Exchange über Sophos UTM veröffentlichen

Exchange kommuniziert stark mit dem Internet, zum einen um Mails zu empfangen und zu versenden, zum anderen können aber auch Möglichkeiten angeboten werden, damit die Mitarbeiter von aussen auf ihr Postfach zugreifen können. Dazu gehören Outlook Web Access, ActiveSync und Outlook Anywhere. All dies lässt sich durch eine Sophos UTM schützen.

Neu lässt sich Exchange über die Web Application Firewall (WAF) veröffentlichen. Somit tritt Sophos als Reverse Proxy für den Exchangeserver auf und kann den Netzwerkverkehr zum internen Server überprüfen.

Firewall Profiles
Damit alle Veröffentlichungsarten funktionieren, muss “Pass Outlook Anywhere” aktiviert sein.

image

Real Webservers
Hier vergibt man für den realen Webserver einen Namen und wählt (oder erstellt) den passenden Host (der interne Exchangeserver) und SSL auf Port 443.

image

Virtual Webserver
Nun vergibt man für den virtuellen Webserver einen Namen (1), wählt das passende Interface und den passenden  Port aus. Bei Certificate (2) kann man das Zertifikat auswählen, das man vorher unter “Certificate Management” importiert hat. Nun werden unter Domains (3) die möglichen Namen, die auf dem Zertifikat hinterlegt sind, angezeigt und man kann diejenigen, die man nicht benötigt, löschen. Wenn man ein Wildcardzertifikat benutzt, muss man die gewünschten Domänennamen über das Plus-Symbol manuell hinzufügen. Unter Real Webservers (4) muss man den vorher angelegten Server auswählen und unter Firewall Profile (5) das vorher erstellte Profil. Ausserdem sollte noch “Pass Host Header” ausgewählt sein.

image

Firewall
Damit der Exchangeserver Mails von aussen erhalten kann und selber Mails verschicken kann, muss in der Firewall eine Regel für SMTP vom Server und zum Server definiert werden.

image

Email Protection
Je nach Lizenzierung kann man die Sophos UTM auch als Spam- Virenschutz einsetzen. Auf dem alten Exchangeserver setze ich dafür noch Forefront Protection for Exchange ein, aber das wird auch eingestellt. Daher habe ich beim Wechsel auf Sophos UTM auch gerade die Email Protection aktiviert.
Dazu muss man unter Email Protection bei SMTP Routing die Domänen eintragen (1) und den Exchangeserver in die Host list aufnehmen (2). So werden die Mails schon auf Spam und Viren überprüft, bevor sie an den Exchangeserver weitergeleitet werden.

image

Auch dieses Mal habe ich vor dieser Veröffentlichung im Sophos Forum nachgefragt, ob meine Einstellungen sinnvoll und sicher sind. Schon bei früheren Recherchen im Sophos Forum ist ein Teilnehmer durch Kompetenz und Aktivität herausgestochen. Dass nun gerade dieser Teilnehmer meine Einstellungen überprüft hat, gibt ein gutes (und vor allem sicheres) Gefühl. Dieser Teilnehmer (Bob) hat mich dann noch auf diesen Post aufmerksam gemacht. Die Sophos UTM kann nicht nur eingehende Mails auf Spam und Viren untersuchen, sondern auch ausgehende (z.B. von einem infizierten Client). Dazu muss man die UTM in Exchange als smarthost eintragen, über den die Mails dann ausgeliefert werden. Beim Exchangeserver 2007 findet man das unter Organisationskonfiguration –> Hub-Transport –> Registerkarte Sendeconnectors.

image

Unter Antispam habe ich entgegen der Standardeinstellung Use Greylisting deaktiviert. So lange wir Spam auch ohne diese Technik im Griff haben, verzichte ich darauf. Diese Technik generiert mehr Mails als nötig wären und ist meiner Meinung nach keine “freundliche Lösung” gegenüber dem absendenden Mailserver.

image

Damit nur der Exchangeserver Mails versenden kann (und nicht ein infizierter Client die UTM als Relay benutzen kann) sollte man bei Relaying –> Host-based relay nur den Exchangeserver als Host eintragen und nicht das interne Netzwerk (obwohl bei mir das nicht so schlimm wäre, da das interne Netzwerk nur das Subnet mit den Servern ist, also keine Clients enthält).

image

Damit unsere Mails auch alle Spamfilter auf der Empfängerseite “überleben” muss bei SMTP unter Advanced der öffentlich auflösbare SMTP hostname eingetragen sein, damit RDNS Abfragen korrekt aufgelöst werden können.

image

Da wir diverse “Ausgänge” ins Internet haben, muss über eine Multipath Rule sichergestellt sein, dass SMTP über das richtige Interface ausgeliefert wird (auf die IP Adresse, die für den SMTP Hostnamen im oberen Bild im öffentlichen DNS hinterlegt ist).

image

Nachtrag
Es hat sich gezeigt, dass der Zugang zum Exchangeserver über die Sophos UTM mit Apple Mail Probleme macht. Weitere Informationen finden sich hier.

7 Gedanken zu „Exchange über Sophos UTM veröffentlichen

  1. Pingback: Publishing Exchange with Sophos UTM - Sophos User Bulletin Board

  2. Tim

    Hallo,

    Sie schreiben beim Einrichten der Email Protection: “ So werden die Mails schon auf Spam und Viren überprüft, bevor sie an den Exchangeserver weitergeleitet werden.“

    Ich weiß ja nicht wie das in der Schweiz ist, in D ist es so gesetzlich vorgeschrieben, jede Mail eingehend wie ausgehend revisionssicher zu archivieren. Das bedeutet zwangsläufig das auch verseuchte Mails archiviert werden müssen (!), erst dann darf in irgend einer Form gefiltert werden.

    Zum Archivieren möchte ich zukünftig die „Exchange Server Toolbox“ einsetzen. Vermutlich wird diese Software auf dem Mailserver installiert. An dieser Stelle wäre es folgich also schon „zu spät“ für das Archivieren, da die Sophos UTM dann ja bereits gefiltert hätte.

    Ich hoffe man kann das Dilemma erkennen. Haben Sie eine Idee wie man hier vorgehen könnte?

    Antwort
    1. ictschule Autor

      Guten Tag.
      Als Schule in der Schweiz müssen wir nichts revisionssicher archivieren. In der Zwischenzeit sind wir übrigens auf Office 365 umgestiegen. Je nach Plan könnte man dort auch revisionssicher archivieren.
      Die Sophos UTM kann natürlich auch alle Mails an den Exchangeserver weiterleiten, damit dort archiviert werden kann. Ich habe mich damals für die Email Protection entschieden, weil ich es als sinnvoll erachtete, dass Malware und Spam gar nicht ins interne Netzwerk zum Exchangeserver kommen, sondern bereits vorher gefiltert werden. Ich gehe davon aus, dass es auch Möglichkeiten zur revisionssicheren Archivierung an dieser Stelle (am Übergang von und ins Internet) gibt, allenfalls sogar auch von Sophos, da kann Ihnen ein Partner sicher weiterhelfen.

      Antwort
  3. Steffen

    Boa ich raffe es nicht hab nen internen webserver dort hab ich die Ute als relay eingetragen auf der utm habe ich strato als smarthost gesetzt (relay notwendig da ich aus Privatnetz verschicke)
    Eigentlich alles logisch dachte ich bekomme aber ein loopback
    Hmmmppfff

    Antwort
    1. ictschule Autor

      Wir haben schon länger keinen eigenen Exchangeserver mehr im Einsatz, sondern benutzen Office 365. Ich kann also nicht sagen, ob die Anleitung so noch stimmt, der Beitrag kommt von 2013. Gemäss dem Kommentar von tim hat es zwar im Februar 2016 noch so funktioniert, aber ich kann dies hier nicht mehr überprüfen oder testen. Die beste Chance auf gute Hilfe findet sich wohl im Sophos Forum. Viel Erfolg!

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s