Exhange 2003 server : port 80 open

als je er dan vervolgens /exchange achter tikt, kom je op de webmail terecht! dus er is zeker wel een pagina actief

Het grootste probleem hiermee is dat alle gegevens onbeveiligd (lees: zonder encryptie) over Internet gaan. Dat is een zeker risico, aangezien de wachtwoorden afgeluisterd kunnen worden en daarnaast ook het verkeer zelf (inhoud van e-mails die gelezen of geschreven worden).

Mijn advies is om toch echt uitsluitend via HTTPS (443) te werken. Check welke SSL certificaat provider ondersteund wordt door de smartphone en koop daar een certificaat. Er zijn voldoende goedkope providers die vaak ook werken met dat soort devices.

Ik raad ten zeerste af om poort 80 te gebruiken, en zoals de poster boven mij al zegt uitsluitend poort 443 met een SSL certificaat te gebruiken. Poort 80 ofwel http is een "clear text" protocol, en kan worden afgeluisterd. Hierdoor kunnen onder andere Active Directory wachtwoorden en gebruikersnamen worden afgevangen.

Poort 80 dichthouden dus, en alleen https over poort 443 gebruiken.

Bij mijn bedrijf is de regel erg simpel: We ondersteunen Blackberry middels BES en Windows Mobile. Ondersteund je mobile device (zoals iPhone) SSL over 443, prima, dat gooien we em erop. Ondersteund ie dat niet? Jammer, pech. Security is belangrijker dan de telefoon van iemand, kom maar terug met een telefoon die het wel kan.

[ Voor 29% gewijzigd door maartena op 04-03-2009 17:11 ]

Ik heb hier pushmail op een Nokia E51 i.c.m. Exchange perfect draaien. Het kan dus wel. Ik weet niet meer precies hoe ik m'n certificaat erop gekregen heb, maar volgens mij moet je 'm in DER-formaat opslaan en dan vraagt ie volgens mij vanzelf of je m wil installeeren zodra je m wilt openenen.
Reeds geïnstalleerde certificaten kan je vinden bij Instrumenten -> Instellingen -> Algemeen -> Beveiliging -> Certificaatbeheer.

Je hoeft het certificaat niet te installeren. Je kan de beveiligingswaarschuwing gewoon permanent negeren. Er zit alleen een addertje onder het gras, en dat addertje houd in dat de naam van de server overeen moet komen met die in het certificaat staat (anders krijg je een systeemfout).

NoFate schreef op woensdag 04 maart 2009 @ 19:46:
[...]


Hey , ik heb al alle mogelijke formaten geexporteerd vanuit IIS , maar telkes als ik het dan via USB in eem mapje plaats op de phone en ik er dan op dubbelklik krijg ik de melding dat het formaat niet ondersteund wordt.

Dus ik moet op 1 of andere manier het certificaat importeren , maar ik weet dus niet hoe.

Wel heb ik deze site reeds gevonden maar ik heb het nog niet getest :
http://symcaimport.redelijkheid.com/


Kan je trouwens bij het certificaatbeheer geen certificaten importeren?

je certificaat kun je downloaden vanaf je certificaatserver (als je die geinstalleerd hebt), https://IP/certsrv

Daar kun je je certificaat downloaden (.cer file) en op je telefoon zetten

Overigens hoef je bij de nieuwere versies van Mail-for-exchange van Nokia geen certificaat meer te hebben of te importeren. Ondanks dat je certificaat dan niet vertrouwd is, kun je m gewoon toestaan. Je verkeer is dan wel gewoon versleuteld, alleen is je certificaat niet gecertificeerd. Maar goed, dat is puur cosmetisch, en nog altijd een stuk verstander dan alles unencrtypted binnenhalen.

NoFate schreef op woensdag 04 maart 2009 @ 19:47:
[...]


mja , ik heb mail for exchange geconfigureerd , je hebt alleen de optie : beveiligde verbinding aan/uit ...

als ik het uit zet en poort 80 open dan werkt het , anders niet...
Dus ik moet op 1 of andere manier het cerfticaat importeren...

Wat voor melding krijg je dan? Aan 'werkt niet' hebben we hier niets. Wat staat er bijvoorbeeld in het logboek?

Als jij tegen MFE zegt dat hij via HTTPS moet verbinden dan krijg je een beveiligswaarschuwing als er problemen zijn met het certificaat. Als je die melding niet krijgt dan heb je nog twee opties:

• Vanaf de telefoon is poort 443 op de server niet te benaderen (poort geblokkeerd of verkeerd adres)
• Naam van de server komt niet overeen met die in het certificaat (dan krijg je een systeemfout).

Een alternatief is dat je gewoon een SSL certificaat koopt, dat is tegenwoordig heel betaalbaar. Ik weet zeker dat de tijd die jij aan dit probleem besteed meer kost dan een trusted SSL certificaat.

