Como resultado de um teste de penetração recente, no qual não nos saímos bem, fui informado de que nosso servidor Exchange 2010 SP3 voltado para a Internet, com todas as funções em um, não possui firewall instalado e, portanto, é completamente exposto à internet. Eu mesmo verifiquei os resultados e é realmente muito ruim. SMB, LDAP, registro remoto, RDP e todos os outros serviços padrão encontrados em um ambiente Windows Active Directory são expostos à Internet por meio de nosso servidor Exchange.
Naturalmente, gostaria de corrigir isso e pretendo fazê-lo com o Firewall do Windows, mas, pesquisando no Google, tudo o que consegui encontrar em fontes oficiais são referências de porta que parecem se aplicar ao tráfego interno do Exchange e uma postagem no blog da Technet dizendo para não usar essas referências para configurar seus firewalls , porque a única configuração suportada entre os servidores Exchange é o equivalente a uma ANY:ANY allowregra. :/
Visto que usamos Active Sync, OWA, IMAP, compartilhamento de calendário/catálogo de endereços, descoberta automática e acesso de cliente Outlook, alguém sabe quais regras de firewall são necessárias para um servidor Exchange com todas as funções em um voltado para a Internet? (Pontos de bônus na forma de uma pequena recompensa para qualquer um que tenha uma fonte oficial da MS também.)
De cabeça, com muita experiência como administrador acidental do Exchange e segurança de TI acidental, criei a lista abaixo (que parece muito longa e muito curta para mim), mas antes de ir e potencialmente quebrar e-mail para mil usuários chorões, eu realmente gostaria de alguma verificação do que estou planejando fazer.
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
O que mfinni disse, exceto que encaminhamos três portas para uma caixa Exchange all-in-one atrás do firewall:
Isso funciona bem para pessoas com Androids, iPhones, etc. Geralmente, as pessoas em casa usam o OWA ou o telefone, de qualquer maneira.
Editar: como você solicitou uma fonte da Microsoft, este é um link para um artigo da TechNet sobre firewalls e SBS 2008, que possui uma configuração completa do Exchange. Eles recomendam:
Você claramente não precisa de Sharepoint, VPN ou RDP, o que deixa 25, 80 e 443.
E aqui está um link para SBS 2011, que possui Exchange 2010. Mesmas portas (menos RDP).
Isso parece mais correto para uma implementação totalmente aberta de todos os protocolos. Algumas sugestões:
A menos que você tenha clientes de e-mail, com uma justificativa comercial, que exijam tudo isso, limite-o a apenas 25, 80, 443. Não permita acesso POP, é uma senha de texto simples. Não permita o acesso SMTP do cliente, é uma senha de texto simples. (Claro, para aceitar e-mail da Internet, você precisa do TCP 25 aberto.)
Qualquer pessoa usando um dispositivo móvel ou Outlook Anywhere usará HTTPS para Outlook Anywhere ou EWS/Activesync.
Se quiséssemos escrever um ensaio inteiro sobre segurança, você aceitaria e-mail para um registro MX que não faz parte do seu domínio e seu servidor Exchange aceitaria apenas TCP 25 desse/desses hosts. Você pode usar o Edge Transport, um produto de terceiros ou um serviço hospedado.