Zum Inhalt springen
Alle Projekte
Administration & Security 2026 IT-Systemhaus

Moderne Authentifizierung & MFA für On-Prem Exchange

ADFS mit externem Identity-Provider eingeführt, um den on-prem Exchange Server SE per Moderner Authentifizierung (OAuth 2.0) und TOTP-MFA abzusichern — weg von Basic Auth.

  • ADFS
  • Exchange Server SE
  • OAuth 2.0
  • TOTP/MFA
  • Windows Server

Status & Stand

Abgeschlossen Dauer: ~2 Wochen

Abgeschlossen

  • ADFS als zentraler Föderationsdienst eingeführt
  • Externen Identity-Provider angebunden (Federation/Claims Trust)
  • Moderne Authentifizierung (OAuth 2.0) für Exchange SE aktiviert
  • Basic Authentication konsequent abgeschaltet
  • TOTP als zweiter Faktor erzwungen
  • Zugriff auf OWA, Outlook & mobile Clients abgesichert

Ausgangslage

Der Zugriff auf den on-prem Exchange lief über Basic Authentication — Benutzername und Passwort, ohne zweiten Faktor. Für einen aus dem Internet erreichbaren Mailserver ist das ein bekanntes Einfallstor: Password-Spraying und gestohlene Zugangsdaten führen direkt ins Postfach.

Lösung

Eine Föderations- und MFA-Schicht vor den Exchange gezogen.

  • ADFS als zentralen Föderationsdienst eingeführt.
  • Externen Identity-Provider als Federation-/Claims-Trust angebunden.
  • Moderne Authentifizierung (OAuth 2.0) für Exchange Server SE aktiviert — Outlook, OWA und mobile Clients authentifizieren sich per Token statt per Klartext-Passwort.
  • Basic Auth konsequent abgeschaltet.
  • TOTP als zweiten Faktor erzwungen (Authenticator-App).

Ergebnis

Der Mailserver ist deutlich schwerer angreifbar: kein Basic Auth mehr, jeder Zugriff über moderne Token und einen zweiten Faktor. Für die Nutzer bleibt es einfach — anmelden, MFA bestätigen, fertig.

Klingt nach etwas, das du auch brauchst?

Projekt anfragen