M 4.162 Sichere Konfiguration von Exchange 2000 Servern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Nach der Installation von Exchange 2000 muss die Software sicher konfiguriert werden. Diese Maßnahme gibt Empfehlungen für die geeignete Konfiguration von Exchange 2000. Bevor ein Administrator nach der erfolgreichen Installation von Exchange 2000 mit der Konfiguration fortfährt, sollten allgemeine Empfehlungen zur Administration umgesetzt werden, wie z. B. das Einrichten geeigneter Gruppen zur Verwaltung von Exchange. Bei der eigentlichen Konfiguration von Exchange 2000 ist dann vor allem auf folgendes zu achten:

Verwendung des einheitlichen Modus (native mode)

Wegen der Abwärtskompatibilität mit Exchange 5.5 befindet sich ein Exchange 2000 Server nach der Installation im so genannten gemischten Modus (mixed mode). Es ist darauf zu achten, die im Exchange-Umfeld benutzten Bezeichnungen native mode und mixed mode nicht mit den analogen Bezeichnungen für Windows 2000 Domänen Controller zu verwechseln.

Der Betrieb der Exchange-Server im gemischten Modus wird generell nicht empfohlen. Der einheitliche Modus sollte verwendet werden, sobald sämtliche Exchange-Server auf Exchange 2000 migriert wurden bzw. wenn eine Eingliederung von Exchange 5.5 Servern in das Exchange-System nicht vorgesehen ist.

Die Umschaltung eines Exchange 2000 Servers in den einheitlichen Modus geschieht im Exchange System-Manager in den Eigenschaften des Exchange-Organisationsobjektes. Dazu muss die Schaltfläche Change Mode auf der Registerkarte General betätigt werden. Durch das Umschalten in den einheitlichen Modus geht die Abwärtskompatibilität zu früheren Versionen (Exchange 5.5) irreversibel verloren.

Administratives

Einrichtung dedizierter Benutzergruppen für die Exchange-Administration

Die Exchange-Administration kann auf mehrere administrative Gruppen verteilt werden. Als Basis hierfür dienen drei vordefinierten Exchange Administrationsrollen:

Es wird empfohlen, drei dedizierte Sicherheitsgruppen zu erstellen, die dann jeweils eine der oben aufgeführten Exchange-Rollen zugewiesen bekommen. Grundsätzlich sollte die Administration auf dem Gruppen- und nicht dem Personenprinzip aufgebaut werden: Berechtigungen sollten für Gruppen und nicht für einzelne Benutzerkonten vergeben werden. Dadurch wird die Verwaltung erheblich erleichtert und übersichtlicher gestaltet - eine mögliche Fehlerquelle wird beseitigt. Die Exchange-Administratoren werden dabei über Gruppenmitgliedschaften verwaltet.

Die Zuweisung der Rollen zu den erstellten Administrativgruppen erfolgt mit Hilfe des Delegationsassistenten (Delegation Wizard) im Exchange System-Manager.

Die Benutzerkonten und Newsgroups müssen gemäß den für diesen Punkt vorgesehenen Sicherheitsrichtlinien (siehe M 2.248 Festlegung einer Sicherheitsrichtlinie für Exchange/ Outlook 2000) eingerichtet werden. Vor allem sollte hier entschieden werden, welche Benutzer mit einem Exchange-Postfach ausgestattet und ob Newsgroups überhaupt eingerichtet werden.

Es wird empfohlen, serverseitige Benutzerprofile zu verwenden. Besitzt ein Benutzer ein serverseitiges Profil, werden die Benutzereinstellungen bei jeder Anmeldung an der Domäne in die lokale Konfiguration (Registry) der Arbeitsstation übernommen. Somit kann ein rechnerunabhängiger Zugriff auf Exchange-Daten erreicht werden.

Systemkonten für die Exchange 2000 Dienste

Exchange 2000 besteht aus mehreren Diensten, welche miteinander kommunizieren. Diese Kommunikation erfordert eine Authentisierung auf der Grundlage des Kerberos-Protokolls. Die Dienste laufen dabei standardmäßig unter dem Windows 2000 Konto LocalSystem. Windows 2000 ändert das Kennwort dieses Kontos automatisch alle 7 Tage.

