M 5.99 SSL/TLS-Absicherung für Exchange 2000

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In vielen Einsatzszenarien ist die Verschlüsselung der Übertragungswege zwischen einem Client und einem Exchange 2000 Server sinnvoll oder erforderlich. Dies betrifft besonders die Übertragung sensitiver Daten über nicht vertrauenswürdige Kommunikationswege, wie beispielsweise das Internet. In einer Exchange 2000 Umgebung kann hierfür das SSL- bzw. TLS-Protokoll (siehe auch M 5.66 Verwendung von TLS/SSL eingesetzt werden. Die Entscheidung über einen optionalen oder erzwungenen Einsatz von SSL/TLS sollte vom Standort der zugreifenden Clients und dem Schutzbedarf der übertragenen Daten abhängig gemacht werden.

Die Verschlüsselung der Übertragungsstrecke ermöglicht auch die Verwendung von schwächeren Authentisierungsmechanismen, wie z. B. die Kennwort-basierte HTTP Basic Authentisierung.

Absicherung der Client-Server-Kommunikation

Eines der möglichen Szenarien für den Einsatz von SSL/TLS ergibt sich aus der Zugriffsmöglichkeit auf einen Exchange-Server über Outlook Web Access (OWA, siehe dazu auch M 4.164 Browser-Zugriff auf Exchange 2000). Die Verschlüsselung der Übertragungswege hat hier zwischen dem Web-Browser und dem IIS-Server zu erfolgen.

Ist ein Outlook 2000 Client als Exchange-Client konfiguriert, basiert die Kommunikation zwischen Outlook und Exchange auf RPC. Daher ist an dieser Stelle eine Absicherung des Datentransports mit SSL/TLS nicht ohne weiteres möglich. Die Kommunikation kann jedoch mit anderen Mitteln geschützt werden (siehe dazu M 4.162 Sichere Konfiguration von Exchange 2000 Servern).

Verwendet Outlook 2000 nur die Internet-Protokolle (POP3, IMAP4, SMTP, NNTP) beim Zugriff auf den Exchange-Server, so kann die Verbindung mit TLS abgesichert werden. Dies gilt generell auch für den Zugriff auf andere E-Mail-Server. Weitere Informationen dazu finden sich ebenfalls in der Maßnahme M 4.162 Sichere Konfiguration von Exchange 2000 Servern.

Absicherung der Server-Server-Kommunikation

Die Server-Server-Kommunikation muss dann verschlüsselt werden, wenn sensitive Daten über ungesicherte Netze übertragen werden oder die Authentisierung mittels HTTP Basic Authentisierung stattfindet.

Die zur Verfügung stehenden Verschlüsselungsmechanismen hängen von den verwendeten Exchange-Connectors ab: Ein SMTP-Connector unterstützt die Verschlüsselung mittels TLS, ein X.400- oder ein Routing-Group-Connector dagegen nicht. Insofern ist bei der Wahl das Connectors auch darauf zu achten, welche Verschlüsselungsmechanismen dadurch benutzt werden können.

Ergänzende Kontrollfragen: