code-Sperre von iPhones und iPads lässt sich einfach umgehen. Damit sind für einen zufälligen Finder oder Dieb alle Daten frei zugänglich. Das sind nicht nur direkt zugängliche Dinge wie E-Mails, Kontakte und SMS, sondern unter anderem auch Passwörter für Mail-Zugang, VPNs oder WLAN-Netze

Für einen Artikel in c’t hat heise Security die Sicherheitsfunktionen des iPhones analysiert. Das Resultat war, dass sich alle Sperren relativ leicht mit kostenlos im Internet verfügbaren Tools umgehen lassen. Deren Funktionsprinzip beruht auf einem modifizierten Jailbreak, der ein speziell angepasstes Image auf dem Gerät startet. Bei dem sind dann nicht nur Sicherheitsvorkehrungen des Betriebssystems außer Kraft gesetzt, sondern auch zusätzliche Tools zum Ausforschen des Systems installiert. Ein solches Tool kann dann etwa den Passcode knacken, indem es alle Kombinationen durchprobiert. Es kann auch auf speziell geschützte Bereiche wie die Keychain zugreifen, in der das System und Apps Passwörter ablegen.

Firmen wie Elcomsoft bieten derartige Tools für Strafverfolgungsbehörden an. Aber die frei im Internet verfügbaren Tools leisten im Wesentlichen das gleiche. So gelang es heise Security damit, einen Passcode in wenigen Minuten zu knacken und alle Daten zu kopieren – einschließlich der Passwörter für diverse WLANs, E-Mail, VPN und die Online-Banking-App iControl. Schutz für einen Teil der Daten bietet zwar die Option, einen längeren Pass-Code zu verwenden, was die Knackzeit auf Monate oder sogar Jahre anwachsen lässt. Allerdings ist die Eingabe so unbequem, dass so gut wie niemand diese Möglichkeit nutzt.

Das grundlegende Problem ist auch nicht der vierstellige Passcode; der würde im Prinzip durchaus genügen. Schließlich schützt auch EC-Karten nur eine PIN aus vier Ziffern. Die Details zu den Sicherheitsmechanismen von iOS und wie sie sich umgehen lassen, beschreibt ein Artikel in c’t 15/11, die Abonnenten am Wochenende erhalten. (ju)

Quelle: Heise Online Artikel

 
Sobald ich hierzu neue Informationen habe, werde ich diese hier veröffentlichen.

Filed Under: Security Tagged With: iPhone, Security

Ein Blog über Exchange Server von Malte Schoch

Ein Blog über Exchange Server von Malte Schoch

PAGES

  • ABOUT
  • IMPRESSUM

Tags

Active Sync Adress List Adress Policy ADSI-Edit Akzeptierte Domänen Berechtigungen CAS Array DAG Database DHCP DNS E-Mail Adressen Exchange 2003 Exchange 2007 Exchange 2010 Exchange 2013 Exclaimer Installation Internal Internet Explorer iPhone ISA / TMG Server Lizenzen Mailbox Migration OAB Outlook 2007 Outlook 2010 Outlook Anywhere Outlook Web Access Permission Powershell PST Public Folder Relay Security Service Packs Services Uninstall Updates/Rollups Verteilergruppen Virtualisierung Windows Server 2012 Zertifikate Zertifizierungsstelle

Latest Posts

  • Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Exchange 2007 deinstallieren – Setup bleibt hängen
  • E-Mail bleibt im Postausgang hängen bei zusätzlichen Postfach
  • Ändern der Standardschrift in OWA für alle Benutzer
  • VMware Workstation – Not enough physical Memory

Links

  • Exchange Remote Connectivity Analyzer
  • Exchange Server Technet Forum
  • The Exchange Team Blog
  • Trageberatung in Kiel
  • Windows Server Catalog

Last Comments

  • Exchange Server 2010: Kein Login via OWA möglich. Fehlermeldung " ERR_RESPONSE_HEADERS_TRUNCATED" - doktorlatte und captain coffeedoktorlatte und captain coffee bei Welche Exchange 2010 Systemdienste gibt es?
  • Peter bei Ändern der Standardschrift in OWA für alle Benutzer
  • Anon bei Berechtigung auf Postfach Ordner mit Hilfe der Powershell setzen
  • Patrick bei Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Micha bei Anzeige aller E-Mail Adressen in Exchange 2010
  • Impressum

Copyright © 2023 · Outreach Pro on Genesis Framework · WordPress · Log in