Fachartikel

Sicherheit in Exchange (3)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. Im dritten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Virenscanner auf Dateisystemebene
Viele Unternehmen setzen auf Exchange-Servern Virenscanner auf Dateisystemebene ein. Sie müssen dazu auch in Exchange 2016 einige Dinge beachten. Etwa, dass solche Scanner keinen Schutz vor E-Mail-Viren bieten. Sie können lediglich eine Datei scannen, wenn sie in Verwendung ist, oder sie können in einem geplanten Intervall scannen. Dies kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren. Dies kann die Datenbank zerstören oder den Server zumindest deutlich langsamer reagieren lassen.

Bei Antivirenprogrammen auf Dateiebene unter Exchange müssen Sie bestimmte Ordner, Prozesse und Dateinamenerweiterungen sowohl von der speicherresidenten als auch von der Prüfung auf Dateiebene ausschließen. Auf Postfachservern gilt es, alle Postfachdatenbanken, Datenbankinhaltsindizes und Protokolldateien der Unterordner von "<Exchange-Installationspfad>\Mailbox" von der Prüfung auszunehmen. Die Speicherorte von Postfachdatenbank, Transaktionsprotokollen und Prüfpunktdateien lassen sich in der Exchange Management Shell wie folgt ermitteln:
Get-MailboxDatabase -Server <Servername> | fl *path*
GroupMetrics-Dateien aus dem Ordner "Exchange-Installationspfad\GroupMetrics" sollten Sie ebenso wenig scannen wie Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur (Ordner "<Exchange-Installationspfad>\ TransportRoles\Logs" und "Exchange-Installationspfad\Logging"). Den Speicherort erfahren Sie mit:
Get-MailboxServer <Servername> | fl *path*
Auch Offlineadressbuch-Dateien ("<Exchange-Pfad>\ClientAccess\OAB") und IIS-Systemdateien ([SystemRoot]\System32\inetsrv") sollten Sie ausschließen. Gleiches gilt für den temporären Ordner der Postfachdatenbank unter "<Exchange-Installationspfad>\\Mailbox\MDBTEMP".

Auf Servern, die Mitglied einer Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) sind, schließen Sie die Ordner "%WinDir%\Cluster" und "%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>" aus.

Weitere Ordner, die Sie nicht unter den Schutz eines Antivirusprogramms stellen sollten, zeigt die gleichnamige Tabelle am Ende des Artikels.

Viele Antivirenprogramme prüfen auch Prozesse, was Exchange negativ beeinflussen kann. Und neben Ordnern und Prozessen sollten Sie auch Exchangespezifische Dateinamenerweiterungen ausschließen. Beide Listen finden Sie unter [2].


Bild 2: Über die Antischadsoftware-Richtlinie lässt sich festlegen, wie Exchange mit Malware
in E-Mails umgeht und wer darüber benachrichtigt wird.


Interner Malwareschutz
Der Virenscanner ist in Exchange 2016 standardmäßig aktiviert. Sie können ihn aber jederzeit oder bereits bei der Installation deaktivieren. Die bereits vorhandene Antischadsoftware-Richtlinie steuert Einstellungen für den Scanner. Sie können diese Richtlinie nicht löschen, aber im EAC bearbeiten. Dazu öffnen Sie im EAC "Schutz/Schadsoftwarefilter" und doppelklicken die Standardrichtlinie "Default". Über "Einstellungen" richten Sie die Richtlinie nach Ihren Anforderungen ein:

  • Gesamte Nachricht löschen: Verhindert die Zustellung der E-Mail einschließlich Anlagen an die Empfänger.
  • Alle Anlagen löschen und Standardwarntext verwenden: Löscht alle Anlagen, nicht nur infizierte und fügt der E-Mail eine Textdatei mit Standardwarntext hinzu. Der Text der E-Mail bleibt aber erhalten.
  • Alle Anlagen löschen und benutzerdefinierten Warntext verwenden: Löscht alle Anlagen und fügt eine Textdatei mit einer Nachricht ein. Den Text können Sie selbst festlegen.
Wird im Nachrichtentext selbst Schadsoftware erkannt, löscht Exchange immer die gesamte E-Mail einschließlich Anlagen. Das gilt für alle ein- und ausgehenden E-Mails. Im Bereich "Benachrichtigungen" hinterlegen Sie, ob Exchange eine Benachrichtigungs-E-Mail an Absender oder Administratoren sendet, wenn eine Nachricht als Schadsoftware erkannt wird. Zusätzlich passen Sie den Inhalt unter "Benachrichtigungen anpassen" bei Bedarf an. Dies gilt ebenso für den Absender, in dessen Namen die E-Mail gesendet wird und den Betreff der Nachricht.

 
Fazit
Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen. Während manche Werkzeuge nur in bestimmten Szenarien wie etwa bei Smartphones für mehr Sicherheit sorgen, sollten Administratoren Themen wie Postfachüberwachungsprotokolle oder Virenschutz stets im Auge behalten.

Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren. Im zweiten Teil ging es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen..
21.12.2020/jp/ln/Thomas Joos

Nachrichten

Intra2net mit neuem Lizenzmodell [19.01.2021]

Der Groupware- und Security-Anbieter Intra2net startet mit einem neuen Lizenzmodell ins Jahr 2021. Kunden sollen fortan von einer übersichtlicheren Preisgestaltung mit festen Benutzerpaketen profitieren. Für den Bereich von fünf bis 100 Benutzer stehen zehn Lizenzpakete in einer besonders kleinschrittigen Staffelung zur Verfügung. [mehr]

Matrix42 kauft FastViewer [14.01.2021]

Matrix42 übernimmt FastViewer, einen Anbieter für Remote Access, Remote Support und Collaboration-Lösungen. Der langjährige Partner von Matrix42 ist mit seiner Fernzugriff- und Fernwartungs-Plattform für PCs, Laptops, mobile Geräte, Server und Cloud-Workload bereits in die Matrix42-Produkte integriert. Mit der FastViewer Akquisition baut der Frankfurter Softwarehersteller für Digital Workspace Management zusätzlich sein Angebot für Edge-, IoT-Computing und Cloud Management aus. [mehr]

Tipps & Tools

Schatten-IT in der Teamkommunikation vermeiden [21.01.2021]

In Zeiten des mobilen Arbeitens und zunehmender Cyberkriminalität wird es immer wichtiger, dass Unternehmen potenzielle IT-Sicherheitslücken in der eigenen IT-Landschaft schließen. Die Crux: Aufgrund fehlender Lösungen greifen Mitarbeiter auf unautorisierte Consumer-Apps zurück, etwa WhatsApp. Eine derartige Schatten-IT gefährdet aber die Datensicherheit. Der Beitrag gibt sieben Tipps, wie IT-Administratoren die Teamkommunikation sicher gestalten und was bei der Auswahl entsprechender Werkzeuge zu beachten ist. [mehr]

Jetzt buchen: "Office 365 bereitstellen und absichern" [11.01.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Die Veranstaltung im März findet sowohl vor Ort als auch parallel online statt. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen