Voraussetzungen für OWA via Reverse-Proxy

Um Internet-Zugriff auf einen internen Outlook-Web-App (OWA) Server freizugeben, empfiehlt sich der Einsatz von DEFENDOs Reverse-Proxy. Durch dessen Sicherheitsprüfungen wird der Schutz des OWA bereitstellenden Internet-Information-Servers (IIS) erhöht. Für den Zugriff auf OWA über einen Reverse-Proxy müssen folgende Voraussetzungen gegeben sein:
  • Der OWA Web-Server muss auf Port 443 laufen (SSL-Offloading zu Port 80 unverschlüssel ist möglich)
  • Der Zugriff auf den Reverse-Proxy muss auf Port 443 (verschlüsselt) erfolgen
Da auf dem DEFENDO der Port 443 bereits durch die Administrations-Oberfläche belegt ist, muss der Reverse-Proxy auf einen anderen Port gebunden werden. OWA-Zugriffe auf Port 443 müssen dann innerhalb des DEFENDO mit Hilfe von Firewall DNAT-Regeln an den Reverse-Proxy umgeleitet werden. Details dazu finden Sie in der Online-Hilfe des Reverse-Proxies bzw. im Handbuch des DEFENDO.

Authentifizierungs-Varianten

In der Voreinstellung nutzt OWA HTTP-Authentifizierung. Als Methoden werden meist Kerberos, NTLM und Basic in dieser Reihenfolge angeboten. Wird nicht der Internet-Explorer verwendet, so kommt in der Regel Basic, manchmal auch NTLM zum Zuge.
Alternativ kann OWA die sogenannte "Forms-Based Authentication" verwenden. Anstelle des Popup-Fensters zur Eingabe der Zugangsdaten tritt hier ein in HTML eingebettetes Formular. OWA bietet diese Authentifizierungs-Variante nur an, wenn die Verbindung HTTPS verschlüsselt ist.
Als stärkste Form der Authentifizierung kann DEFENDOs Reverse-Proxy vom Browser ein Client-Zertifikat verlangen. Ein Browser der nicht über ein entsprechendes Zertifikat verfügt, kann sich nicht verbinden. Während Client-Zertifikate auch von einigen ActiveSync-Clients (z.B. iPhone) unterstützt werden, kann sich Outlook nicht mit einem Client-Zertifikaten anmelden. Sollte Ihr DEFENDO über mehrere Internet-IP-Adressen verfügen, können Sie jedoch beide Verfahren parallel betreiben. Legen Sie für OutlookAnywhere einfach einen weiteren Reverse-Proxy-Port an. Je nach Ziel-IP verteilen dann zwei DNAT-Regeln die eingehenden Verbindungen auf den nicht authentifizierten Port für OutlookAnywhere oder den authentifizierten Port.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany