Routing to SSL Outlook Web Access - how secure

Yes, it's a no-no! Thats what DMZs are for! Try to set up an Reverse Proxy in your DMZ using M$ ISA Server. Or try using Apache or Orenosp...

Cheers, do you know of any resources I can read up to show them? I'll advise against it to the client but I need some ammo to say why because they don't have the budget to run another machine with a DMZ, its only a 10 user network so it will be this or nothing I suspect.

Following on from that, I realise that this isnt the ideal way of doing it from a security point of view, but as with most things, limited budgets = compromise so I just need to get a handle on how insecure it might be. I seem to be coming up with conflicting information, obviously many of the "how-to's" basically follow the best practice, but this  thread  for example seems to suggest that an SSL straight onto the box would be as secure as having a seperate box in the DMZ (Im not saying this is right tho!)

is it really so important for a 10 user network having a dmz solution instead of just forwarding ssl to owa? i don't think that there are $$$ files on it and it's secure enough against script kiddies. 
i'm still a trainee and i see every day that there have to be compromisses in secuirty for every company?. isn't a dmz solution (with extra hardware, software, configuration, etc.) more expensive than the data it self?
i'm an absolut security fan but i start understandig which level of secuirty is important for each company.

maybe a cheap or free ssh solution would be a solution for your problem. let them tunnel trough ssh to a server in the lan. but think about their rights, local firewalls and av software on their external machines then when choosing this solution.
or what about astaro's implemented pptp/l2tp/ipsec ......

Thanks for that, it sums up how I feel about it too. I appreciate it isnt the best practice method and isnt something I'd propose on a highly sensitive network or one that has the budget in place to run a DMZ, but with small companies you're never going to have a network that is totally secure, has multiple DR plans in place etc, because the money just isnt there. As long as its not slicing open the entire network to anyone who's passing I can go to the client and make them aware that there is a better / more secure (but more expensive) way of doing it if they so choose, but if that is just not financially possible and they are prepared to take a level of risk, there is the SSL route.

Thanks for that, it sums up how I feel about it too. I appreciate it isnt the best practice method and isnt something I'd propose on a highly sensitive network or one that has the budget in place to run a DMZ, but with small companies you're never going to have a network that is totally secure, has multiple DR plans in place etc, because the money just isnt there. As long as its not slicing open the entire network to anyone who's passing I can go to the client and make them aware that there is a better / more secure (but more expensive) way of doing it if they so choose, but if that is just not financially possible and they are prepared to take a level of risk, there is the SSL route.

yes, and take one thing in mind - i've seen a lot of even small and big companies having some expensive firewall solution but doors from "paper" where everyone could break into in approximatly 5 minutes and grabb the whole server - so why should one hack this net then.....
analysing the real demand of security is one of the most important things....