对于面向Internet,全角色的Exchange服务器,我需要通过防火墙才能通过什么?

前端之家收集整理的这篇文章主要介绍了对于面向Internet,全角色的Exchange服务器,我需要通过防火墙才能通过什么?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
由于最近的渗透测试,我们没有很好的表现,我注意到我们的面向互联网,所有角色的一体化,Exchange 2010 SP3服务器没有防火墙,因此完全暴露在互联网上.我自己验证了结果,确实非常糟糕. SMB,LDAP,远程注册表,RDP以及您在 Windows Active Directory环境中找到的所有其他默认服务都通过Exchange服务器向Internet公开.

当然,我想解决这个问题,并计划使用Windows防火墙,但在谷歌搜索中,我从官方来源找到的所有内容都是port references which seem to apply to internal Exchange trafficTechnet blog posting saying not to use those references to configure your firewalls,因为这是唯一支持的配置. Exchange服务器相当于ANY:ANY允许规则. :/

鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道面向Internet的全角色一体机Exchange服务器需要哪些防火墙规则? (对于拥有官方MS源的任何人来说,奖励积分都是小额奖励.)

作为一个偶然的Exchange管理员和意外的IT安全人员,我已经拿出了下面的列表(这对我来说似乎太长太短),但在我去之前和可能会破坏一千个用户的电子邮件,我真的很想验证我打算做什么.

TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
对于广泛的全协议实现而言,这看起来大多是正确的.一些建议:

除非您有商业理由的邮件客户端需要所有这些,否则将其限制为25,80,443.不允许POP访问,这是明文密码.不允许客户端SMTP访问,这是一个纯文本密码. (当然,要接受来自互联网的邮件,您需要打开TCP 25.)

使用移动设备或Outlook Anywhere的任何人都将使用HTTPS进行Outlook Anywhere或EWS / Activesync.

如果我们想写一篇关于安全性的整篇文章,那么您将接受不属于您的域的MX记录的电子邮件,并且您的Exchange服务器只接受来自该/那些主机的TCP 25.您可以使用边缘传输,第三方产品或托管服务.

猜你在找的Windows相关文章