在最近的一次渗透测试中,我们表现不佳,结果让我注意到,我们面向互联网、功能齐全的 Exchange 2010 SP3 服务器没有防火墙,因此完全暴露在互联网中。我自己验证了结果,情况确实很糟糕。SMB、LDAP、远程注册表、RDP 以及您在 Windows Active Directory 环境中找到的所有其他默认服务都通过我们的 Exchange 服务器暴露在互联网中。
当然,我想修复这个问题,并计划使用 Windows 防火墙来解决,但在谷歌搜索中,我从官方来源找到的所有信息都是似乎适用于内部 Exchange 流量的端口引用,以及Technet 博客文章称不要使用这些参考资料来配置防火墙,因为 Exchange 服务器之间唯一支持的配置相当于规则ANY:ANY allow。:/
鉴于我们使用 Active Sync、OWA、IMAP、日历/地址簿共享、自动发现和 Outlook 客户端访问,是否有人知道面向互联网的全角色一体化 Exchange 服务器需要什么防火墙规则? (对于拥有官方 MS 来源的人,也可以以小额赏金的形式给予奖励积分。)
凭借我作为一名偶然的 Exchange 管理员和 IT 安全人员的丰富经验,我列出了以下清单(似乎太长了和对我来说太短了,但在我可能为上千名抱怨的用户关闭电子邮件之前,我真的想验证一下我计划做的事情。
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
答案1
对于广泛开放的全协议实现来说,这看起来基本正确。以下是一些建议:
除非您有出于业务原因而需要所有这些的邮件客户端,否则请将其限制为 25、80、443。不要允许 POP 访问,这是明文密码。不要允许客户端 SMTP 访问,这是明文密码。(当然,要接受来自互联网的邮件,您需要打开 TCP 25。)
任何使用移动设备或 Outlook Anywhere 的人都会对 Outlook Anywhere 或 EWS/Activesync 使用 HTTPS。
如果我们想写一篇关于安全性的整篇文章,您将接受不属于您域的 MX 记录的电子邮件,并且您的 Exchange 服务器将仅接受来自该主机的 TCP 25。您可以使用边缘传输、第三方产品或托管服务。
答案2
mfinni 所说的,除了我们将三个端口转发到防火墙后面的一体化 Exchange 盒之外:
25: SMTP
80: HTTP (redirect to OWA HTTPS)
443: HTTPS
这对于使用 Android、iPhone 等手机的用户来说非常有效。一般来说,人们在家里使用 OWA 或他们的手机。
编辑:既然你要求提供微软源代码,这是指向有关防火墙和 SBS 2008 的 TechNet 文章的链接,其中包含一个一体化 Exchange 配置。他们建议:
Service or Protocol Port
SMTP e-mail TCP 25
HTTP Web traffic TCP 80
HTTPS Web traffic TCP 443
SharePoint Services TCP 987
VPN TCP 1723
Remote Desktop Protocol TCP 3389
您显然不需要 Sharepoint、VPN 或 RDP,剩下 25、80 和 443。
和这是一个用于 SBS 2011 的链接,其中包含 Exchange 2010。相同的端口(减去 RDP)。