Hallo.
Wegen der aktuell in den Medien diskutierten Exchange-Sicherheitsprobleme habe ich das Test-Script von Microsoft laufen lassen und dabei gesehen, dass es Zugriffsversuche aus dem Internet auf OWA gab.
Ich habe in der UTM den Reverse-Proxy konfiguriert und eingentlich nur die URLs für ExchangeActiveSync (für Smartphone-Zugriff) freigegeben, aber weder die von OWA noch von ECP.
Aber wenn ich die externe IP im Browser eingebe gefolgt von /OWA, dann kommt das OWA-Login! Wie kann das sein? Sollten nicht nur die konfigurierten URLs auf Anfragen reagieren? Das OWA sollte doch überhaupt nicht erreichbar sein!
Ich habe daher schnell die Firewall Portregel auf inaktiv gesetzt. Jetzt ist weder Zugriff aber den Browser noch über die Smartphones möglich.
ReverseProxy lässt Anfragen auf OWA zu, obwohl URL nicht freigegeben ist
Moderator: Securepoint
-
- Beiträge: 4
- Registriert: Mi 28.10.2020, 17:02
Wenn nur der Domain angegeben wurde greift dies natuerlich immer.
Weitere Informationen finden Sie hier:
https://wiki.securepoint.de/UTM/APP/Rev ... y-Exchange
Weitere Informationen finden Sie hier:
https://wiki.securepoint.de/UTM/APP/Rev ... y-Exchange
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 4
- Registriert: Mi 28.10.2020, 17:02
Hallo Mario.
Ich habe gemäß dieser Anleitung die regex-Einträge angelegt (habe den String grad aus dem Webinterface der UTM kopiert):
urlpath_regex: ^/Microsoft-Server-ActiveSync dstdomain: {hier steht dann die öffentliche IP-Adresse} urlpath_regex: ^/autodiscover
Also kein /OWA oder /ECP drin. Trotzdem ist das OWA über die öffentliche IP-Adresse erreichbar, sobald ich die Firewall-Regel aktiviere. Wo ist mein Fehler? Muss ich die dstdomain raus nehmen? Ich will nur das MS-Server ActiveSync aktiviert lassen und wenn nötig das Autodiscover um Smartphones verbinden zu können.
Danke für die Hilfe!
Matthias.
P.S.: ich bekomme übrigens keine Email-Benachrichtigungen, wenn jemand auf meine Beiträge antwortet, obwohl die korrekte Adresse eingetragen ist und auch die Benachrichtigungen korrekt im Profil konfiguriert sind. Mach ich was falsch oder muss ich noch irgendwo zustimmen?
Ich habe gemäß dieser Anleitung die regex-Einträge angelegt (habe den String grad aus dem Webinterface der UTM kopiert):
urlpath_regex: ^/Microsoft-Server-ActiveSync dstdomain: {hier steht dann die öffentliche IP-Adresse} urlpath_regex: ^/autodiscover
Also kein /OWA oder /ECP drin. Trotzdem ist das OWA über die öffentliche IP-Adresse erreichbar, sobald ich die Firewall-Regel aktiviere. Wo ist mein Fehler? Muss ich die dstdomain raus nehmen? Ich will nur das MS-Server ActiveSync aktiviert lassen und wenn nötig das Autodiscover um Smartphones verbinden zu können.
Danke für die Hilfe!
Matthias.
P.S.: ich bekomme übrigens keine Email-Benachrichtigungen, wenn jemand auf meine Beiträge antwortet, obwohl die korrekte Adresse eingetragen ist und auch die Benachrichtigungen korrekt im Profil konfiguriert sind. Mach ich was falsch oder muss ich noch irgendwo zustimmen?
Ich glaube es ist besser, einmal ein Ticket bei uns zu erstellen.
Irgendetwas scheint bei den ACLs nicht zu stimmen oder es geht am Reverse Proxy vorbei.
Zu Letzterem kann ich leider nichts genaues sagen. Ich weiß nicht warum es nicht klappt. Ich bekomme Benachrichtigungen.
Irgendetwas scheint bei den ACLs nicht zu stimmen oder es geht am Reverse Proxy vorbei.
Zu Letzterem kann ich leider nichts genaues sagen. Ich weiß nicht warum es nicht klappt. Ich bekomme Benachrichtigungen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
-
- Beiträge: 3
- Registriert: Mi 17.03.2021, 19:10
Guten Abend Zusammen,
wir haben heute den Reverse Proxy in Betrieb genommen. Ich hätte das gerne so, dass alles mit dem installierten Zertifikat funktioniert SSL-CA + SSL-Zertifikat. Leider klappt das mit dem SSL-CA noch nicht.
Den OWA habe ich gerade mal getestet. Zum Test habe ist im ACLSET nur die dstdomain, ohne urlpath - OWA funktioniert trotzdem.
Nun ja, wenn es Supportergebnisse gibt, wäre es cool davon zu erfahren.
VG
wir haben heute den Reverse Proxy in Betrieb genommen. Ich hätte das gerne so, dass alles mit dem installierten Zertifikat funktioniert SSL-CA + SSL-Zertifikat. Leider klappt das mit dem SSL-CA noch nicht.
Den OWA habe ich gerade mal getestet. Zum Test habe ist im ACLSET nur die dstdomain, ohne urlpath - OWA funktioniert trotzdem.
Nun ja, wenn es Supportergebnisse gibt, wäre es cool davon zu erfahren.
VG
Wenn nur dstdomain da steht, nimmt er alles, was danach kommt. Bitte dem Wiki folgen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de