Ein benutzerähnliches Dienstkonto muss eingerichtet werden, wenn ein Exchange 2000 Server in eine Exchange 5.5 Umgebung integriert wird. Innerhalb eines Standortes müssen die Exchange-spezifischen Dienste für ihre Kommunikation ein gemeinsames Standortdienstkonto zur Authentisierung verwenden. Die Integration eines Exchange 2000 Servers in eine Exchange 5.5 Umgebung wird generell nicht empfohlen.

Die für Exchange relevanten Dienste - vornehmlich der Information Store Service, der Routing Engine Service sowie der System Attendant Service - laufen nach der Standardinstallation unter dem Konto Local System, das weitreichende Rechte auf dem lokalen Server besitzt. Für diese Exchange-Dienste können optional eigene Konten mit angepassten Rechten erstellt werden (siehe M 4.139 Konfiguration von Windows 2000 als Server). Es wird jedoch darauf hingewiesen, dass dies unter Umständen einen großen Test- und Konfigurationsaufwand erfordert.

Einsatz der Exchange-Systemrichtlinien

Die Exchange 2000 Systemrichtlinien ermöglichen es, gleichzeitig mehrere Exchange-Server zu konfigurieren. Es existieren drei unterschiedliche Typen von Systemrichtlinien: Server-, Mailbox-Store-Richtlinien und Richtlinien für öffentlichen Ordner. Der Einsatz der Richtlinien ermöglicht eine einheitliche Konfiguration und vermindert somit das Risiko einer Fehlkonfiguration. Es wird daher empfohlen, Exchange-Richtlinien einzusetzen und sie pro definierter Administrativgruppe festzulegen.

In den Mailbox-Store-Richtlinien und den Richtlinien öffentlicher Ordner können Speicherbeschränkungen definiert werden. Bei Erreichen des Limits können Warnungen ausgegeben, Senden oder Senden und Empfangen von Nachrichten untersagt werden. Die Größenbeschränkungen sollten hierbei den jeweiligen Anforderungen im Unternehmen bzw. in der Behörde angepasst werden.

Weiterhin ist in den Mailbox-Store-Richtlinien und den Richtlinien öffentlicher Ordner die Einstellung vorzunehmen, dass die gelöschten Nachrichten erst nach einem Backup endgültig gelöscht werden dürfen.

In den Server-Richtlinien sollten die Optionen für die Nachrichtenverfolgung und -Protokollierung aktiviert werden. Die Protokolldateien dürfen hierbei nicht gelöscht werden.

Die Standard-NTFS-Berechtigungen auf das Exchange-Verzeichnis müssen angepasst werden, so dass nur autorisierten Administratoren und Systemkonten der Zugriff auf sensitive Daten in diesem Verzeichnis (z. B. Datenbanken und Transaktionsprotokolle) erlaubt ist. Die Standard-Einstellungen sind daher wie folgt anzupassen:

Die Zugriffsberechtigungen der während der Installation erstellten Exchange-Netzfreigaben müssen ebenfalls angepasst werden. Zusätzlich zu den oben aufgelisteten Zugriffsrechten muss das lokale Computerkonto vollen Zugriff auf diese Freigaben erhalten. Die Zugriffsberechtigungen für das Konto Everyone (Jeder) sollten generell entfernt werden.

Unter anderem werden folgende Netzfreigaben eingerichtet:

Zur Einschränkung der Zugriffsrechte auf Exchange 2000 Objekte wird auf die Maßnahme M 4.163 Zugriffsrechte auf Exchange 2000 Objekte verwiesen.

Globale Exchange-Einstellungen

Nachrichtenfilterung

Exchange 2000 bietet die Möglichkeit, die Nachrichtenfilterung serverseitig zu aktivieren. Da nur einzelne Absender gesperrt und keine Inhaltsfilter definiert werden können, bietet diese Maßnahme keinen guten Schutz gegen E-Mail-Spam. In Einzelfällen ist die Nachrichtenfilterung jedoch ein sinnvolles Instrument. Wenn sie benutzt werden soll, wird empfohlen, alle ausgefilterten Nachrichten zu protokollieren und den Verfasser einer ausgefilterten Nachricht nicht über die stattgefundene Filterung zu informieren.

Weiterhin sollten auch Nachrichten mit einem leeren Absender-Feld ausgefiltert werden. Diese Konfigurationen werden in der Registerkarte Filtering in den Einstellungen für die Nachrichtenzustellung (Message Delivery Properties) der Exchange-Gesamtorganisation vorgenommen.

Begrenzung der maximalen Nachrichtengröße

Als eine der möglichen Maßnahmen zum Schutz gegen DoS -Attacken (Denial of Service) können maximal zulässige Größen sowohl für eingehende als auch für ausgehende Nachrichten definiert werden. Es wird empfohlen, die Größe eingehender Nachrichten zu begrenzen. Dies kann in der Registerkarte Defaults in den Einstellungen für die Nachrichtenzustellung (Message Delivery Properties) eines virtuellen SMTP-Servers vorgenommen werden.

Umgang mit Sondernachrichten

Automatische Lese- und Empfangsbestätigungen, sowie Out-of-Office-Meldungen können zu (eventuell unbeabsichtigten) Denial-of-Service-Attacken führen. Sofern im Unternehmen bzw. in der Behörde die Verwendung von E-Mail-Bestätigungen und Out-of-Office-Meldungen nicht explizit gewünscht ist, wird empfohlen, den Einsatz dieser Sondernachrichten in der Exchange-Gesamtorganisation komplett zu verbieten. In den Standardeinstellungen der Exchange-Gesamtorganisation (Registerkarte Advanced) sollten alle Sondernachrichtentypen deaktiviert werden.

Konfiguration der Exchange-Connectors

In einer Umgebung mit mehreren Servern muss die Sicherheit der Nachrichtenübertragung gewährleistet werden, was eine entsprechende Konfiguration der Routing-Connectors bedeutet. Die Verbindungen zwischen Servern einer Routing-Gruppe werden während der Installation automatisch konfiguriert. Die Einstellungen der einzelnen Connectors müssen jedoch manuell angepasst werden, um ein höheres Sicherheitsniveau zu erreichen.

Es ist zu beachten, dass für die Konfiguration der Exchange-Connectors nicht nur Exchange-Administratorrechte, sondern auch Windows-Administratorrechte erforderlich sind.

Einrichtung redundanter Verbindungen

Aus Verfügbarkeitsgründen sollten redundante Verbindungen eingerichtet werden. So ist es beim Einsatz von SMTP- oder Routing-Group-Connectors möglich, mehrere sogenannte Bridgehead-Server (lokal und entfernt) zu spezifizieren. Bei Verbindungen zu X.400-Systemen empfiehlt es sich, mehrere X.400-Connectors einzurichten.

Allgemeine Connector-Einschränkungen

Für alle Exchange-Connectors können allgemeine Einschränkungen in bezug auf die Größe der Nachrichten definiert werden. Diese Größeneinschränkungen sollten als eine Maßnahme zum Schutz vor Denial-of-Service-Attacken aktiviert werden. Dies erfolgt in den Einstellungen des jeweiligen Connectors auf der Registerkarte Content Restrictions.

Weiterhin können Exchange-Connectors so konfiguriert werden, dass der Zugriff durch bestimmte Benutzer oder Gruppen gestattet oder verwehrt wird. Dies wird in den Einstellungen eines Connectors auf der Registerkarte Delivery Restrictions eingestellt. Damit alle beschriebenen Einschränkungen wirksam werden, ist in der Windows-Registrierungsdatenbank unter

HKEY_LOCAL_MACHINE / System / CurrentControlSet / Services / Resvc / Parameters

der Schlüssel CheckConnectorRestrictions mit Datentyp REG_DWORD und Wert 1 einzutragen.

Routing-Group-Connector

Der Routing-Group-Connector wird eingesetzt, um verschiedene Routinggruppen miteinander zu verbinden. Das Standardprotokoll in Routing-Gruppen ist SMTP. Werden Exchange-Server im gemischten Modus betrieben, so findet die Kommunikation mit Exchange 5.5 Servern über RPC statt.

