由于最近一次渗透测试的结果,我们表现不佳,我注意到我们面向 Internet 的多功能一体式 Exchange 2010 SP3 服务器没有安装防火墙,因此完全暴露在互联网上。我自己验证了结果,确实很糟糕。SMB、LDAP、远程注册表、RDP 以及您在 Windows Active Directory 环境中找到的所有其他默认服务都通过我们的 Exchange 服务器向 Internet 公开。
自然,我想解决这个问题,并计划使用 Windows 防火墙来解决这个问题,但是在谷歌搜索中,我从官方来源中能够找到的只是端口引用,这些引用似乎适用于内部 Exchange 流量,并且一篇Technet 博客文章说不要使用这些引用来配置您的防火墙,因为 Exchange 服务器之间唯一受支持的配置相当于一条ANY:ANY allow规则。:/
鉴于我们使用 Active Sync、OWA、IMAP、日历/地址簿共享、自动发现和 Outlook 客户端访问,是否有人知道面向 Internet 的多合一 Exchange 服务器需要哪些防火墙规则? (对于拥有官方 MS 资源的任何人,也可以以小额赏金的形式获得奖励积分。)
在我的脑海中,作为一名意外的 Exchange 管理员和意外的 IT 安全人员,我有很多经验,我想出了下面的列表(对我来说似乎太长也太短),但在我去之前可能会破坏一千个抱怨用户的电子邮件,我真的很想验证我打算做什么。
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
什么 mfinni 说的,除了我们将三个端口转发到防火墙后的多合一交换框:
这对于使用 Android、iPhone 等设备的人来说效果很好。一般来说,家里的人使用 OWA 或他们的手机,无论如何。
编辑:由于您要求提供 Microsoft 资源,因此这是 TechNet 关于防火墙和 SBS 2008 的文章的链接,该文章具有多合一的 Exchange 配置。他们建议:
您显然不需要 Sharepoint、VPN 或 RDP,剩下 25、80 和 443。
这是 SBS 2011的链接,它具有 Exchange 2010。相同的端口(减去 RDP)。
对于广泛开放的全协议实现来说,这看起来大部分是正确的。一些建议:
除非您有邮件客户端,有商业理由,需要所有这些,否则将其限制为 25、80、443。不允许 POP 访问,这是一个明文密码。不允许客户端 SMTP 访问,这是一个明文密码。(当然,要接受来自 Internet 的邮件,您需要打开 TCP 25。)
使用移动设备或 Outlook Anywhere 的任何人都将为 Outlook Anywhere 或 EWS/Activesync 使用 HTTPS。
如果我们想写一篇关于安全性的完整文章,您将接受发送到不属于您的域的 MX 记录的电子邮件,并且您的 Exchange 服务器将只接受来自该/那些主机的 TCP 25。您可以使用边缘传输、第三方产品或托管服务。