david fx - So sicher wie möglich

 

Allgemeines

Nachfolgend wird nur auf die Konfiguration von Tobit david fx eingegangen.

Im Beispiel verwenden wir den Port 443 für den SSL-verschlüsselten und den Port 80 für den unverschlüsselten Datenverkehr. Dabei ist prinzipiell nur eine Verbindung notwendig, also entweder Port 443 (SSL) oder Port 80; allerdings starten die david-Dienste nur dann ohne Fehlermeldung, wenn auch der HTTP-Port konfiguriert ist, da erst nach dem Start auf SSL geswitcht wird (zumindest, wenn die Konfiguration stimmt).

Wenn andere Dienste unter Port 80 auf dem gleichen Server wie Tobit david fx laufen, ist es zwingend erforderlich den Port zu ändern (z.B. 86); das selbe gilt auch für den SSL-Port (z.B. 445).

Aus dem Verzeichnis C:\David\Apps\Webbox\Code die webbox.ini öffen um den Port zu ändern.

Danach den Dienst david Webaccess auf Starttyp "automatisch" ändern und einmal neu starten. Während des Neustarts des Dientes ist es grundsätzlich sinnvoll das Monitoring des Dienstes im david Administrator anzusehen. Zunächst sollte hier noch eine entsprechende Fehlermeldung angezeigt werden, da wir zu diesem Zeitpunkt noch kein SSL-Zertifikat eingebunden haben.

Mail Access Server

Als Nächstes wird Mail Access aktiviert, falls man diesen Dienst benötigt; Mail Access ermöglicht den Zugriff auf E-Mails über IMAP und/oder POP3. Genügt der Exchange active sync-Zugriff und iCal für die Kalender bleibt der Dienst deaktiviert!

Im david Administrator den Dienst unter Fernzugriff & Publizierung per rechter Maustaste auf Mail Access Server starten. Den Starttyp auf "automatisch" ändern. Danach kann der Mail Access Server konfiguriert werden. Dazu mit der rechten Maustaste auf den Mail Access Server klicken und im Dialog "Konfigurieren" auswählen.

Es öffnet sich das untere Dialogfeld. Die Einstellungen sollten wie folgt gesetzt werden (die Anzahl der Verbindungen sollte möglichst exakt am tatsächlichen Bedarf liegen um unnötige Angriffsmöglichkeiten und Server-Last zu vermeiden):

david fx Mail Access Server-Konfiguration

Noch gibt es natürlich keine Login-Accounts für den Zugriff. Deshalb klickt man mit der rechten Maustaste in das freie Feld rechts und wählt Alias Login hinzufügen:

david fx Mail Access Server Alias Login hinzufügen

Es erscheint ein Fenster, in das man den gewünschten Alias Login-Namen einträgt; dieser muss exakt mit dem Remote Access-Login (bitte sichere Passwörter verwenden) übereinstimmen:

david fx Mail Access Server Alias-Liste

diesem Login muss nun noch das entsprechende Archiv zugewiesen werden (auf den Button neben der Zeile Ordner klicken):

david fx Mail Access Server Ordner-Auswahl

Die Auswahl mit OK bestätigen. 

Postman

Widmen wir uns nun den Einstellungen des david Postman (E-Mail-Sende-Dienst).

Zur Konfiguration klicken wir mit der rechten Maustatste auf eMail -> Postman - SMTP Dienst:

david fx Postman Konfiguration

Auf der Basis-Seite stellen wir als SMTP Host Name die (private) IP-Adresse des David-Servers ein; da es besser ist einen DynDNS-Dienst auf dem Rouer einzurichten als die kostenpflichtigen Server Locater und Mail Relay-Dienste von Tobit zu verwenden bleiben alle Kästchen leer. Nur die DNS-Server werden konfiguriert (je nach Netzwerk); in unserem Beispiel, in dem der David-Server auch die Active Directory Master-Rolle besitzt sieht das dann so aus:

Bevorzugter DNS Server: 127.0.0.1 (localhost)

Alternativer DNS Server: 172.30.0.1 (die (private) IP-Adresse des david Servers)

Die nächste Registerkarte (Provider) überspringen wir, da hier die entsprechenden Einstellungen Ihres Internet-Hosters eingetragen werden müssen.

Weiterleitung:

david fx Postman Konfiguration Weiterleitung

ACHTUNG: Die Weiterleiung sollte niemals ohne Einschränkungen eingerichtet werden!

Mit einem Klick auf das Kästchen Ohne Einschränkungen und danach auf den Button Einschränkungen... kommen wir auf das Fenster dazu:

david fx Postman Weiterleitung Einschränkungen

Hier bitte Erlaubte Absenderadressen verwenden und Erlaubte Weiterleitungen verwenden anklicken.

Alle Fenster mit OK bestätigen um die Einstellungen zu übernehmen.

Damit wir nun auch E-Mails versenden können, müssen wir unter eMail -> Postman - SMTP Dienst -> Datenbanken Einträge anlegen bzw. anpassen:

  1. Gültige Domain Namen: Hier trägt man sämtliche E-Mail-aktiven Domains im eigenen Besitz ein und erweitern die Liste um Standard-Domains wie z.B. t-online.de, gmail.com, googlemail.com, web.de, gmx.de, gmx.net, etc. (wenn weitere E-Mail-Adressen von diesen Anbietern genutzt werden).
  2. Erlaubte Weiterleitungen: Hier wird die IP-Adresse des david-Servers eingetragen.
  3. Sende Methode: Hier wird zu jeder aktiven E-Mail-Adresse das SMTP-Login erfasst: david fx Postman Sendemethode
  4. Erlaubte Absenderadressen: Hier werden alle E-Mail-Adressen erfasst, die über den david-Server E-Mails versenden dürfen.

Portfreigaben auf dem Router und in der Windows-Firewall

Kritische Ports wie IMAP, HTTP und dergleichen sollten (wenn man sie schon freigeben muss) nur mit sicheren Login-Daten (vernünftige Remote-Passwörter) betrieben werden.

Nach Möglichkeit sollte man auch die Ports "maskieren"; möchte man z.B. den HTTP-Port 80 freigeben, sollte man um ihn gegen Angriffe zu schützen von außen über einen anderen, unverfänglichern Port ansprechen (z.B. 8989), iMap anstatt über Port 143 z.B. über 4143, usw.

Der Hintergrund: "Exotische" Ports werden nicht so oft angegriffen und auch die Angriffsroutine bzw. Schadsoftware reagiert oft nicht auf geänderte Ports. So werden iMap-Angriffe fast ausschließlich auf Port 143 versucht.

So eingestellt wird der david-Server nicht zur Spam-Schleuder!