Da Routing-Group-Connectors keine Verschlüsselung anbieten, sollten sie, sofern sensitive Daten über unsichere Strecken übertragen werden, nur in Verbindung mit IPSec eingesetzt werden. Als eine Alternative zu Routing-Group-Connectors werden SMTP-Connectors empfohlen, die auch eine Verschlüsselung ermöglichen.

X.400-Connector

Der X.400-Connector kann für die Verbindung mit X.400-Systemen benutzt werden.

Da der X.400-Connector nur die Authentisierung mit Kennwörtern im Klartext und HTTP Basic Authentisierung kennt, stellt der Einsatz eines solchen Connectors über eine unsichere Kommunikationsstrecke ein Sicherheitsrisiko dar. Daher wird von der Verwendung des X.400-Connectors abgeraten.

SMTP-Connector

Ein SMTP-Connector kann nicht nur zur Verbindung zweier Routing-Gruppen, sondern auch zur Verbindung verschiedener Exchange-Organisationen sowie zur Einbindung fremder (nicht-Exchange-) Server benutzt werden.

Genauso wie der Routing-Group-Connector ist der SMTP-Connector unidirektional. Authentisierungs- und Verschlüsselungseinstellungen für ausgehende Verbindungen können in den Eigenschaften des jeweiligen Connectors vorgenommen werden (Registerkarte Advanced, Schalter Outbound Security). Die Verschlüsselung des Nachrichtenverkehrs kann durch die Aktivierung der TLS-Verschlüsselungsoption erreicht werden. Die Verschlüsselung sollte aktiviert werden, wenn sensitive Daten über unsichere Strecken übertragen werden.

Es stehen drei Authentisierungsoptionen zur Verfügung: anonymer Zugriff, HTTP Basic Authentisierung und integrierte Windows 2000 Authentisierung. Standardmäßig findet keine Authentisierung statt (anonymer Zugriff). Sofern die Kommunikation zwischen Exchange Servern einer Windows-Domäne (z. B. innerhalb einer Routing-Gruppe) erfolgt, wird die integrierte Windows-Authentisierung zum Einsatz empfohlen. Die HTTP Basic Authentisierung sollte ausschließlich zusammen mit TLS benutzt werden. Sofern dies möglich ist, sollte auf den anonymen Zugriff verzichtet werden.

Weitere Exchange-Connectors

Außer den oben beschriebenen Exchange-Connectors existieren noch weitere, wie z. B. für cc:Mail, GroupWise oder MsMail. Die Notwendigkeit des Einsatzes dieser Exchange-Connectors sollte in jedem Einzelfall geprüft werden. Wenn solche Exchange-Connectors eingesetzt werden sollen, sollten die Einstellungen für die Authentisierung und die Verschlüsselung so vorgenommen werden, dass ein möglichst hohes Sicherheitsniveau erreicht wird (falls hierfür Einstellungsmöglichkeiten vorhanden sind).

Komponentenkonfiguration

Wenn es den Benutzern möglich sein soll, über das Internet auf ihre Postfächer zuzugreifen, empfiehlt sich der Einsatz von dedizierten Front-End-Servern. Die Front-End-Server befinden sich in der DMZ und leiten eingehende Client-Verbindungen zu den Back-End-Systemen, auf denen sich die Postfächer der Benutzer befinden. Die Front-End-Server selbst enthalten keine privaten Postfächer.

Ein Exchange-Server kann als Front-End-Server konfiguriert werden, indem die Option This is a Front-End-Server in den Eigenschaften des Servers aktiviert wird. Ist diese Option nicht gesetzt, ist der aktuelle Exchange-Server ein Back-End-Server. Dies ist die Standardeinstellung.

Authentisierung zwischen Exchange-Servern und SMTP-Relay-Hosts

Für die Weiterleitung einkommender und ausgehender Nachrichten kann in der DMZ eines Unternehmens ein SMTP-Relay-Host eingerichtet werden. Öffentliche SMTP-Verbindungen (von außen zum SMTP-Relay-Host) können prinzipiell nicht verschlüsselt werden, wenn fremde SMTP-Server mit dem SMTP-Relay-Host in der DMZ im Klartext kommunizieren.

Zwischen dem Relay-Host in der DMZ und den Servern im internen Netz sollte jedoch von der Authentisierung der Server Gebrauch gemacht werden. Der SMTP-Connector muss entsprechend konfiguriert werden.

Zugriff auf den Exchange-Server über HTTP (Outlook Web Access - OWA)

Von der Benutzung der OWA-Funktionalität im Exchange-Umfeld wird grundsätzlich abgeraten. Soll den Benutzern der Zugriff auf Exchange-Server über HTTP dennoch ermöglicht werden, müssen die Empfehlungen aus der Maßnahme M 4.164 Browser-Zugriff auf Exchange 2000 umgesetzt werden.

Zugriff von MAPI-Clients auf Exchange 2000 Server über das Internet

Es wird empfohlen, den Benutzern keinen direkten Zugriff auf die Exchange-Postfächer und den globalen Katalog über das Internet zu gestatten. Sollte dies aus anderen Gründen doch erlaubt werden, so muss die Firewall entsprechend konfiguriert werden: MAPI verwendet für die Kommunikation RPC und dynamische Portzuweisungen.

Konfiguration von Instant Messaging und Chat

Beim Einsatz der Funktionalität für Instant Messaging und Chat von Exchange 2000 muss die Benutzerauthentisierung gewährleistet werden. Empfohlen wird hierfür die integrierte Windows-Authentisierung. Die HTTP-Authentisierung sollte nicht eingesetzt werden, da es die reversible Kennwortverschlüsselung unter Windows 2000 erfordert, was unter gar keinen Umständen aktiviert werden darf. Dies impliziert jedoch, dass sich diejenigen Benutzer, die über Firewalls oder HTTP-Proxies arbeiten, wahrscheinlich nicht authentisieren können.

Konfiguration des Transports Outlook-Client zu Exchange 2000 Server

Der Exchange-Transportdienst für die Client/Server-Kommunikation stützt sich auf RPCs. Die folgenden RPC-Mechanismen werden für die Kommunikation zwischen Outlook und Exchange 2000 Server unterstützt:

Die Verbindungsreihenfolge kann konfiguriert werden, was speziell in heterogenen Netzen von Bedeutung ist. Die Standardreihenfolge ist LPC, TCP/IP, IPX/SPX, Named Pipes, NetBIOS und schließlich Banyan Vines. Die Änderung der Verbindungsreihenfolge erfolgt über die Windows-Registrierungsdatenbank. Unter

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Exchange \ Exchange Provider

enthält der Schlüssel Rpc_Binding_Order eine durch Kommata getrennte Aufzählung der RPC-Kommunikationsmethoden: ncalrpc (für LPC), ncacn_ip_tcp (für TCP/IP), ncacn_spx (für SPX), ncacn_np (für Named Pipes), netbios (für NetBIOS) sowie ncacn_vns_spp (für Banyan Vines). Es wird empfohlen, die Reihenfolge der Kommunikationsmechanismen anzupassen.

Konfiguration des Exchange-Transportdienstes

Die Informationen, die vom Client zum Exchange-Server übertragen werden, sollten kryptographisch geschützt werden. Die Verschlüsselung der Daten wird auf der Registerkarte Advanced aktiviert. Bei der Benutzung einer Einwählverbindung ist die Verschlüsselung besonders wichtig.

Die Windows 2000-Kennwortauthentisierung sollte als Authentisierungsmethode eingesetzt werden. Dies erfolgt ebenso auf der Registerkarte Advanced.

Soll der Zugriff auf Exchange-Server über eine Einwählverbindung möglich sein, wird empfohlen, dies nur auf Basis eines dedizierten Kontos zuzulassen.

