Um einem Exchangeserver zusätzlich zu schützen kann es sinnvoll sein die Webzugriffe auf diesen über einen Reverseproxy in der DMZ laufen zu lassen. Hierfür eignet sich besonders gut der Apache Webserver, der kostenlos ist und hervorragend als Proxy eingesetzt werden kann. Er kann mit den Modulen alias, headers und proxy und wenigen Zeilen Konfiguration als Reverseproxy eingerichtet werden.
Dazu müssen als erstes die Module für den Apache aktiviert werden. Bei Debian kann die mit dem Befehlt a2enmod erfolgen.
Danach müssen zwei virtuelle Hosts konfiguriert werden, welche die Anfragen an den Exchangeserver weiter reichen. Da auch die verschlüsselte SSL-Webseite auf Inhalte der normalen Webseite zugreift, sollte man in jedem Fall auch die normale Webseite einrichten. Die Konfiguration könnte dabei etwa wie folgt aussehen:
ServerName webmail.example.org
# This secures the server from being used as a third party
# proxy server
ProxyRequests Off
ProxyVia On
DocumentRoot /var/www/exchange/
RequestHeader set Front-End-Https "On"
ServerName mail.example.com
#Einträge für Outlook Web Access
ProxyPass /exchange/ http:///exchange/
ProxyPassReverse /exchange/ http:///exchange/
ProxyPass /exchweb/ http:///exchweb/
ProxyPassReverse /exchweb/ http:///exchweb/
ProxyPass /public/ http:///public/
ProxyPassReverse /public/ http:///public/
#Eintrag für Outlook Mobile Access
ProxyPass /oma http:///oma/
ProxyPassReverse /oma http:///oma/
#Eintrag damit Mobile Endgeräte synchronisieren können
ProxyPass /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
ProxyPreserveHost On
# This secures the server from being used as a third party
# proxy server
ProxyRequests Off
# Allows the proxying of a SSL connection
SSLProxyEngine On
ProxyVia On
DocumentRoot /var/www/exchange/
RequestHeader set Front-End-Https "On"
ServerName mail.example.com
# Set up SSL to work with this host
SSLEngine On
SSLCertificateFile /etc/apache/webmail-proxy/server.crt
SSLCertificateKeyFile /etc/apache/webmail-proxy/server.key
#Einträge für Outlook Web Access
ProxyPass /exchange/ http:///exchange/
ProxyPassReverse /exchange/ http:///exchange/
ProxyPass /exchweb/ http:///exchweb/
ProxyPassReverse /exchweb/ http:///exchweb/
ProxyPass /public/ http:///public/
ProxyPassReverse /public/ http:///public/
#Eintrag für Outlook Mobile Access
ProxyPass /oma http:///oma/
ProxyPassReverse /oma http:///oma/
#Eintrag damit Mobile Endgeräte synchronisieren können
ProxyPass /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync http:///Microsoft-Server-ActiveSync/
ProxyPreserveHost On
Und schon sollte es funktionieren. Bei einem Zugriff auf https://mail.example.com/exchange/ sollte man den Outlook Webaccess zu fassen bekommen (natürlich nur, wenn auf dem Exchangeserver auch ein OWA installiert und konfiguriert ist und der DNS-Eintrag auch wirklich auf den Apache zeigt).
Schreibe einen Kommentar