对于面向Internet,全角色的Exchange服务器,我需要通过防火墙才能

由于最近的渗透测试,我们没有很好的表现,我注意到我们的面向互联网,所有角色的一体化,Exchange 2010 SP3服务器没有防火墙,因此完全暴露在互联网上.我自己验证了结果,确实非常糟糕. SMB,LDAP,远程注册表,RDP以及您在 Windows Active Directory环境中找到的所有其他默认服务都通过Exchange服务器向Internet公开.

当然,我想解决这个问题,并计划使用Windows防火墙,但在谷歌搜索中,我从官方来源找到的所有内容都是port references which seem to apply to internal Exchange traffic和Technet blog posting saying not to use those references to configure your firewalls,因为这是唯一支持的配置. Exchange服务器相当于ANY：ANY允许规则. ：/

鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道面向Internet的全角色一体机Exchange服务器需要哪些防火墙规则？ (对于拥有官方MS源的任何人来说,奖励积分都是小额奖励.)

作为一个偶然的Exchange管理员和意外的IT安全人员,我已经拿出了下面的列表(这对我来说似乎太长太短),但在我去之前和可能会破坏一千个用户的电子邮件,我真的很想验证我打算做什么.

TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)

除非您有商业理由的邮件客户端需要所有这些,否则将其限制为25,80,443.不允许POP访问,这是明文密码.不允许客户端SMTP访问,这是一个纯文本密码. (当然,要接受来自互联网的邮件,您需要打开TCP 25.)

使用移动设备或Outlook Anywhere的任何人都将使用HTTPS进行Outlook Anywhere或EWS / Activesync.

如果我们想写一篇关于安全性的整篇文章,那么您将接受不属于您的域的MX记录的电子邮件,并且您的Exchange服务器只接受来自该/那些主机的TCP 25.您可以使用边缘传输,第三方产品或托管服务.

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!