Konfiguration virtueller SMTP-Server

Exchange 2000 ermöglicht die Definition mehrerer virtueller SMTP-Server. Die Sicherheitseinstellungen betreffen an dieser Stelle die Sicherheit der ein- und ausgehenden SMTP-Verbindungen: Authentisierung, Verschlüsselung, Einschränkungen der Weiterleitungsfunktionalität und Vergabe der Zugriffsberechtigungen auf Basis der IP-Adressen oder der Domänennamen.

Für die Authentisierung eingehender Verbindungen stehen in den Eigenschaften eines SMTP-Servers (Registerkarte Access, Schalter Authentication) drei Optionen zur Verfügung, die alle standardmäßig aktiviert sind: anonymer Zugriff, HTTP Basic Authentisierung und integrierte Windows 2000 Authentisierung. Es wird empfohlen, entweder die integrierte Windows Authentisierung oder HTTP Basic Authentisierung in Verbindung mit TLS-Verschlüsselung zu benutzen. Nach Möglichkeit ist die Windows Authentisierung vorzuziehen. Müssen anonyme SMTP-Zugriffe auf den Server möglich sein (d. h. dieser Server ist ein öffentlicher SMTP-Server), so empfiehlt sich der Einsatz eines SMTP-Relay-Hosts in der DMZ.

Für die Authentisierung ausgehender Verbindungen stehen in den Eigenschaften eines SMTP-Servers dieselben drei oben genannten Optionen zur Verfügung (einstellbar in der Registerkarte Delivery, Schalter Outbound security). Müssen Verbindungen zu unterschiedlichen externen SMTP-Servern mit verschiedenen Anmeldedaten aufgebaut werden, empfiehlt sich die Einführung unterschiedlicher SMTP-Connectors.

Die Verschlüsselung der Verbindungen wird empfohlen, wenn sensitive Daten über ungeschützte Kommunikationswege übertragen werden. Ebenso wird die Verschlüsselung empfohlen, wenn die HTTP Basic Authentisierung zum Einsatz kommen soll. Die TLS-Verschlüsselung für eingehende Verbindungen wird in den Eigenschaften eines SMTP-Servers in der Registerkarte Access, Bereich Secure communication aktiviert. Bei der Übertragung besonders schützenswerter Daten sollte die 128-Bit-Verschlüsselung eingesetzt werden. Es ist zu beachten, dass für die Aktivierung der Verschlüsselung eingehender Verbindungen ein entsprechendes Server-Zertifikat benötigt wird. Die Verschlüsselung ausgehender Verbindungen wird durch die Aktivierung der TLS-Option in der Registerkarte Delivery, Schalter Outbound security erreicht. Hier ist darauf zu achten, dass die Gegenseite natürlich ebenfalls TLS unterstützen muss.

Sind alle SMTP-Server bekannt, mit denen der zu konfigurierende virtuelle Server kommuniziert, so wird empfohlen, Zugriffseinschränkungen auf Basis der IP-Adressen oder der Domänennamen festzulegen. Hierbei sollte die Definition der Einschränkungen auf Basis der IP-Adressen bevorzugt werden. Weiterhin wird empfohlen, nur erlaubte IP-Adressen (oder Domänennamen) anzugeben, dem Rest sollte der Zugriff implizit verweigert werden (so genannte default deny policy).

Die Zugriffseinschränkungen werden in den Eigenschaften des Servers in der Registerkarte Access, Bereich Connection control vorgenommen.

Die Weiterleitungsfunktionalität, die anderen SMTP-Servern zur Verfügung gestellt wird, kann eingeschränkt werden (Registerkarte Access, Bereich Relay restrictions in Servereinstellungen). Es wird empfohlen, dies durch die Definition einer Liste berechtigter SMTP-Server zu realisieren (default deny policy).

Die Nachrichtengröße sowie die Anzahl der Nachrichten pro Verbindung und die Anzahl der Nachrichtempfänger pro Nachricht können in den Einstellungen des jeweiligen virtuellen SMTP-Servers eingeschränkt werden (Registerkarte Messages). Die Definition der Größeneinschränkungen wird generell empfohlen, da es eine der möglichen Maßnahmen für die Abwehr von DoS-Attacken ist. Die Maximalwerte sollten hierbei den Anforderungen des jeweiligen Unternehmens bzw. der Behörde angepasst werden.

