Moderne Authentifizierung & MFA für On-Prem Exchange
ADFS mit externem Identity-Provider eingeführt, um den on-prem Exchange Server SE per Moderner Authentifizierung (OAuth 2.0) und TOTP-MFA abzusichern — weg von Basic Auth.
- ADFS
- Exchange Server SE
- OAuth 2.0
- TOTP/MFA
- Windows Server
Status & Stand
Abgeschlossen
- ADFS als zentraler Föderationsdienst eingeführt
- Externen Identity-Provider angebunden (Federation/Claims Trust)
- Moderne Authentifizierung (OAuth 2.0) für Exchange SE aktiviert
- Basic Authentication konsequent abgeschaltet
- TOTP als zweiter Faktor erzwungen
- Zugriff auf OWA, Outlook & mobile Clients abgesichert
Ausgangslage
Der Zugriff auf den on-prem Exchange lief über Basic Authentication — Benutzername und Passwort, ohne zweiten Faktor. Für einen aus dem Internet erreichbaren Mailserver ist das ein bekanntes Einfallstor: Password-Spraying und gestohlene Zugangsdaten führen direkt ins Postfach.
Lösung
Eine Föderations- und MFA-Schicht vor den Exchange gezogen.
- ADFS als zentralen Föderationsdienst eingeführt.
- Externen Identity-Provider als Federation-/Claims-Trust angebunden.
- Moderne Authentifizierung (OAuth 2.0) für Exchange Server SE aktiviert — Outlook, OWA und mobile Clients authentifizieren sich per Token statt per Klartext-Passwort.
- Basic Auth konsequent abgeschaltet.
- TOTP als zweiten Faktor erzwungen (Authenticator-App).
Ergebnis
Der Mailserver ist deutlich schwerer angreifbar: kein Basic Auth mehr, jeder Zugriff über moderne Token und einen zweiten Faktor. Für die Nutzer bleibt es einfach — anmelden, MFA bestätigen, fertig.
Klingt nach etwas, das du auch brauchst?
Projekt anfragen