Warum lassen Serveradministratoren in einer Unternehmensumgebung, in der Exchange ausgeführt wird und Outlook-Clients eine Verbindung damit herstellen, nicht zu, dass IMAP für diejenigen aktiviert wird, die per IMAP eine Verbindung zum Server herstellen möchten?
Ich gehe davon aus, dass die einfache Antwort Port-Angriffe sind, und entschuldigen Sie bitte meine Naivität, aber hat Exchange nicht dieselben Probleme oder liegt es daran, dass es sich hinter der Firewall und innerhalb des Unternehmensnetzwerks befindet?
AKTUALISIEREN:Danke für die Antworten. Kann jemand bestätigen, dass bei aktiviertem IMAP eine Anfälligkeit für Angriffe von außen besteht?
Antwort1
Der Hauptgrund ist wahrscheinlich, dass sie sich für Outlook oder Outlook Web Access als einzigen unterstützten Client entschieden haben, was in manchen Umgebungen sinnvoll sein kann.
Antwort2
Meiner Meinung nach liegt es eher an der Supportfähigkeit als an der Sicherheit. Das Aktivieren von IMAP (und/oder POP) bedeutet, dass der Administrator mehrere Verbindungstypen zum Exchange-Server verwalten muss, was dann zwangsläufig die Anzahl der Supportanrufe von Benutzern erhöht und den Umfang der Verwaltung und Unterstützung dieser Clients erweitert. Ein Supportanruf würde aus Folgendem bestehen:
Bestimmen des Verbindungstyps
Überprüfen der Verbindungseinstellungen für diesen Verbindungstyp
Überprüfen von Authentifizierungsmethoden und Anmeldeinformationen
Überprüfen, ob das betreffende Protokoll (IMAP und/oder POP) für den Benutzer aktiviert ist
Testen auf clientseitige Firewalls, die diesen Verbindungstyp möglicherweise blockieren (IMAP- und/oder POP-Ports, ganz zu schweigen von SMTP zum Senden von E-Mails)
usw., usw.
Antwort3
Ich bin davon überzeugt, dass Systemadministratoren IMAP einfach für unnötig halten, da sie weniger Probleme haben, wenn sie nur Exchange zulassen.
Außerdem lässt sich auf diese Weise besser sicherstellen, dass jeder Zugriff auf alle von Exchange bereitgestellten Funktionen (Kalender, Besprechungen, Ordner usw.) hat. (Das ist nicht so, dass dies über IMAP nicht möglich wäre, es gibt jedoch mehrere Implementierungen dieser Dienste, im Gegensatz zur integrierten Lösung, die von Exchange und seinen Hauptclients Outlook und Mobilgeräten bereitgestellt wird.)
Allerdings verbinde ich mich normalerweise mit unserer Exchange 2007 mithilfe von Software wiedavmail, wodurch ich die Clients verwenden kann, die ich auf der Plattform meiner Wahl am besten geeignet finde. Ohne dass der Administrator mir hierfür Unterstützung geben muss. Wie Sie sich vorstellen können, hätte der IT-Administrator viel mehr Arbeit, wenn er sowohl IMAP als auch Exchange unterstützen würde, mit einer größeren Bandbreite an möglichen Konfigurationen/Clients, zusätzlich zu den oben genannten Komplikationen mit den Funktionen.
Antwort4
Theoretisch ist das Öffnen von IMAP eine Sicherheitslücke, genauso wie das Öffnen eines beliebigen Ports einer Firewall. Irgendwo könnte es einen Exploit geben, der IMAP nutzt, um Exchange anzugreifen. Ich habe noch nie einen gesehen, aber es könnte einen geben.
Der Wartungsaufwand ist insofern größer, als dass ich nun den Exchange-IMAP-Dienst überwachen und mich mit der Behebung von Problemen mit der Benutzerverbindung befassen muss.