Fachartikel

Sicherheit in Exchange (3)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. Im dritten Teil erklären wir, was sie bei einem Virenscanner auf Dateisystemebene beachten müssen.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Virenscanner auf Dateisystemebene
Viele Unternehmen setzen auf Exchange-Servern Virenscanner auf Dateisystemebene ein. Sie müssen dazu auch in Exchange 2016 einige Dinge beachten. Etwa, dass solche Scanner keinen Schutz vor E-Mail-Viren bieten. Sie können lediglich eine Datei scannen, wenn sie in Verwendung ist, oder sie können in einem geplanten Intervall scannen. Dies kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren. Dies kann die Datenbank zerstören oder den Server zumindest deutlich langsamer reagieren lassen.

Bei Antivirenprogrammen auf Dateiebene unter Exchange müssen Sie bestimmte Ordner, Prozesse und Dateinamenerweiterungen sowohl von der speicherresidenten als auch von der Prüfung auf Dateiebene ausschließen. Auf Postfachservern gilt es, alle Postfachdatenbanken, Datenbankinhaltsindizes und Protokolldateien der Unterordner von "<Exchange-Installationspfad>\Mailbox" von der Prüfung auszunehmen. Die Speicherorte von Postfachdatenbank, Transaktionsprotokollen und Prüfpunktdateien lassen sich in der Exchange Management Shell wie folgt ermitteln:
Get-MailboxDatabase -Server <Servername> | fl *path*
GroupMetrics-Dateien aus dem Ordner "Exchange-Installationspfad\GroupMetrics" sollten Sie ebenso wenig scannen wie Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur (Ordner "<Exchange-Installationspfad>\ TransportRoles\Logs" und "Exchange-Installationspfad\Logging"). Den Speicherort erfahren Sie mit:
Get-MailboxServer <Servername> | fl *path*
Auch Offlineadressbuch-Dateien ("<Exchange-Pfad>\ClientAccess\OAB") und IIS-Systemdateien ([SystemRoot]\System32\inetsrv") sollten Sie ausschließen. Gleiches gilt für den temporären Ordner der Postfachdatenbank unter "<Exchange-Installationspfad>\\Mailbox\MDBTEMP".

Auf Servern, die Mitglied einer Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) sind, schließen Sie die Ordner "%WinDir%\Cluster" und "%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>" aus.

Weitere Ordner, die Sie nicht unter den Schutz eines Antivirusprogramms stellen sollten, zeigt die gleichnamige Tabelle am Ende des Artikels.

Viele Antivirenprogramme prüfen auch Prozesse, was Exchange negativ beeinflussen kann. Und neben Ordnern und Prozessen sollten Sie auch Exchangespezifische Dateinamenerweiterungen ausschließen. Beide Listen finden Sie unter [2].


Bild 2: Über die Antischadsoftware-Richtlinie lässt sich festlegen, wie Exchange mit Malware
in E-Mails umgeht und wer darüber benachrichtigt wird.


Interner Malwareschutz
Der Virenscanner ist in Exchange 2016 standardmäßig aktiviert. Sie können ihn aber jederzeit oder bereits bei der Installation deaktivieren. Die bereits vorhandene Antischadsoftware-Richtlinie steuert Einstellungen für den Scanner. Sie können diese Richtlinie nicht löschen, aber im EAC bearbeiten. Dazu öffnen Sie im EAC "Schutz/Schadsoftwarefilter" und doppelklicken die Standardrichtlinie "Default". Über "Einstellungen" richten Sie die Richtlinie nach Ihren Anforderungen ein:

  • Gesamte Nachricht löschen: Verhindert die Zustellung der E-Mail einschließlich Anlagen an die Empfänger.
  • Alle Anlagen löschen und Standardwarntext verwenden: Löscht alle Anlagen, nicht nur infizierte und fügt der E-Mail eine Textdatei mit Standardwarntext hinzu. Der Text der E-Mail bleibt aber erhalten.
  • Alle Anlagen löschen und benutzerdefinierten Warntext verwenden: Löscht alle Anlagen und fügt eine Textdatei mit einer Nachricht ein. Den Text können Sie selbst festlegen.
Wird im Nachrichtentext selbst Schadsoftware erkannt, löscht Exchange immer die gesamte E-Mail einschließlich Anlagen. Das gilt für alle ein- und ausgehenden E-Mails. Im Bereich "Benachrichtigungen" hinterlegen Sie, ob Exchange eine Benachrichtigungs-E-Mail an Absender oder Administratoren sendet, wenn eine Nachricht als Schadsoftware erkannt wird. Zusätzlich passen Sie den Inhalt unter "Benachrichtigungen anpassen" bei Bedarf an. Dies gilt ebenso für den Absender, in dessen Namen die E-Mail gesendet wird und den Betreff der Nachricht.

 
Fazit
Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen. Während manche Werkzeuge nur in bestimmten Szenarien wie etwa bei Smartphones für mehr Sicherheit sorgen, sollten Administratoren Themen wie Postfachüberwachungsprotokolle oder Virenschutz stets im Auge behalten.

Im ersten Teil des Workshops lasen Sie, wie Sie Postfächer überwachen und Exchange-Zertifikate konfigurieren. Im zweiten Teil ging es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen..
21.12.2020/jp/ln/Thomas Joos

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen