Skip to content

Zugriff auf den SMTP-Server einschränken

MCSE Der SMTP-Server kennt Einstellungen, die vor allem regeln, von wem er Mail annehmen darf.


Dabei ist eine Registerkarte für die Zugriffs-Einstellungen vorgesehen. Neben Erlauben und Verbieten von IP-Adressen kann hier auch ein SSL-Zertifikat eingebunden werden:


Die Authenthifizierung sieht vor, das man z.B. im Intranet auch generell nur Mail von angemeldeten Benutzern annehmen kann:

Typischerweise wird ein Exchange-Server aber Mail von überall aus dem Internet annehmen sollen, also ist der Haken bei anonymer Zugriff gesetzt.

Hier ist die wohl wichtigste Option, damit kann verhindert werden dass der Server zur Spam-Schleuder wird:


Wenn ein Server Ziel von internetbasierten Denial of Service (DoS) Angriffen wird empfiehlt Microsoft die Verwendung des SMTP-Filters im ISA-Server:
http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/SMTPSrv.htm

SSL-Zertifikat faken und im IIS für OWA installieren

MCSE Für den OWA ist eine SSL-Installation erforderlich für die man ein SSL-Zertifikat benötigt das von einer vertrauenswürdigen Quelle signiert wurde. Wie so etwas dann installiert wird ist bereits in einem Howto im Internet beschrieben.

SSL-Zertikate sind normalerweise sehr teuer, aber es gibt auch die Möglichkeit kostenlos an eins zu kommen: http://www.golem.de/0502/36483.html

Im einfachsten Fall faked man sich sein Zertifikat selber. Dazu bietet Microsoft ein Tool mit dem Namen SelfSSL im IIS Resource Toolkit zum Download an. Nach der Installation steht SelfSSL bereit.

Nun kann das Program SelfSSL gestartet werden - alles was nun noch für das Zertifikat zu tun ist ein Druck auf die "Y"-Taste.


Das Zertifikat wird dann in die Standardwebsite installiert. Dort kann man es auch mit der Funktion "Zertifikat anzeigen"sofort kontrollieren (im Bild ist noch kein Zertifikat installiert):


Danach muss noch der Port 443 für die SSL-Verbindung angegeben werden:


Als Verzeichnissicherheit sollte 128 Bit verwendet werden.


Wenn nun noch das Verzeichnis "Exchange" für die SSL-gesicherte Verbindung vorgesehen wird steht dem SSL-Zugriff auf den OWA-Server nichts mehr im Wege:


Hierzu muss nun das Protokoll "https" verwendet werden!

Formularbasierte Anmeldung am OWA-Server

MCSE Die formularbasierte Anmeldung, auf plattdeutsch "OWA formbased", ist ein praktisches Feature mit dem der OWA für die Anmeldung am Exchange-Server im Browser appetitlich durchgeführt werden kann.

Interessanterweise wird hier die historische Form "Benutzername\Domain" aus der "Prä-Windows-2000"-Zeit erwartet.

Dazu sind im System-Manager beim Server im Protokoll HTTP die Eigenschaften anzupassen:


Für die Formularbasierte Authentifizierung sind die drei Stufen keine, niedrig und hoch für die Komprimierung vorgesehen:

Die hohe Komprimierung kann hohe Serverlast verursachen, das sollte in der Praxis bei dicken Maschinen aber kein Problem sein.

Für formularbasierte Anmeldung muss SSL installiert werden. Die Installation von SSL wird in einem eigenen Artikel beschrieben.

Danach muss der IIS auf der Shell mit "IISReset" neu gestartet werden.

Administrative Rollen beim Exchange-Server

MCSE Der Administrator braucht normalerweise keine einzelnen Berechtigungen sondern bekommt Rollen zugewiesen.

Bei Exchange sind dabei diese drei vorgegeben:

Exchange-Administrator - Vollständig: Rolle mit Vollzugriff auf alle Objekte und kann auch die Einstellungen für die Berechtigungen ändern, also andere Administratoren zu ernennen. Also die meisten Möglichkeiten und nur für den Oberadmin vom Dienst. Ausserdem kann diese Rolle das Postfach einen gelöschten Benutzers neu vergeben.

Der normale Exchange-Administrator kann das auch, aber er kann seine Rechte nicht deligieren.

Exchange-Administrator - Nur Ansicht: Diese Rolle kann alles einsehen was ein Administrator auch einsehen kann, aber eben nichts ändern. Darüber hinaus kann er dann auch noch Gruppen und Kontakte anlegen, also z.B. für einen Abteilungsleiter.

Exchange-Server entfernen

MCSE Die Deinstallation des Exchange-Servers klappt nur, wenn keine Postfächer mehr existieren. Die Postfächer zu deaktivieren klappt irgendwie nicht, obwohl der Deinstaller von Exchange das vorschlägt.

Im System-Manager kann aber der Postfachspeicher einfach gelöscht werden, dazu kommt auch eine Warnmeldung.

In der Systemsteuerung kann dann der Server ganz normal entfernt werden, dabei wird auch die Erweiterung der AD wieder zurückgebaut.

Allerdings bleibt das Verzeichnis "C:\Programme\Exchsrvr" stehen und muss selbst ins Nulldevice geschoben werden damit eine darauf folgende Installation sofort klappt.
tweetbackcheck