最近の侵入テストの結果、うまくいきませんでしたが、インターネットに面した、すべての役割を1つにまとめたExchange 2010 SP3サーバーにはファイアウォールがないため、ファイアウォールが設置されていないことがわかりました。インターネットに完全にさらされています。私は自分で結果を確認しました、そしてそれは確かにかなり悪いです。 SMB、LDAP、リモートレジストリ、RDP、およびWindows Active Directory環境にあるその他すべてのデフォルトサービスは、Exchangeサーバーを介してインターネットに公開されます。
当然、私はこれを修正したいと思っており、Windowsファイアウォールで修正する予定ですが、グーグルで、公式ソースからポイントを見つけることができたのは 内部に適用されるように見えるポート参照) Exchangeトラフィック 、および ファイアウォールの構成にこれらの参照を使用しないことを示すTechnetブログ投稿 Exchangeサーバー間でサポートされている構成はANY:ANY allow
ルールと同等であるためです。 :/
Active Sync、OWA、IMAP、カレンダー/アドレス帳の共有、自動検出、Outlookクライアントアクセスを使用していることを考えると、オールインワンExchangeに必要なファイアウォールルールを知っている人はいますか?インターネットに面しているサーバー?(公式のMSソースを持っている人には小さな報奨金の形でボーナスポイントもあります。)
偶然のExchange管理者および偶発的なITセキュリティ担当者としての豊富な経験を活かして、以下のリストを作成しました(長すぎると私には短すぎます)しかし、私が行って、1000人の気まぐれなユーザーの電子メールを壊す可能性がある前に、私が何をしようとしているのかを確認したいと思います。
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
これは、広く開かれたすべてのプロトコルの実装ではほとんど正しいように見えます。いくつかの提案:
これらすべてを必要とするビジネス上の理由のあるメールクライアントがない限り、25、80、443に制限してください。POPアクセスを許可しないでください。これはプレーンテキストのパスワードです。クライアントのSMTPアクセスを許可しないでください。これはプレーンテキストのパスワードです。 (もちろん、インターネットからのメールを受け入れるには、TCP 25開いている必要があります。)
モバイルデバイスまたはOutlookAnywhereを使用している場合は、OutlookAnywhereまたはEWS/ActiveSyncにHTTPSを使用します。
セキュリティに関するエッセイ全体を書きたい場合は、ドメインの一部ではないMXレコードへの電子メールを受け入れることになり、ExchangeサーバーはTCP 25 from that /これらのホスト。EdgeTransport、サードパーティ製品、またはホストされたサービスを使用できます。
Mfinniが言ったこと。ただし、3つのポートをファイアウォールの背後にあるオールインワンExchangeボックスに転送します。
25: SMTP
80: HTTP (redirect to OWA HTTPS)
443: HTTPS
これは、AndroidやiPhoneなどを使用している人には問題なく機能します。一般的に、自宅の人はOWAまたは自分の電話を使用します。
編集:Microsoftのソースを要求したので、 this は、ファイアウォールとSBS 2008に関するTechNetの記事へのリンクであり、オールインワンのExchange構成が含まれています。彼らはお勧めします:
Service or Protocol Port
SMTP e-mail TCP 25
HTTP Web traffic TCP 80
HTTPS Web traffic TCP 443
SharePoint Services TCP 987
VPN TCP 1723
Remote Desktop Protocol TCP 3389
明らかに、Sharepoint、VPN、またはRDPは必要ありません。これにより、25、80、および443が残ります。
そして ここに Exchange2010を持つSBS2011へのリンク。同じポート(マイナスRDP)。