OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:

Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.

Anschließend mit iisreset den Webserver neustarten.

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


Exchange: Einheitliche Signatur/Disclaimer erstellen über Transportregel

Oft werden Signaturen von Hand erstellt und verteilt. Dabei ist das Design/CI nicht einheitlich oder Informationen sind nicht aktuell, da sie nicht zentral verwaltet werden.

Damit Änderungen nur noch an einer Stelle gemacht werden und auch die Signaturen einheitlich sind, bietet es sich an im Exchange dies direkt Zentral über Transportregeln zu verwalten.

Melden Sie sich dazu im Exchange Control Panel (ECP) an mit einem Administrativen Account unter https://servername/ecp .

Gehen Sie nun nach Nachrichtenfluss > Regeln. Anschließend auf das Pluszeichen und wählt dort den Punkt Haftungsausschlüsse anwenden …

Vergebt den Namen Signatur/Disclaimer und wählt unter Diese Regel anwenden, wenn … die Option Der Absender ist … und wählt dort die Benutzer oder Gruppen aus, auf die die Regeln angewendet werden soll (z.B. falls vorhanden All Users).

Wählen Sie in dem Punkt darunter Folgendermaßen vorgehen … die Option Haftungsausschluss anfügen … aus und bearbeitet den Text mit dem gewünschtem Text (ein Beispiel folgt unten).

Bei Eigenschaften dieser Regel stellen Sie Priorität 0 ein und bei Diese Regel mit folgenden Schweregrad überwachen stellen sie Nicht angegeben ein.

Unter dem Punkt Modus für diese Regel auswählen, wählen Sie bitte Erzwingen.

Beispiel für eine Signatur:

<br><br>
<font face=verdana, tahoma, arial size=2 color=black>%%CustomAttribute1%%<br><br>
<b>%%displayname%%</b></font><br><br>
<font face=verdana, tahoma, arial size=2 color=silver>
%%street%%, %%zipcode%% %%city%%, %%country%%<br>
Telefon: %%phonenumber%%, Fax: %%faxnumber%%, Mobil:
%%mobilenumber%%<br>
Internet: www.leibling.de, Email: %%email%%
</font>

Wenn Sie unter Empfänger > Postfächer die Informationen unter Allgemein und Kontaktinformationen eingegeben haben, können Sie auf diese zurückgreifen (z.B. Anzeigename = %%displayname%%).

Sollten Sie Informationen benötigen, die sie dort nicht hinterlegt haben (z.B. i.A. oder ppa), dann können Sie diese unter Empfänger > Postfächer > Allgemein > Weitere Optionen > Benutzerdefinierte Attribute > Stiftsymbol drücken > In entsprechender Spalte eintragen. Auf diese Werte kann dann mit %%CustomAttribute1%% (Nummer bitte Analog zur Spalte angeben) zurückgegriffen werden – ich habe dort z.B. personalisierte Grußformeln hinterlegt.

Weitere Informationen: https://docs.microsoft.com/en-us/exchange/policy-and-compliance/mail-flow-rules/conditions-and-exceptions?view=exchserver-2019

Informationen für iOS Benutzer:

iOS versendet – wenn in einer Mail keine Formatierung vorhanden ist als Text, somit wird die automatisch erstellt Signatur auch als nur Text angehangen und hat keine Formatierungen. Soll die Formatierung erhalten bleiben, so könnte man in der Signatur auf dem Gerät einfach ein Leerzeichen setzen und dies als Fett markieren. Dann würde die Mails als HTML gesendet und somit blieben die Formatierungen erhalten. Leider entstellte sich bei den Tests jedoch damit das Schriftbild der eigentlichen Mail (es wurde eine Standardschriftart verwendet – leider kann man die Schriftart bei einem iOS Gerät nicht einstellen). Ich habe mich dann dazu entschieden die Mail als nur Text zu lassen (sprich: nicht den Signaturtrick auf dem Gerät anzuwenden), da ich diese dann vom Gesamtbild schicker fand als mit verschiedenen Schriftarten.

Einschränkungen:

  • Wird eine Mail intern weitergeleitet, so wird keine Signatur angehangen – dies ist normal, da die Mail ja nicht über den Transportweg nach außen geht und somit nicht verarbeitet wird. Bei einem internen Weiterleiten, wird die Mail direkt im Postfach abgelegt.
  • Die Signatur kann immer nur an den Anfang gestellt oder ans Ende der Mail angehangen werden – nicht ans Ende einer Nachricht. Wird auf einer Mail geantwortet, so ist die Signatur nicht am Ende des neu geschrieben Textes, sondern am Ende der Mail!
  • Werden Mails verschlüsselt oder signiert, darf die Mail nicht mehr verändert werden – dies würde jedoch geschehen, wenn auf dem Transportweg eine Signatur angehangen würde.