Wel erop letten dat veel goedkope certificaten niet standaard vertrouwd worden op mobiele apparaten

Kijk en nu we het hebben over het kopen van certificaten, haak ik even in.
Iemand van Microsoft wees mij op certificaten van GoDaddy.com, deze moeten perfect werken in OWA en zijn bijzonder betaalbaar. Tevens worden deze netjes vertrouwd in mobiele apparaten.
Vanzelfsprekend komt er toch een vraag uit voort

Aangezien je drie verschillende varianten hebt en ze het over 80 dollar per jaar had zie ik even het verschil niet meer.

Heeft iemand enig idee welk certificaat we minimaal nodig hebben - Deluxe - Standard - Premium ?
GoDaddy SSL

[ Voor 21% gewijzigd door motormuisje op 05-03-2009 11:31 ]

En juist met de GoDaddy certificaten lees ik heel veel ellende met mobiele telefoons..... Als ik heel eerlijk mag zijn zou ik die overslaan.

Al naar RapidSSL gekeken? Worden standaard vertrouwd en zijn redelijk betaalbaar (hoewel ik wel zie dat ze duurder zijn geworden, ze waren $50).

Als je twijfelt, ga dan naar http://www.sslcertificaten.nl/ en koop een Mobile SSL certificaat voor 118 euro voor 3 jaar. Het bedrijf zit in Nederland dus bij eventuele vragen kun je gewooon even bellen.

Jazzy schreef op vrijdag 06 maart 2009 @ 03:09:
Als je twijfelt, ga dan naar http://www.sslcertificaten.nl/ en koop een Mobile SSL certificaat voor 118 euro voor 3 jaar. Het bedrijf zit in Nederland dus bij eventuele vragen kun je gewooon even bellen.

Heeft een bedrijf dat ik ken ook en werkt perfect op zowel Windows Mobile 5 en 6 en ook op verschillende nokia's. Zeker een aanrader dus!

Sslcertifcaten.nl werkt inderdaad uitstekend, gebruikt voor mailserver van middelbare school.
Het is ook snel, je vraagt het aan, zet handtekening, scant t en stuurt het op en als antwoord krijg je alles wat je nodig hebt. Minder dan een uur totaal nodig.
Let wel even goed op wat voor certificaat je nodig hebt.

Wat doen jullie als jullie ook een SSL VPN appliance hebben draaien.
Heeft hier iemand een mooie oplossing voor?

Heb momenteel SSL Appliance geinstalleerd en ingesteld op de firewall voor gebruik van poort 443.
Iphone laat ik nu voorlopig synchroniseren via poort 80.

SSL Appliance is een Sonicwall SSL-VPN 200 en heb hier op het eerste gezicht niet de kans om de poort te wijzigen naar bv 442.
Ook in de iphone kan ik dit niet aanpassen de poorten.

Hoe los je zoiets correct op?

Omdat het topic toch gekickt wordt en ik niet weet of het probleem al opgelost is, hierbij toch ff me antwoord
Wat ik heb gedaan op mijn werk is als volgt.
Poort 80 open gezet, maar op alle virtual directory's in de IIS een lokaal IP adres toegekend voor toegang.
De enige virtual directory die open staat voor alles is: "Microsoft Active-sync" of iets in die trend.
Deze virtual directory is niet via een webpagina te benaderen, maar wel voor mobiele telefoons. Tot nu toe werkt het goed voor onze windows mobile en symbian toestellen.

Meerdere IP-adressen nemen is dan het makkelijkst.

Verwijderd schreef op dinsdag 05 mei 2009 @ 20:21:
Wat doen jullie als jullie ook een SSL VPN appliance hebben draaien.
Heeft hier iemand een mooie oplossing voor?

Hoe los je zoiets correct op?

Meerdere IP adressen. Een beetje zakelijke verbinding heeft een blok van 16 IP adressen (14 bruikbaar), en dan kun je VPN verkeer via 1 IP adres laten lopen, en Exchange OWA verkeer via een ander IP adres.

Verwijderd schreef op dinsdag 05 mei 2009 @ 20:21:
Wat doen jullie als jullie ook een SSL VPN appliance hebben draaien.
Heeft hier iemand een mooie oplossing voor?

Heb momenteel SSL Appliance geinstalleerd en ingesteld op de firewall voor gebruik van poort 443.
Iphone laat ik nu voorlopig synchroniseren via poort 80.

SSL Appliance is een Sonicwall SSL-VPN 200 en heb hier op het eerste gezicht niet de kans om de poort te wijzigen naar bv 442.
Ook in de iphone kan ik dit niet aanpassen de poorten.

Hoe los je zoiets correct op?

Meerdere SSL websites op 1 IP adres gaat inderdaad niet werken.

Kan je op die SSL VPN geen doorverwijzing maken naar de OWA website intern Dan gebruik je de SSL VPN dus als SSL offloader, waarna je de rest van het active sync gebeuren doorzet naar intern. Je krijgt dan als het ware een reverse proxy opstelling. Nog nooit geprobeerd eigenlijk..