Exchange kommuniziert stark mit dem Internet, zum einen um Mails zu empfangen und zu versenden, zum anderen können aber auch Möglichkeiten angeboten werden, damit die Mitarbeiter von aussen auf ihr Postfach zugreifen können. Dazu gehören Outlook Web Access, ActiveSync und Outlook Anywhere. All dies lässt sich durch eine Sophos UTM schützen.
Neu lässt sich Exchange über die Web Application Firewall (WAF) veröffentlichen. Somit tritt Sophos als Reverse Proxy für den Exchangeserver auf und kann den Netzwerkverkehr zum internen Server überprüfen.
Firewall Profiles
Damit alle Veröffentlichungsarten funktionieren, muss “Pass Outlook Anywhere” aktiviert sein.
Real Webservers
Hier vergibt man für den realen Webserver einen Namen und wählt (oder erstellt) den passenden Host (der interne Exchangeserver) und SSL auf Port 443.
Virtual Webserver
Nun vergibt man für den virtuellen Webserver einen Namen (1), wählt das passende Interface und den passenden Port aus. Bei Certificate (2) kann man das Zertifikat auswählen, das man vorher unter “Certificate Management” importiert hat. Nun werden unter Domains (3) die möglichen Namen, die auf dem Zertifikat hinterlegt sind, angezeigt und man kann diejenigen, die man nicht benötigt, löschen. Wenn man ein Wildcardzertifikat benutzt, muss man die gewünschten Domänennamen über das Plus-Symbol manuell hinzufügen. Unter Real Webservers (4) muss man den vorher angelegten Server auswählen und unter Firewall Profile (5) das vorher erstellte Profil. Ausserdem sollte noch “Pass Host Header” ausgewählt sein.
Firewall
Damit der Exchangeserver Mails von aussen erhalten kann und selber Mails verschicken kann, muss in der Firewall eine Regel für SMTP vom Server und zum Server definiert werden.
Email Protection
Je nach Lizenzierung kann man die Sophos UTM auch als Spam- Virenschutz einsetzen. Auf dem alten Exchangeserver setze ich dafür noch Forefront Protection for Exchange ein, aber das wird auch eingestellt. Daher habe ich beim Wechsel auf Sophos UTM auch gerade die Email Protection aktiviert.
Dazu muss man unter Email Protection bei SMTP Routing die Domänen eintragen (1) und den Exchangeserver in die Host list aufnehmen (2). So werden die Mails schon auf Spam und Viren überprüft, bevor sie an den Exchangeserver weitergeleitet werden.
Auch dieses Mal habe ich vor dieser Veröffentlichung im Sophos Forum nachgefragt, ob meine Einstellungen sinnvoll und sicher sind. Schon bei früheren Recherchen im Sophos Forum ist ein Teilnehmer durch Kompetenz und Aktivität herausgestochen. Dass nun gerade dieser Teilnehmer meine Einstellungen überprüft hat, gibt ein gutes (und vor allem sicheres) Gefühl. Dieser Teilnehmer (Bob) hat mich dann noch auf diesen Post aufmerksam gemacht. Die Sophos UTM kann nicht nur eingehende Mails auf Spam und Viren untersuchen, sondern auch ausgehende (z.B. von einem infizierten Client). Dazu muss man die UTM in Exchange als smarthost eintragen, über den die Mails dann ausgeliefert werden. Beim Exchangeserver 2007 findet man das unter Organisationskonfiguration –> Hub-Transport –> Registerkarte Sendeconnectors.
Unter Antispam habe ich entgegen der Standardeinstellung Use Greylisting deaktiviert. So lange wir Spam auch ohne diese Technik im Griff haben, verzichte ich darauf. Diese Technik generiert mehr Mails als nötig wären und ist meiner Meinung nach keine “freundliche Lösung” gegenüber dem absendenden Mailserver.
