sdecoret - stock.adobe.com
Microsoft Exchange Server: 12 Tipps für mehr Sicherheit
Die Cyberangriffe auf Exchange Server in der jüngeren Vergangenheit haben dazu geführt, dass viele Firmen die Sicherheit ihrer Mail-Server wieder intensiver unter die Lupe nehmen.
Der Exchange Server von Microsoft ist eine in zahllosen Unternehmen eingesetzte E-Mail-Server-Anwendung. Viele Tools und Utilities wurden daher in den vergangenen Jahren für ihn entwickelt. Der Betrieb eines sicheren Exchange Servers gehört zu den zentralen Aufgaben, da E-Mail auch heute noch einen sehr großen Stellenwert in Unternehmen und Behörden hat.
Neue Zero-Day-Schwachstellen für den Exchange Server, die von Cyberangreifern vor allem seit Januar 2021 genutzt werden, haben die Sicherheit der Microsoft-Lösung jedoch wieder ins Zentrum der Aufmerksamkeit gerückt. Exchange Online ist davon aber nicht betroffen. Viele der verwendeten Remote-Code-Exploits lassen sich durch das Einspielen von Security-Updates und -Patches bekämpfen. Trotzdem sollten sich die Sicherheitsteams in den Unternehmen intensiv mit der Frage auseinandersetzen, wie sie ihre Exchange Server auch in Zukunft möglichst effektiv absichern können.
Im Folgenden finden Sie zwölf bewährte Maßnahmen, mit denen Sie Ihren Exchange Server sichern und vor unerlaubten Zugriffen, Cyberattacken sowie Malware schützen können.
Exchange Server auf dem aktuellen Stand halten
Regelmäßig veröffentlicht Microsoft Updates, Patches und andere Ressourcen, damit Exchange Server mit optimaler Leistung laufen können. Stellen Sie daher sicher, dass zur üblichen Wartung Ihres Exchange Servers auch das Testen und Ausspielen von Updates, neuen Builds und Patches gehört. Veraltete Versionen sind eine der größten Gefahren für Ihren Mail-Server.
Spezielle Sicherheits-Tools für Exchange Server
Microsoft bietet eine breite Palette an Werkzeugen an, mit denen Sie sicherstellen können, dass Ihr Exchange Server sicher läuft und normal funktioniert. Dazu gehören die folgenden Anwendungen:
- Microsoft Exchange On-Premises Mitigation Tool. Die zahlreichen Angriffe auf Exchange Server in letzter Zeit haben die Entwicklung dieses einfach einzusetzenden, automatisierten Tools nötig gemacht. Es erfüllt die Bedürfnisse von Anwendern, die aktuelle oder auch veraltete Exchange Server in ihrer Infrastruktur einsetzen. Der Download und das Ausführen des Programms reduzieren die Wirkung der bislang bekannt gewordenen Zero Days. Allerdings ersetzt es nicht das regelmäßige Einspielen von Sicherheits-Patches. Es ermöglicht aber innerhalb kürzester Zeit, immerhin die größten Gefahren für mit dem Internet verbundene Exchange Server zu minimieren, bevor danach alle notwendigen Patches eingespielt werden können.
- Microsoft Safety Scanner. Dieses Programm ist auch als Microsoft Support Emergency Response Tool bekannt. Das frei herunterladbare Werkzeug findet und entfernt Malware von Windows-Systemen, die für den Betrieb von Exchange Servern benötigt werden.
- Microsoft Defender Antivirus. Dieses ebenfalls von Microsoft bereitgestellte Tool kann die zuletzt bekannt gewordenen Zero Days unschädlich machen. Dazu scannt es den Server und macht viele durch Malware durchgeführte Änderungen rückgängig.
- Microsoft Security Configuration Wizard. Dieses Werkzeug analysiert vor allem Betriebssysteme, die Exchange 2008 unterstützen, und gibt Empfehlungen wie ihr Schutz verbessert werden kann.
- Microsoft Security Compliance Toolkit. Die Werkzeugsammlung analysiert, testet, bearbeitet und speichert von Microsoft empfohlene Sicherheitskonfigurationen für Exchange Server. Außerdem kann es sie auch mit anderen sicherheitsrelevanten Konfigurationen vergleichen.
