Bundesamt für Sicherheit in der Informationstechnik

M 4.162 Sichere Konfiguration von Exchange-Servern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nach der Installation eines Exchange-Servers muss die Software sicher konfiguriert werden, aufbauend auf den Vorgaben aus dem Sicherheitskonzept. Bevor ein Administrator nach der erfolgreichen Installation von Exchange mit der Konfiguration fortfährt, sollten die allgemeinen Empfehlungen hier zur Administration umgesetzt werden.

Bei der eigentlichen Konfiguration des Exchange-Servers ist dann vor allem auf folgendes zu achten:

Administratives

Die Zugriffsrechte auf Exchange Objekte müssen auf das notwendige Maß beschränkt werden, siehe M 4.163 Zugriffsrechte auf Exchange-Objekte . Insbesondere sind die Administrator-Rechte festzulegen.

Begrenzung der maximalen Nachrichtengröße

Als eine der möglichen Maßnahmen zum Schutz gegen DoS-Attacken (Denial of Service) sollten maximal zulässige Größen sowohl für eingehende als auch für ausgehende Nachrichten definiert werden. Die maximal zulässige Größe sollte auf der Basis der Anforderungen der Institution beschränkt werden. Außerdem muss festgelegt werden, welche Reaktionen bei Erreichen des Richtwerts erfolgen sollten. Bei ausgehender Mail sollten beispielsweise die Sender darüber informiert werden, dass der Richtwert überschritten wurde und die Nachricht nicht ausgeliefert wurde. Bei eingehender Mail könnten die Empfänger informiert werden, dass eine Nachricht nicht zugestellt wurde. Es wird empfohlen, den Richtwert von 10 MByte nicht zu unterschreiten.

Umgang mit Sondernachrichten

Automatische Lese- und Empfangsbestätigungen, sowie automatisch generierte Abwesenheitsnachrichten (Out-of-Office-Meldungen) können zu Denial-of-Service-Attacken oder zu unbeabsichtigten Speicherplatzproblemen führen. Sofern im Unternehmen bzw. in der Behörde die Verwendung von E-Mail-Bestätigungen und Out-of-Office-Meldungen nicht explizit gewünscht ist, wird empfohlen, den Einsatz dieser Sondernachrichten in der Exchange-Gesamtorganisation komplett zu verbieten. In den Standardeinstellungen sollten alle Sondernachrichtentypen deaktiviert werden.

Konfiguration der Exchange-Konnektoren

In einer Umgebung mit mehreren Servern muss die Sicherheit der Nachrichtenübertragung gewährleistet werden, was eine entsprechende Konfiguration der Routing-Konnektoren bedeutet. Die Verbindungen zwischen Servern einer Routing-Gruppe werden während der Installation automatisch konfiguriert. Die Einstellungen der einzelnen Konnektoren müssen jedoch manuell angepasst werden, um ein höheres Sicherheitsniveau zu erreichen.

Es ist zu beachten, dass für die Konfiguration der Exchange-Konnektoren nicht nur Exchange-Administratorrechte, sondern auch Windows-Administratorrechte erforderlich sind.

Authentisierung zwischen Exchange-Servern und SMTP-Relay-Hosts

Für die Weiterleitung einkommender und ausgehender Nachrichten kann in der DMZ einer Institution ein S/MIME -Relay-Host eingerichtet werden. Öffentliche SMTP-Verbindungen (von außen zum SMTP-Relay-Host) können prinzipiell nicht verschlüsselt werden, wenn fremde SMTP-Server mit dem SMTP-Relay-Host in der DMZ im Klartext kommunizieren. Der Relay-Host in der DMZ und die Server im internen Netz sollte sich jedoch gegenseitig authentisieren. Der SMTP-Konnektor muss entsprechend konfiguriert werden.

Zugriff auf den Exchange-Server über HTTP (Outlook Web Access, OWA)

Von der Benutzung der OWA-Funktionalität im Exchange-Umfeld wird grundsätzlich abgeraten. Soll den Benutzern der Zugriff auf Exchange-Server über HTTP dennoch ermöglicht werden, müssen die Empfehlungen aus M 5.129 Sichere Konfiguration der HTTP-basierten Dienste von SAP Systemen umgesetzt werden. Organisationsintern muss dazu festgelegt werden, ob OWA eingesetzt werden darf oder nicht.

Zugriff von MAPI -Clients auf Exchange Server über das Internet

Es wird empfohlen, den Benutzern keinen direkten Zugriff auf die Exchange-Postfächer und den globalen Katalog über das Internet zu gestatten. Sollte dies aus anderen Gründen doch erlaubt werden, so muss das Sicherheitsgateway (Firewall) der Institution entsprechend konfiguriert werden, siehe M 2.481 Planung des Einsatzes von Exchange für Outlook Anywhere .