Der SMTP-Dienst von Exchange meldet sich beim Aufbau einer SMTP-Verbindung standardmäßig mit einem Banner, das unter anderem auch Informationen über die Softwareversion preisgibt. Es wird dringend empfohlen, solche Informationen aus dem Banner zu entfernen, etwa mit dem Werkzeug MetaEdit aus der IIS-Metabase. Die Informationen im Banner sollten keine Rückschlüsse auf die Art der eingesetzten Software und ihrer Version ermöglichen.

Konfiguration der POP3, IMAP4 und NNTP Netzprotokolle

Der Zugriff auf einen Exchange-Server kann unter anderem über die Protokolle POP3, IMAP4 oder NNTP stattfinden. Entscheidet sich eine Institution, diese Protokolle einzusetzen, so sollten Einstellungen zur Authentisierung und Verschlüsselung vorgenommen sowie Zugriffseinschränkungen auf Basis der IP-Adressen oder Domänennamen definiert werden. Dies erfolgt in den jeweiligen Protokolleinstellungen.

Die benutzerbezogenen Einstellungen, wie z. B. die Aktivierung bzw. Deaktivierung des POP3- bzw. IMAP-Zugriffs, werden mit dem MMC-Snap-In Active Directory Users and Computers vorgenommen (Registerkarte Exchange advanced, Schaltfläche Protokolleinstellungen | Protokolle).

Authentisierung

Als Authentisierungsmechanismus sollte die integrierte Windows Authentisierung der HTTP Basic Authentisierung vorgezogen werden.

Die HTTP Basic Authentisierung sollte nur in Verbindung mit TLS-Verschlüsselung eingesetzt werden. Für das NNTP-Protokoll muss überlegt werden, ob ein anonymer Zugriff auf den Server erlaubt werden soll. In jedem Fall wird empfohlen, für das NNTP-Protokoll Einschränkungen bezüglich der Maximalgröße der zu veröffentlichenden Nachrichten zu definieren (Registerkarte Settings).

Verschlüsselung

Die Verschlüsselung der Verbindungen wird empfohlen, wenn sensitive Daten über ungeschützte Kommunikationswege übertragen werden oder HTTP Basic Authentisierung zum Einsatz kommen soll. Die TLS-Verschlüsselung für eingehende Verbindungen wird in den Protokolleinstellungen in der Registerkarte Access, Bereich Secure communication aktiviert. Bei der Übertragung besonders schützenswerter Daten sollte die 128-Bit-Verschlüsselung eingesetzt werden. Es ist jedoch zu beachten, dass für die Aktivierung der Verschlüsselung eingehender Verbindungen ein entsprechendes Server-Zertifikat benötigt wird.

Zugriffseinschränkungen

Es wird empfohlen, die Zugriffseinschränkungen auf Basis der IP-Adressen oder der Domänennamen zu definieren, sofern die Menge der Clients festgelegt werden kann.

Nachrichtenformat

Nachrichten im HTML-Format können auch aktive Elemente enthalten, was ein Sicherheitsrisiko für Clients darstellt. Deshalb wird empfohlen, die Nachrichten über POP3 und IMAP4 als einfache Textnachrichten auszuliefern (message body as plain text, Registerkarte Message Format). Von der Verwendung des Rich-Text-Formats (RTF) wird abgeraten.

Protokollierung

Aus Sicht der IT-Sicherheit muss der Betrieb eines Exchange-Systems protokolliert werden. Hierzu wird auf die Maßnahme M 4.167 Überwachung und Protokollierung von Exchange 2000 Systemen verwiesen.

Generelles

Zusätzlich zu den hier beschriebenen Maßnahmen müssen die im Baustein B 3.106 Server unter Windows 2000 empfohlenen Maßnahmen zur Absicherung des Windows 2000 Systems (speziell Active Directory) umgesetzt werden.

Sobald die Installation und die Konfiguration eines Exchange-Servers abgeschlossen ist, sollte eine Datensicherung durchgeführt werden.

Ergänzende Kontrollfragen: