Bundesamt für Sicherheit in der Informationstechnik

M 2.481 Planung des Einsatzes von Exchange für Outlook Anywhere

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Outlook Anywhere ermöglicht Benutzern den Zugriff auf Exchange über das Internet. Es handelt sich dabei um einen serverseitigen Bereitstellungsdienst und nicht um eine Client-Software. Da der Datenverkehr im Internet anfälliger gegenüber Angriffen ist als der Datenverkehr in einem Intranet wird empfohlen, dass eine Sicherheitsstrategie gewählt wird, die so viele Sicherheitsoptionen wie möglich einbezieht.

Verwenden von SSL für Outlook Anywhere

Wenn Outlook Anywhere für den Zugriff auf Exchange-Informationen aus dem Internet verwendet werden soll, dann muss ein gültiges SSL-Zertifikat (Secure Sockets Layer) installiert werden, das von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt wurde, die für das Betriebssystem des Clientcomputers vertrauenswürdig ist.

Verwenden der SSL-Verschiebung für Outlook Anywhere

Bei dem Einsatz eines SSL-Proxies, der die SSL-Verschlüsselung des an den Clientzugriffsserver gerichteten Datenverkehrs übernimmt, muss die sogenannte SSL-Verschiebung für Outlook Anywhere korrekt konfiguriert werden. Dabei wird der SSL-Verbindungsaufbau komplett über den SSL-Proxy abgewickelt und wertvolle Bandbreite sowie Ressourcen eingespart.

Konfigurieren der Authentisierung für Outlook Anywhere

Die zu verwendete Authentisierungsmethode für Outlook Anywhere muss ausgewählt werden. Es sollten nicht Standardauthentisierung und integrierte Windows-Authentisierung gleichzeitig konfiguriert sein, wobei letztere sicherer ist.

Die konkrete Umsetzung dieser Anforderungen sieht beispielsweise für die Version 2010 wie folgt aus:

  • Für den sicheren Einsatz von Outlook Anywhere sind die Ausführungen auf den Microsoft Technet-Webseiten unter "Understanding Security for Outlook Anywhere: Exchange 2010 Help" zu berücksichtigen. Die Konfigurationseinstellungen sind unter "Managing Outlook Anywhere: Exchange 2010 Help" dokumentiert: Vorwiegend sind hier Aktivierung, Deaktivierung, Authentikation, SSL-Verschlüsselung und Zertifikatsmanagement im Fokus.

Prüffragen:

  • Wird ein gültiges SSL-Zertifikat bei der Verwendung von Outlook Anywhere genutzt?

  • Ist die SSL-Verschiebung bei Outlook Anywhere richtig konfiguriert?

  • Wurde genau eine Authentisierungsmethode für Outlook Anywhere ausgewählt und konfiguriert?

Stand: 13. EL Stand 2013