Konfiguration der POP3 und IMAP Netzprotokolle

Der Zugriff auf einen Exchange-Server kann unter anderem über die Protokolle POP3 und IMAP4 stattfinden. Entscheidet sich eine Institution, diese Protokolle einzusetzen, so sollten Einstellungen zur Authentisierung und Verschlüsselung vorgenommen sowie Zugriffseinschränkungen auf Basis der IP-Adressen oder Domänennamen definiert werden. Dies erfolgt in den jeweiligen Protokolleinstellungen für die Dienste POP3 und IMAP.

Authentisierung

Als Authentisierungsmechanismus sollte die integrierte Windows Authentisierung der HTTP Basic-Authentisierung vorgezogen werden. Die HTTP Basic-Authentisierung sollte nur in Verbindung mit TLS-Verschlüsselung eingesetzt werden.

Verschlüsselung

Die Verschlüsselung der Verbindungen wird empfohlen, wenn sensitive Daten über ungeschützte Kommunikationswege übertragen werden oder HTTP Basic Authentisierung zum Einsatz kommen soll.

Nachrichtenformat

Nachrichten im HTML-Format können auch aktive Elemente enthalten, was ein Sicherheitsrisiko für Clients darstellt. Deshalb wird empfohlen, den Exchange-Server so zu konfigurieren, dass dieser HTML-Nachrichten über SMTP, POP3 und IMAP4 als einfache Textnachrichten ausliefert.

Sichere Konfiguration der Exchange-Datenbanken

Die von einem Groupware-System zur Speicherung genutzte Datenbank enthält alle Groupware-Informationen dieses Systems (dies schließt im Allgemeinen Passwörtern lokaler Benutzer, Systemdateien und Transaktionslogs nicht mit ein). Die Kommunikation zwischen Groupware-System und Datenbank erfolgt über Anfragen, die über das lokale Netz übertragen werden, sofern Datenbank und die Groupware-Systemkomponenten nicht auf demselben Rechner installiert werden. Wenn die Datenbank nicht auf demselben System betrieben wird, muss die Datenbank besonders gut geschützt werden.

Folgendes ist zu beachten:

  • Auf die Informationsspeicher darf nur vom Microsoft-Exchange-System selbst zugegriffen werden, z. B. durch Paketfilter.
  • Direkte Datenbankverbindungen von anderen Systemen oder Clients sind durch ein Sicherheitsgateway (Firewall) zu unterbinden.

In Abhängigkeit vom Einsatzszenario können noch weitere Maßnahmen notwendig sein. Die Liste ist daher geeignet zu erweitern. Es wird empfohlen, die Empfehlungen von Microsoft zur Absicherung der Exchange-Datenbank umzusetzen. Details dazu finden sich in M 2.346 Nutzung der SAP Dokumentation .

Protokollierung

Der Betrieb eines Exchange-Systems muss protokolliert werden, siehe M 4.270 Protokollierung von Exchange-Systemen.

Weitere Hinweise, wie die Anforderungen aus dieser Maßnahme konkret umgesetzt werden können, finden sich für die Version 2010 beispielsweise in folgenden Informationen des Microsoft Technet:

  • Die Einschränkung der Zugriffsberechtigungen wird unter "Permissions: Exchange 2010 Help" beschrieben.
  • Die Einstellungen zur Umsetzung von Richtlinien der Nachrichtenübermittlung und Compliance werden unter "Messaging Policy and Compliance: Exchange 2010 Help" beschrieben.
  • Die Einrichtung der notwendigen Konnektoren wird unter "Transport Server Post-Deployment Tasks: Exchange 2010 Help" beschrieben.
  • Die sichere Konfiguration von Outlook Web Access wird unter "Understanding Security for Outlook Web Access: Exchange 2007 Help" (analog Exchange 2007) beschrieben.
  • Die Zugriffsregelungen auf Datenbanken eines Mailbox-Servers werden unter "Permissions to Manage Mailbox Servers: Exchange 2010 Help" beschrieben. Die sichere Konfiguration von Datenbanken eines Mailbox-Servers wird unter "Securing Mailbox Servers: Exchange 2010 Help" beschrieben.

Prüffragen:

  • Wurde der Exchange-Server entsprechend der Vorgaben aus dem Sicherheitskonzept sicher konfiguriert?

  • Wurden die Zugriffsrechte für Administratoren der Exchange Installation festgelegt?

  • Ist organisationsintern geklärt, ob der Zugriff via Outlook Web Access auf E-Mail-Konten erlaubt ist?

  • Ist die Datenbank des Microsoft Exchange-Systems durch eine Firewall vor direkten Zugriffen Dritter geschützt?

Stand: 13. EL Stand 2013