Se migrerò da dovecot / imaps per lo scambio, sarò meno sicuro?

Naviga le tue risposte
1

Ho un client che utilizza Terminal Server e avrebbe senso usare anche Exchange per e-mail, piuttosto che la situazione attuale con postfix / dovecot in esecuzione su una macchina virtuale Linux, in particolare perché il client è un ente di beneficenza e ottiene Microsoft software quasi gratis.

Tuttavia ci sono alcune cose che mi preoccupano perché ho un'esperienza limitata con Exchange:

  • Hanno un sacco di utenti remoti incluse le connessioni BlackBerry / iPhone
  • La password di imaps è attualmente diversa dal login di Windows - e mi piacerebbe che rimanesse così se possibile
  • Ho sentito storie di spavento (alcuni anni fa) che Exchange è meno sicuro

In linea di principio, Exchange con IMAP abilitato è meno sicuro rispetto a dovecot? Che ne dici dell'accesso MAPI ai client Outlook remoti supponendo che sia possibile)?

    
posta Jack Douglas 20.04.2012 - 14:34
fonte

2 risposte

2

Naturalmente, dovresti fare una valutazione del rischio dettagliata per rispondere a questa domanda, ma alcuni punti che possono rassicurarti:

  • Exchange crittografa sempre tutto il traffico RPC, client-server e server-server. Si affida al sistema operativo per questo, quindi l'algoritmo varia: penso che sia in genere RSA o CAST?
  • E crittografa sempre tutto il traffico HTTP interno con TLS.
  • Per impostazione predefinita, tenta sempre di utilizzare TLS quando si parla di host di posta esterni (e si può impedire che ricada sul semplice SMTP su base host)
  • Tutti i client remoti si connettono tramite HTTPS.
  • Exchange dispone di agganci per una stretta integrazione con sistemi anti-malware, anti-spam e di backup, sia da MS che da altri fornitori.
  • Exchange ha una stretta integrazione BES per Blackberry; e gli iPhone utilizzano Microsoft ActiveSync per la loro email push, progettata per Exchange.
  • Exchange ha opzioni di topologia che ti permettono di inserire un limitatore di funzionalità limitato nella DMZ.
  • Exchange supporta IRM e S / MIME per la crittografia / firma di singoli messaggi.
  • Exchange ha caratteristiche di resilienza / recuperabilità piuttosto complete
  • Exchange include opzioni di conformità incorporate (ad es. conservazione e rilevamento delle email)

Per la tua specifica domanda di Outlook, Outlook ha una funzionalità chiamata Outlook via Internet che avvolge il suo traffico RPC in HTTPS. Viene utilizzato automaticamente quando il client rileva che non si trova all'interno della rete.

Tuttavia, Exchange non esegue alcuna autenticazione, dipende interamente da Active Directory, in realtà non esiste una cosa come un "account di Exchange", quindi avere password di accesso e di posta elettronica separate non è banale. Alcune persone lo gestiscono, credo, avendo un dominio AD separato per Exchange, ma questo significa molto lavoro extra.

    
risposta data 20.04.2012 - 16:24
fonte
2

La sicurezza di Exchange è di prim'ordine ed è controllata da molte grandi aziende / governi ... ma come ogni prodotto è sicuro solo quanto l'implementazione.

Assicurati solo di comprendere le basi della sicurezza:

  • L'IMAP sicuro sarà ancora possibile con il nome utente / password AD, sebbene tu possa prendere in considerazione MAPI per un'esperienza più ricca.

  • Forefront Antispam / Phishing (potresti voler vedere se puoi ottenere la versione ospitata Forefront a basso costo da MSFT)

  • Outlook 2010 + eventuali patch e service pack necessari. Un processo chiamato Autodiscover configurerà automaticamente Outlook per l'accesso remoto sicuro e l'accesso in-LAN

  • Gli utenti OWA dovrebbero utilizzare l'ultima versione del loro browser per prevenire exploit generici del browser quando un utente fa clic su un link in un messaggio e-mail

    • Si noti che Exchange 2010 è impostato su "MAPI crittografato" in modo che sia possibile utilizzare solo versioni protette di Outlook (Outlook 2007 o versioni successive).

Informazioni varie:

  • Se utilizzi Outlook su un Terminal Server, tieni presente che l'intera casella di posta può essere scaricata localmente se "Modalità cache" è abilitata.

    Ciò potrebbe consumare molto spazio locale sul server Termainal e causare possibili conflitti di I / O. Per ulteriori informazioni su questo argomento, puoi porre domande sul seguente sito web link

risposta data 20.04.2012 - 17:39
fonte

Leggi altre domande sui tag

Prevenzione del blocco degli account di massa utilizzando i token CSRF Politica per le situazioni di accesso remoto?