Microsoft Exchange OWA Zugriff absichern

Dieser Artikel soll zeigen wie man mit Hilfe eines Apache Reverse Proxys den Zugriff auf das Microsoft Exchange OWA, unabhängig von Windows, schützen kann.

Da neuerdings fatale Sicherheitslücken bei Microsoft Exchange Servern entdeckt wurden, empfiehlt es sich den Zugriff auf Outlook on the web, kurz OWA, zusätzlich abzusichern. Damit nicht nur aktuelle Sicherheitslücken umgangen werden können, sondern auch eventuelle zukünftige Sicherheitslücken einem nicht zum Verhängnis werden.

Zuerst muss apache2 installiert werden.

apt install apache2 -y

Stellen Sie nun sicher, dass die benötigten Module aktiviert sind.

a2enmod rewrite
a2enmod proxy_http
a2enmod ssl

Fügen Sie danach folgenden Block zu ihrem Apache vHost hinzu.

<Location />
AuthUserFile /etc/apache2/.htpasswd
AuthName "Please Log In"
AuthType Basic
require valid-user
Order allow,deny
satisfy any
</Location>

SSLProxyEngine On
ProxyPreserveHost On
ProxyPass / "https://exchange.domain.de/"
ProxyPassReverse / "https://exchange.domain.de/" 

Anschließend wird die in der Konfiguration hinterlegte htpasswd Datei erstellt.

htpasswd -c /etc/apache2/.htpasswd HierIhrBenutzername

Achtung, der Schalter -c erstellt die Datei neu. Zusätzliche Benutzer müssen ohne den Schalter erstellt werden!

Damit die neue Konfiguration aktiv wird muss der Apache noch neu geladen werden.

systemctl reload apache2.service

Abschließend muss in der Firewall noch eine Weiterleitung des Ports 443 auf den Apache Reverse Proxy eingerichtet werden. Und ein DNS A Eintrag der auf ihre öffentliche IP Adresse zeigt muss angelegt werden.

Das OWA ihres Exchange Servers ist nun auch außerhalb der Firma erreichbar, jedoch kann erst nach einer erfolgreichen Authentifizierung am Reverse Proxy darauf zugegriffen werden.

Sollten Sie Interesse an einem eigenen Apache Reverse Proxy in Ihrem Unternehmen haben, so können wir Sie gerne dabei unterstützen. Wir freuen uns auf Ihren Kontakt.