Heute habe ich auf ServerHowTo.de eine neue Anleitung veröffentlicht welche die Installation eines BlackBerry Enterprise Servers in einer Exchange 2007 Umgebung beschreibt. Finden können Sie die Anleitung unter:
Ergänzend zu dem Artikel noch einige Hinweise zum Thema Sicherheit.
Da der BlackBerry Server eine Verbindung ins Internet aufbaut um dort mit den Servern von RIM die Mails auszutauschen, gehört der BES bzw. besser der BlackBerry Router in eine DMZ die auf der einen Seite die Kommunikation mit den RIM Servern erlaubt und auf der anderen Seite die Verbindung zum Exchange Server ermöglicht.
Der Account (BESAdmin) unter dem i. d. R. der BlackBerry Enterprise Server installiert wird besitzt sehr weitgehende Rechte auf die Mailboxen der BlackBerry Benutzer. Es sollte daher sicher gestellt werden, dass der Account nur die nötigsten Rechte erhält. Das setzen des „senden als“ Recht für alle Benutzer sollte daher nur dann gewählt werden, wenn tatsächlich alle oder nahezu alle Benutzer in der Exchange Umgebung einen BlackBerry benutzen. Des Weiteren sollte das Passwort des BESAdmin in einem Notuserverfahren verwaltet werden um das unbemerkte mitlesen von fremden eMails durch Administratoren über diesen Account verhindern zu können.
Die BlackBerry Endgeräte bieten die Möglichkeit die gespeicherten Inhalte zu verschlüsseln. Diese Option sollte insbesondere dann aktiviert werden, wenn vertrauliche Informationen (was heute fast überall der Fall ist) über das Medium eMail ausgetauscht werden. Zusätzlich bietet der BlackBerry Enterprise Server die Möglichkeit ein gestohlenes oder verlorenes zu „putzen“ und zu deaktivieren. Gestohlene BlackBerry Endgeräte sind daher recht wertlos für einen Dieb.
Der BES verfügt über die Möglichkeit Richtlinien an die Clients zu verteilen. Die vorhandenen Einstellungen sollten entsprechend der Sicherheitsbedürfnisse des Unternehmens angepasst werden. Dinge wie das erzwingen von Anmeldepassworten sollten dabei obligatorisch sein und von den Anwendern auch nicht geändert werden können. Nach einem Update lohnt es sich i. d. R. immer einen Blick in die Richtlinien zu werfen – diese werden dabei regelmäßig erweitert.
Beim Patchen der Exchange und BES Server ist Vorsicht geboten. Nicht selten hört man, dass nach einem Patch des Exchange Servers die „senden als“ Rechte des BESAdmin verschwunden sind. Wenn Sie also nach einem Update von Ihren Benutzern hören, dass diese zwar Mails empfangen aber nicht senden können sollten Sie diese Berechtigungen zuerst prüfen. Des Weiteren ist der BES sehr empfindlich, was seine API zum Exchange Server angeht. Ein Update des Exchange Servers macht daher u. U. auch ein entsprechendes Update des BES notwendig!
Der Vollständigkeit halber sollte man zu ersten Absatz (Thema DMZ) erwähnen, dass RIM den Betrieb des BES in einer DMZ weder supported noch empfiehlt. Details können den folgenden Links entnommen werden:
KNB-Eintrag zum Thema Support BES in DMZ: http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB12281&sliceId=SAL_Public&dialogID=92810887&stateId=1%200%2092814229
BlackBerry Sicherheit: http://www.blackberry.com/de/select/security/security.shtml
BlackBerry-Sicherheitsüberblick: http://www.blackberry.com/de/products/enterprisesolution/security/index.shtml
Richtig. Hatte nocht nicht die Zeit aber das Thema BlackBerry Router will ich in dem HowTo auch noch ergänzen… Danke für die Links.