В результате недавнего теста на проникновение, в котором мы не преуспели, мое внимание было обращено на то, что наш сервер Exchange 2010 SP3 с выходом в Интернет, все роли в одном, не имеет брандмауэра и, следовательно, полностью открыт для доступа в Интернет. Я сам проверил результаты, и они действительно очень плохие. SMB, LDAP, удаленный реестр, RDP и все другие службы по умолчанию, которые вы найдете в среде Windows Active Directory, доступны в Интернете через наш сервер Exchange.
Естественно, я хотел бы исправить это и планирую сделать это с помощью брандмауэра Windows, но в поиске Google все, что я смог найти в официальных источниках, это ссылки на порты, которые кажутся применимыми к внутреннему трафику Exchange, а Сообщение в блоге Technet, в котором говорится, что нельзя использовать эти ссылки для настройки брандмауэров, поскольку единственная поддерживаемая конфигурация между серверами Exchange является эквивалентом ANY:ANY allow правило. : /
Учитывая, что мы используем Active Sync, OWA, IMAP, общий доступ к календарю / адресной книге, автообнаружение и клиентский доступ к Outlook, знает ли кто-нибудь, какие правила брандмауэра требуются для универсального сервера Exchange с выходом в Интернет? (Бонусные баллы в виде небольшого вознаграждения для всех, у кого есть официальный источник MS.)
Внезапно, обладая большим опытом случайного администратора Exchange и случайного специалиста по ИТ-безопасности, я составил список ниже (который кажется слишком длинным. и слишком коротко для меня), но прежде чем я пойду и потенциально нарушу электронную почту тысячи плаксивых пользователей, мне бы очень хотелось проверить, что я собираюсь делать.
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
Что сказал mfinni, за исключением того, что мы перенаправляем три порта на универсальный сервер Exchange за брандмауэром:
25: SMTP
80: HTTP (redirect to OWA HTTPS)
443: HTTPS
Это отлично работает для людей с Android, iPhone и т. Д. Как правило, люди дома все равно используют OWA или свой телефон.
Изменить: поскольку вы запросили источник Microsoft, этот - это ссылка на статью TechNet о брандмауэрах и SBS 2008, в которой есть универсальная конфигурация Exchange. Они рекомендуют:
Service or Protocol Port
SMTP e-mail TCP 25
HTTP Web traffic TCP 80
HTTPS Web traffic TCP 443
SharePoint Services TCP 987
VPN TCP 1723
Remote Desktop Protocol TCP 3389
Вам явно не нужны Sharepoint, VPN или RDP, что оставляет 25, 80 и 443.
И вот ссылка для SBS 2011, в котором есть Exchange 2010. Те же порты (без RDP).
Это выглядит в основном правильным для широко открытой реализации всех протоколов. Некоторые предложения:
Если у вас нет почтовых клиентов с коммерческим обоснованием, требующих всего этого, ограничьте его до 25, 80, 443. Не разрешайте доступ по протоколу POP, это пароль в виде открытого текста. Не разрешайте клиентский доступ по протоколу SMTP, это пароль в виде открытого текста. (Конечно, чтобы принимать почту из Интернета, вам нужно открыть TCP 25.)
Любой, кто использует мобильное устройство или Outlook Anywhere, будет использовать HTTPS для Outlook Anywhere или EWS / Activesync.
Если бы мы хотели написать целое эссе по безопасности, вы бы принимали электронную почту на запись MX, которая не является частью вашего домена, а ваш сервер Exchange будет принимать только TCP 25 от этого / этих хостов. Вы можете использовать пограничный транспортный сервер, сторонний продукт или размещенную службу.