Sicherheit RPCoverHTTPS Outlook Anywhere

Hallo, ich habe eine Frage ob man das in einer kleinen Umgebung so betreiben kann

(Outlook Anywhere Client) ------- Internet -----------FW1:[from ANY to ExchangePublicIP:443 allow][DSTNAT ExchangePublicIP nach ExchangePrivateIP] --------DMZ-----------FW2:[from ANY to ExchangePrivateIP:443 allow]------------Exchange (CAS und MAILBOX Rolle)

Feststellung:
Klar der IIS hängt quasi erst mal mit Port 443 im Internet. Und zwar mit den Verzeichnissen autodiscover, ecp, oab, owa, rpcproxy, usw.
Wenn ich mir die Sicherheitseinstellungen der Verzeichnisse anschaue hat ein nicht authentifizierter keinen Zugriff auf diese Verzeichnisse.
Ich komme also ohne Authentifizerung nicht an diese Verzeichnisse, richtig? Abgesehen von möglichen Schwachstellen im IIS.

Unter msxfaq https://www.msxfaq.de/exchange/clients/oagrundlagen.htm steht unter "direktes RPC"
"Auf jeden Fall kann nur davon abgeraten werden, einen Exchange Server per RPC ungesichert im Internet erreichbar zu machen."

RPC ist ja von außen ja nicht erreichbar. Muss man sich bei der genannten Konfig, mit gepatchtem IIS, sorgen machen?

Grüße Bernd

Hallo Norbert, ok danke für deine Antwort. Es handelt sich in diesem Fall schon um einen Exchange 2010. Also ist da direkt am Server auch noch MAPI offen. Aber das ja nur INTERN.

>>>Exchange 2010 und älter, welche eben per Mapi/RPC (directeds RPC) erreichbar waren
Nur so am Rande: Wenn ich dich im Umkehrschluss verstehe, ist ab Exchange 2013 direkt am Server auch nur 443 offen und der Server macht intern quasi auch RPCoverHTTPS???

Gruß