Ich flipp noch aus :-(
Mir hat jemand eine Sache ans Bein gebunden, die mich noch zum Irrsinn treibt.
Ich schildere mal die Fakten in Stichworten und hoffe auf jemanden der den Gordischen Knoten für durchschlägt
- Exchange 2019 CU 15 innerhalb einer Domain betrieben (ohne MX Eintrag)
- Mails werden via SmartPOPtoExchange vom Hoster gepollt
- TLD Domain **.ART
- Keine feste IP Adresse sondern DYNDNS
xyz.dyndns.net - intern ausgestelltes Zertifikat
- Alles läuft eigentlich ohne Probleme
- Bis:
Der Inhaber hat bestimmte Mitarbeiter mit Iphones ausgestattet und will diese nun an den Exchange angebunden haben.
Mit alten Iphones und mit Androids lief und läuft das ohne Probleme.
Auf den neuen Iphones werden die Exchangekonten nicht angelegt.
Ursache ist das Selbsterstellte Zertifikat, soweit ich das sehe. - Also habe ich mir das Zertifikate Whitepaper angeschaut und entsprechende Konfigurationen vorgenommen.
- Der letze Schritt, das Einreichen einer Zertifikatsanforderung hat mich ins offene Messer laufen lassen.
Innerhalb der Anforderung steht
outlook.xyz.dyndns.net
autodiscover.xyz.dyndns.net
Die Zertifizierungsstelle benötigt:
Mailadresse.domain.xx die der Kunde aber nicht hat, da man mailadressen mail.xyz.dyndns.net nicht anlegen kann.
Handelsregisterauszug geht nicht da dort die Firma Fritz Meier KG steht und nicht "xyz was weiß ich GmbH".
Telefonverzeichnisse geht nicht da öffentlich nur die Firma Fritz Meier KG existiert und kein Zusammenhang mit xyz.dndns.net besteht. - Mein nächster Gedanke war eine Feste IP Adresse
Nur was hilft mir das?
Innerhalb des Intranet existiert weder eine von aussen zugänglicher Webserver noch ein via MX erreichbarer Exchange und das sollte eigentlich aus Sicherheitsgründen auch so bleiben.
Hat jemand eine Idee wie ein solch vertacktes Szenario sauber umgesetzt werden könnte, ohne das Sicherheistlücken aufklaffen oder wer weiß was für Investitionen zu tätigen sind?
Selbstverständlich ist kein Geld übrig und überhaupt muß das sofort schnell und sicher...
Das wird wohl eher schwierig in der Konstellation. Das Hauptproblem selbst hast du ja schon erkannt, iOS und Android mögen inzwischen keine selbst signierten Zertifikate mehr, die wollen was öffentliches. Ich halte auch von solchen "Krückenlösungen" wie Popconnectoren nicht viel, gibt immer wieder verschiedenste Probleme damit, aber das ist nicht das Problem.
Das Problem ist, dass die CA wissen will, wer du bist. Das musst du denen nachweisen, entweder mittels einer Mailadresse, die zur enthaltenen Domain gehört oder über einen DNS Record (gibt auch noch andere Varianten, ist aber glaub ich Anbieterabhängig)
Feste IP würde dir nur bedingt helfen, du bräuchtest dann auch eine eigene Domain für, die nicht DynDNS ist und wo du dann den DNS-Eintrag drüber verwalten kannst. Dann ginge auch die Domain Validierung. Ein MX Record ist dafür nicht notwendig, allerdings müsste der Exchange trotzdem von außen auf einer entsprechenden Adresse aus dieser Domain erreichbar sein, also z.Bsp. mail.domain.tld und autodiscover.domain.tld, da die Endgeräte ihn natürlich über eine Adresse erreichen müssen, die im Zertifikat drin steht. Das Ganze Thema wird nur mit der DynDNS Adresse meiner Meinung nach nicht klappen.
Hallo dartzen,
zuerst einmal Danke für deine Antwort, die meine Vermutung quasi bestätigt hat.
Lassen wir mal den SmartPO2Exchange aussen vor.
Wenn ich dich recht vertanden habe wäre eine mail.domain.tld bei der ich die DNS Einträge ände3rn kann, die Lösung.
Zum einem gibt es einen Hoster der so etwas zulässt?
Zum abnderen wäre dann ja doch die feste IP notwendig, da ich ja wohl schlecht in der mail.domain.tld die xyz.dyndns.net hinterlegen kann.
Fällt mir gerade ein:
Gibt es ne Domainumleitung und wäre das hilfreich
Hast du Erfahrungen mit lets encrypt?
Käme ich damit zum Ziel?
Der Kunde ist im Medizin Bereich angesiedelt, hat natürlich "keine Lust viel zu investieren" und ich scheue mich Ports nach aussen zu öffnen (wie bei Lets encrypt den Port 80)
Mir ist gerade noch eine Idee gekommen 🤔
Ich leg ne Domain exchgmail-blablabla.tld bei einem Hoster an.
Der Kunde holt sich ne feste IP
Ich gehen bei Hoster in die DNS Einstelleungen der Domain und schreibe hier im HOST A die feste IP des Kunden rein.
Dann gehe ich wie in Frankys Whitelist vor:
viruelle Verzeichnisse anpassen auf outlook.exchgmail-blablabla.tld
Generieren des Cert request mit den Addressen
outlook.exchgmail-blablabla.tld
autodiscover.exchgmail-blablabla.tld
Dann hätte ich ne Domain für die Registrare und die Umleitung auf den lokalen Exchange
:-(?
Grundsätzlich ja, aber kommt auf die Umgebung an, ob das so geht. Du musst beachten, dass der Exchange nur ein Zertifikat für die Clientanmeldungen binden kann, d.h. in dem Zertifikat müssen alle Adressen stehen, über die der Exchange intern und extern angesprochen wird. Sollte das intern bisher über eine .local laufen kriegst du das nicht in ein öffentliches Zertifikat rein und müsstest das auch für intern anpassen. Dann wird es aber auch nötig, die Domain im internen DNS so abzufangen, dass die auf dem internen Server landet (Stichwort Split-DNS).
Guten Morgen.
Ja das ist schon klar und auch schon seid längerem, dank Franks Whitepaper, umgestetzt.
Intern und extern sind identisch, Split Brain existiert und funktioniert.
Wenn ich nun eine Domain bei einem Hoster anlege und in den DNS Einstellungen die feste IP des Interntanschlusses hinterlege, hätte ich doch das gleiche wie bei DynDNS aber mit einer vernünftigen Domain, oder denke ich falsch?
Ist manchmal schon sehr hilfreich, wenn man sich austauschen kann und nicht nur allein im Kämmerchen covor sich hindenkt ;-)
Grundsätzlich ja. Ich weiß ja nicht, wie eure Domain intern heißt, aber falls die noch nicht öffentlich registriert ist würde ich entsprechend die beim Hoster registrieren und dann in deren DNS Einstellungen die entsprechenden Hostnames als A-Record auf die öffentliche IP verweisen. Falls es die schon gibt (und dem Kunden entsprechend gehört, weil darüber z.Bsp. auch eine Webseite existiert) wäre das noch einfacher, weil dann gibt's ja schon einen Hoster, bei dem man auch die DNS-Einträge entsprechend setzt. Was sitzt denn eigentlich vor dem Exchange? Weil einfache Portweiterleitung ist aus Sicht der Sicherheit eher ungünstig, da sollte schon so was wie eine WAF oder ein Reverse-Proxy davor sein, um den externen Zugriff abzusichern.
Du hast schon Recht mit den Sicherheitsbedenken.
Ich arbeit hier mit Lancom 1790 und blocke schon hier alles außer den notwendigen Ports.
Das bedeute, ausser zur Zeit Port 443 gibts kein Tor nach innen.
Deshalb ist mir bei der Lets encrypt Sache auch ein wenig mulmig.
Der Inhaber des Unternehmens ist ein ziemlicher Narziss und hat sich ne TLD Domain registrieren lassen.xyz.art
Diese TLDs lassen sich aber bei kaum einem Hoster hinterlegen und der Hoster den er hat ist schlichtweg schlimm.
Ich würde folgendes machen:
Neuer Hoster mit ner Wald-Feld und Wiesendomain, z.B. Ionos
Anlegen eibner Domain xyzart.de
Anpassen der DNS auf die feste IP des Lancom
Da der nur 443 als Port intern weiterleitet muß ich nicht auch noch nen Reverse Proxy oder an einer WAF herumbasteln.
Was meinst du?
Bei dem Hoster den er für seine Domain hat müsstest du doch trotzdem DNS Einträge für diese Domain konfigurieren können. Und bei den CAs sollte das auch gehen, .art ist eine offizielle öffentliche TLD, soweit ich das schnell gegoogelt habe.
Wenn du das mit einer separaten Domain machst musst du halt das ganze Thema interner DNS noch mal neu aufziehen und entsprechend die virtuellen Verzeichnisse wieder neu anpassen. Und natürlich testen, ob das dann so klappt, vor allem mit internen Outlook Clients.
Was das Thema Portweiterleitung angeht: "Nur" 443 öffnet halt einmal komplett den Exchange nach außen, da alle virtuellen Verzeichnisse über den Port 443 kommunizieren. Finde ich sehr gewagt, du hast halt keinerlei Kontrolle, was da dann alles aufschlägt. Deswegen WAF oder Reverse Proxy. Mit dem Lancom kenne ich mich nicht aus, daher weiß ich nicht, ob der so eine Funktion mit an Bord hat.
Ja klar, du hast schon Recht, aber wer will das managen?
Der Kunde ist wie viele andere auch.
Bringt mir das Geld oder kostet es nur Geld, dann brauchen wir es nicht.
Mit welcher WAF arbeitest Du?
Mir sind die bekannt, habe aber noch nichts mit denen zu tun gehabt.
Imperva WAF
Cloudflare Web Application Firewall
Radware AppWall
Akamai Kona Site Defender / App & API Protector
Fastly Next-Gen WAF (Signal Sciences)
Prophaze Web Application Firewall
F5 Advanced WAF
AWS WAF
Ahrgh vergessen...
Das mit dem Provider hat seine Sinn.
Der jetzige bietet keinerlei Möglichkeit der sicheren E-Mailarchivierung nach GoBD / EU-DSGVO & GoBD Konformität.
Deshalb ist der Wechsel zu einem anderen Hoster angedacht, der so etwas bietet.
Und da wird es schon eng wenn du eine TLD Domain umziehen willst. Viele Hoster lehnen die schlichtweg ab.
Zur Zeit bleibt nur IONOS da die einen die TLD ablehnen, die anderen keine Mailarchivierung haben.
Der Kunde hatte eine Inhouse Mailarchivierung die auch super funktioniert hat.
UMA aus dem Hause Securepoint. Leider haben die das Produkt eingestampft und der Kunde will nun nicht wieder etwas neues Inhouse und nach wenigen Jahren wieder was neues...
Wir haben eine Sophos XGS als Firewall und da die Webserver Protection mit lizenziert, das macht dann den Part der WAF. wir haben aber auch vermutlich ein paar User mehr als dein Kunde. Mein früherer Arbeitgeber hatte eine Fortigate dafür im Einsatz, mit anderen Produkten kenne ich mich persönlich nicht aus. Wie gesagt, müsstest mal schauen ob der LANCOM sowas auch kann, heißt da vielleicht nur anders.
Das mit dem Hosterwechsel wundert mich, aber habe gerade mal bei unserem geschaut, der bietet tatsächlich auch keine .art an. Scheint also tatsächlich was spezielleres zu sein.
Mein Kunde hat ca. 30 User und noch jede Menge Devices die alle im Netz stecken.
In der Medizinbranche erlebst du Unglaubliches.
Manche der Gerätehersteller wollen ein komplettes Abschalten der Firewall, andere habe eine A4 Seite mit Ausnahmen, andere wollen Freigaben auf Server mit Vollzugriff für jeden.
Und das könnte ich jetzt noch ne ganze Weile weiter ergänzen. :-(
Das mit der .ART TLD ist ein ganz schönes Eigentor gewesen.
Aber was tut man nicht alles für sich und sein Ego...
Mit der WAF hast du mir einen guten Tipp gegeben.
Ich bin Lancom Fan, weil die Teile zwar Unglaublich komplex aber dafür umso universeller sind.
Ich habe bei Lancom gesehen, das die auch ganze nette WAFs aus dem Hause R&S im Programm haben.
Preise sind auch ok.
R&S haben Lancom ja vor einiger Zeit übernommen, genau wie den damaligen Hersteller der WAFs.
Die Qualität der ganzen Lancom Schiene ist einfach TOP.
Ich werde das Ganze nun in Angriff nehmen und wenn es gelungen ist, dir berichten.
Hab vielen Dank für deine Unterstützung und die Reflexion auf meine Überlegeungen.
Gerne kontaktiere ich dich und das Forum wieder, wenn ich darf.
herzliche Grüsse,
Andretti