- Exchange Analyzer. Das PowerShell-Tool untersucht die aktuelle Exchange-Umgebung und vergleicht sie mit den von Microsoft empfohlenen Maßnahmen zur Absicherung. Damit lassen sich zudem auch Änderungen der Konfiguration erkennen, die durchgeführt werden können, um den Schutz zu erhöhen.
- Microsoft Exchange Online Protection. Dieser Cloud-basierte Filtering-Service schützt vor Spam, Malware und anderen Bedrohungen in E-Mails. Er gehört zu allen Installationen mit Microsoft 365, die auch Exchange-Online-Mailboxen anbieten. Zudem kann der Dienst in hybriden Umgebungen genutzt werden, die sowohl aus lokalen als Cloud-basierten Lösungen bestehen.
- Microsoft Exchange Antispam and Antimalware. Diese Funktionen werden in Exchange 2016 und 2019 unterstützt. Der Schutz vor Spam wird durch dieselben Mechanismen ermöglicht, die bereits mit Exchange Server 2010 eingeführt wurden. Der eingesetzte Antimalware-Agent wurde erstmals mit Exchange Server 2013 vorgestellt.
Einsatz von Firewalls
Exchange Server lassen sich auch durch die Windows Defender Firewall mit erweiterter Sicherheit schützen, um den Datenverkehr mit dem Mail-Server zu filtern. Darüber hinaus gibt es von Drittanbietern entwickelte Firewall-Lösungen für Exchange, die ebenfalls eingesetzt werden können. Oft enthalten sie zusätzliche Funktionen zum Schutz vor potenziellen Cyberbedrohungen wie Viren, Würmern, Spyware und Spam. Wenn Sie auf der Suche nach einer passenden Drittanbieter-Lösung sind, prüfen Sie aber unbedingt vorher die erhältlichen Funktionen für die von Ihnen genutzte Exchange-Version.
Vorgefertigte Sicherheitspakete für Exchange Server
Security-Anbieter wie Kaspersky und Symantec bieten spezielle Sicherheitspakete für Exchange Server an. Diese Suiten schützen Exchange Server auch vor Viren, Phishing, DoS-Angriffen (Denial of Service), Malware und Spam. Symantec Mail Security für Microsoft Exchange zum Beispiel verhindert viele E-Mail-gestützte Bedrohungen und kann darüber hinaus den Diebstahl oder Verlust von vertraulichen Daten vereiteln.
Prüfen Sie, wie gut oder schlecht sich die Lösung eines separaten Anbieters in Microsoft Exchange Server integrieren lässt. Von Bedeutung ist ferner, wie häufig die Anti-Malware-Funktionen aktualisiert werden. Begrenzen Sie die Suche nach Bedrohungen nicht auf Nachrichten, die von außen eintreffen, da viele der Schädlinge, die E-Mail-Systeme in Unternehmen befallen, von innen abgesendet werden. Sorgen Sie dafür, dass wirklich alle E-Mails, egal aus welcher Quelle, auf Malware und andere Cybergefahren geprüft werden.
Sichern des Netzwerkperimeters rund um den Exchange Server
Das Bereitstellen eines sicheren Netzwerkperimeters ist eine weitere wichtige Voraussetzung für den Betrieb eines Exchange Servers. Zu den Techniken zum Schutz des Perimeters gehören etwa die Überprüfung von Verbindungen zwischen den Absendern und Empfängern von E-Mails, Maßnahmen zum Content Filtering und der Einsatz von Reverse Proxies sowie SMTP-Gateways (Simple Mail Transfer Protocol).
On-Premises und in der Cloud untergebrachte IPS- und IDS-Lösungen (Intrusion Prevention, Intrusion Detection) sind ebenfalls sehr hilfreich, um eingehenden und abgehenden Mail-Traffic zu scannen. Die in diesen Systemen eingesetzten Regeln sollten sicherstellen, dass auch in angehängten Attachments nach Malware und anderen Bedrohungen gesucht wird.
Überwachen des Exchange Servers
Es gibt zahllose Tools von Microsoft und anderen Herstellern, um die Performance von Exchange Servern zu überwachen. Sie werden meistens zusammen mit speziellen Sensoren oder Agenten genutzt, um ungewöhnliches Verhalten zu entdecken. Dabei legt man meist bestimmte Parameter und Werte fest, bei deren Überschreiten automatisch ein Alert ausgelöst wird. Die Sensoren lassen sich nutzen, um Mailboxen, Datenbanken, Backups, Mail-Queues und andere E-Mail-Funktionen zu überwachen. Microsoft bietet dafür auch den Dienst Azure Monitor an, eine Lösung, die das Unternehmen selbst für seine Systeme nutzt. Er ersetzt den System Center Operations Manager (SCOM), der aber für interessierte Unternehmen immer noch angeboten wird.
Einsatz von White- und Blacklists
Die weißen und schwarzen Listen, die Outlook bietet, ermöglichen es den Anwendern, vertrauenswürdige oder nicht vertrauenswürdige Absender festzulegen. Die Funktion arbeitet direkt mit einem verbundenen Exchange Server zusammen, der auf ihrer Basis dann bereits das Filtering übernehmen kann.
Abruf von Zertifikaten bei der Kommunikation mit externen Diensten
Eine essenzielle Sicherheitsmaßnahme ist die Nutzung von SSL-Zertifikaten (Secure Sockets Layer) für externe Dienste wie Outlook Web Access und Outlook Anywhere. Zertifikate können entweder durch eine interne oder eine externe CA (Certificate Authority) erstellt werden.
Begrenzen administrativer Zugriffe auf interne Nutzer
Das Erlauben von Fernzugriffen durch Admins öffnet die Tür zu einer ganzen Reihe vermeidbarer Gefahren. Administrative Zugriffe auf Exchange Server sollten daher nur für interne Nutzer möglich sein. Wenn es ohne Fernzugriffe durch Admins aber definitiv nicht geht, sollten zusätzliche Sicherheitsmaßnahmen wie Multifaktor-Authentifizierungen eingeführt werden.
Aktivieren rollenbasierter Zugriffskontrollen und Nutzung starker Passwörter
Als Teil ihrer Zugriffsmanagement-Strategie sollten Unternehmen Role-based Access Control (RBAC) nutzen. Damit ist es möglich, Berechtigungen auf Basis von Regeln festzulegen, die direkt mit den Rollen und Aufgaben zusammenhängen, die die Mitarbeiter im Unternehmen einnehmen. Zugriffe werden dabei nach dem Prinzip der geringsten benötigten Rechte (Least Privilege) gewährt, so dass sich das Risiko unerlaubter Aktivitäten weiter senken lässt. Der Einsatz starker Passwörter ist eine wichtige Ergänzung zu RBAC und anderen Authentifizierungsmaßnahmen.
Härten des für den Exchange Server verwendeten Betriebssystems
Das Härten des Betriebssystems, auf dem ein Exchange Server läuft, ist ein weiterer notwendiger Schritt, um die Sicherheit zu erhöhen. Diese Maßnahme kann entweder manuell oder mit einem der spezialisierten und auf diese Aufgabe ausgelegten Tools wie Microsoft Attack Surface Analyzer oder Bastille Linux erledigt werden. Zu den dabei durchzuführenden Schritten gehören zum Beispiel ein sicheres Konfigurieren des Betriebssystems, das regelmäßige Einspielen von Upgrades und Patches, das Festlegen von Richtlinien und Regeln, um das System sicher zu verwalten, und das Entfernen unnötiger oder nicht mehr verwendeter Anwendungen und Dienste.
Auditieren der Mailbox-Aktivitäten
Eine weitere Möglichkeit, um Sicherheitsverletzungen zu identifizieren, ist ein Audit der vom Exchange Server verwalteten Mailboxen. Dabei sollten vor allem die in den Logs aufgezeichneten Interaktionen der Anwender mit ihren Mailboxen untersucht werden, ergänzt von Analysen der Aktivitäten der Administratoren und anderer Mitarbeiter, die auf den Exchange Server Zugriff haben. Die Log-Dateien werden dazu meist vor der Analyse exportiert und anschließend zum Aufspüren möglicher Sicherheitsverstöße genutzt.