Damit nur der Exchangeserver Mails versenden kann (und nicht ein infizierter Client die UTM als Relay benutzen kann) sollte man bei Relaying –> Host-based relay nur den Exchangeserver als Host eintragen und nicht das interne Netzwerk (obwohl bei mir das nicht so schlimm wäre, da das interne Netzwerk nur das Subnet mit den Servern ist, also keine Clients enthält).
Damit unsere Mails auch alle Spamfilter auf der Empfängerseite “überleben” muss bei SMTP unter Advanced der öffentlich auflösbare SMTP hostname eingetragen sein, damit RDNS Abfragen korrekt aufgelöst werden können.
Da wir diverse “Ausgänge” ins Internet haben, muss über eine Multipath Rule sichergestellt sein, dass SMTP über das richtige Interface ausgeliefert wird (auf die IP Adresse, die für den SMTP Hostnamen im oberen Bild im öffentlichen DNS hinterlegt ist).
Nachtrag
Es hat sich gezeigt, dass der Zugang zum Exchangeserver über die Sophos UTM mit Apple Mail Probleme macht. Weitere Informationen finden sich hier.
ictschule 
Pingback: Publishing Exchange with Sophos UTM - Sophos User Bulletin Board
Hallo,
Sie schreiben beim Einrichten der Email Protection: “ So werden die Mails schon auf Spam und Viren überprüft, bevor sie an den Exchangeserver weitergeleitet werden.“
Ich weiß ja nicht wie das in der Schweiz ist, in D ist es so gesetzlich vorgeschrieben, jede Mail eingehend wie ausgehend revisionssicher zu archivieren. Das bedeutet zwangsläufig das auch verseuchte Mails archiviert werden müssen (!), erst dann darf in irgend einer Form gefiltert werden.
Zum Archivieren möchte ich zukünftig die „Exchange Server Toolbox“ einsetzen. Vermutlich wird diese Software auf dem Mailserver installiert. An dieser Stelle wäre es folgich also schon „zu spät“ für das Archivieren, da die Sophos UTM dann ja bereits gefiltert hätte.
Ich hoffe man kann das Dilemma erkennen. Haben Sie eine Idee wie man hier vorgehen könnte?
Guten Tag.
Als Schule in der Schweiz müssen wir nichts revisionssicher archivieren. In der Zwischenzeit sind wir übrigens auf Office 365 umgestiegen. Je nach Plan könnte man dort auch revisionssicher archivieren.
Die Sophos UTM kann natürlich auch alle Mails an den Exchangeserver weiterleiten, damit dort archiviert werden kann. Ich habe mich damals für die Email Protection entschieden, weil ich es als sinnvoll erachtete, dass Malware und Spam gar nicht ins interne Netzwerk zum Exchangeserver kommen, sondern bereits vorher gefiltert werden. Ich gehe davon aus, dass es auch Möglichkeiten zur revisionssicheren Archivierung an dieser Stelle (am Übergang von und ins Internet) gibt, allenfalls sogar auch von Sophos, da kann Ihnen ein Partner sicher weiterhelfen.
Gute Beitrag, genau jetzt benötigen wir den :).
Danke
Vielen Dank für die Rückmeldung. Freut mich, wenn ich nicht nur für mich dokumentiere 😉
Boa ich raffe es nicht hab nen internen webserver dort hab ich die Ute als relay eingetragen auf der utm habe ich strato als smarthost gesetzt (relay notwendig da ich aus Privatnetz verschicke)
Eigentlich alles logisch dachte ich bekomme aber ein loopback
Hmmmppfff
Wir haben schon länger keinen eigenen Exchangeserver mehr im Einsatz, sondern benutzen Office 365. Ich kann also nicht sagen, ob die Anleitung so noch stimmt, der Beitrag kommt von 2013. Gemäss dem Kommentar von tim hat es zwar im Februar 2016 noch so funktioniert, aber ich kann dies hier nicht mehr überprüfen oder testen. Die beste Chance auf gute Hilfe findet sich wohl im Sophos Forum. Viel Erfolg!