Exchange 2003 – End of Support Hardening
In den Medien wurde viel Berichtet vom Ende des Supports für Windows XP. Was jedoch nicht wirklich oft erwähnt wurde ist die Tatsache, dass gleichzeitig auch das Support-Ende von Exchange Server 2003 war. Dies bedeutet, dass seit Anfang April keine kostenlosen Sicherheitsupdates mehr für Exchange Server 2003 von Microsoft bereitgestellt werden.
Da Teile von Exchange aufgrund des Einsatzgebietes auch direkt über das Internet erreichbar sind (zb. SMTP, Webmail, ActiveSync) und somit auch direkt über das Internet angreifbar, ergibt sich dadurch eine erhöhte Gefahr für Exchange, im Gegensatz zu Systemen die nicht direkt über das Internet erreichbar sind.
Es ist also höchste Zeit ein Upgrade von Exchange 2003 durchzuführen. Bis das Upgrade umgesetzt ist würde ich aber Empfehlen ein paar Maßnahmen zu ergreifen, um den bestehenden Exchange 2003 Server etwas besser abzusichern, bis er abgelöst wird.
Die beste Möglichkeit wäre natürlich mit Microsoft einen – kostenpflichtigen – Support Vertrag abzuschließen der auch für ein weiteres Jahr Updates garantiert. Soweit dies aus den Medien ersichtlich ist sind diese Verträge aber recht teuer. Daher würde ich zumindest folgende Schritte empfehlen um den Schutz zu verbessern:
Für Webmail, ActiveSync
Sehen Sie sich Ihre Firewall genau an. Eventuell haben Sie ein UTM Gerät und können Intrusion Detection& Filtering für Webmail und ActiveSync konfigurieren. Oder dies nachträglich mittels einem Lizenz-Upgrade für die Firewall aktivieren. Damit kann die Firewall eventuelle Angriffe auf Webmail&ActiveSync basierend auf den Signaturen filtern.
Für SMTP
Überlegen Sie einen E-Mail-Gateway für eingehenden SMTP-Verbindungen zu Konfigurieren. Alle eingehenden E-Mails werden dann vom Gateway angenommen und nicht mehr direkt vom Exchange 2003 Server. Der Gateway leitet nur die gefilterten E-Mails an den Server weiter. Damit muss der Exchange 2003 Server nicht mehr direkt vom ganzen Internet per SMTP erreichbar sein. Sondern nur mehr für den Gateway.
Durch das Umsetzen dieser beiden Möglichkeiten wird der Schutz von Exchange 2003 verbessert. Aber bitte nicht vergessen, auch diese bieten keinen 100%-Schutz und sollten nur dafür dienen die Übergangszeit besser abzusichern. Ein Upgrade sollte jedenfalls schnellstmöglich durchgeführt werden.
Beste Grüße,
Raimund
Zum Nachlesen
Exchange 2003 Support Cycle:
http://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=Exchange+server+2003&Filter=FilterNO