Sophos UTM Email Protection & Exchange 2013 IPv6

Share

 

Konfiguration Exchange 2013 und Sophos UTM SMTP Proxy

Bei der Konfiguration von Exchange 2013, Sophos UTM Astaro als
Smarthost/SMTP Proxy mit IPv6 sind einige Einstellungen

vorzunehmen, die sich aus neuen Eigenschaften des Protokoll IPv6 ergeben. Da bei IPv6 je nach Konfiguration Server und Client mehrere IPv6 Adressen haben können, sollte man festlegen, über welche der Exchange mit der Sophos UTM Astaro und Clienten kommuniziert, sowohl für SMTP als auch für
IIS & OWA

.
.

balken-obenFolgende Konfiguration vorher durchführen:
Email Protection Grundkonfiguration
DNS Sophos UTM 9
balken-unten

.
.
Als Erstes lege ich immer das DNS-Routing fest, dass ist wichtig, wenn die interne und externe Domäne (also Maildomäne und Active Directoy Domäne) gleich lauten. Der Exchange 2013 wird über ECP (Exchange Control Panel) konfiguriert, den kann man über die URL
https://Name-Exchange-Server.meineDomain.local/ecp/ zu erreichen.

.
.

Exchange-Verwaltungskonsole -> Server -> Server
den Exchange mit "Bearbeiten die Einstellungen öffnen.

ECP Exchange 2013 Verwaltungskonsole Sophos UTM Astaro

 

Unter DNS-Lookups können jetzt DNS-Server für Externe DNS-Lookups und Interne DNS-Lookups festgelegt werden. Der interne DNS Server ist idR der DC des AD, der Externe die Sophos UTM Astaro, jeweils mit den IPv4 und IPv6 Adressen. Die IP Adressen der Sophos UTM Astaro ist die IP des Netzwerk Interfaces des LANs

.

ECP Exchange 2013 DNS Lookup Sophos UTM Astaro

 

.
.

Die IP Adressen, über die die Exchange 2013 Dienste kommunizieren (SMTP, Client-Frontend) werden unter

Exchange-Verwaltungskonsole -> Nachrichtenfluss-> Empfangsconnectors konfiguiert:

Im Client Frontend -> Bereichsdefinitionen werden die IP-Ranges festgelegt und die Netzwerkadapterbindungen.

Der Zugriff unter Remotenetzwerkeinstellungen sollte für alle Netzwerke (IPv4 & IPv6) freigegeben werden:
::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff und 0.0.0.0-255.255.255.255

ECP Exchange 2013 Client Frontend Sophos UTM Astaro
Enlarge Image

.
.

Bei den Netzwerkadapterbindungen wird festgelegt, über welche IP Adresse der Exchange 2013 antwortet, das sollte man für alle Dienste festlegen:
Client Frontend
Client Proxy
Default Frontend
Default
Outbound Proxy

.
.

Die Adressen in der Netzwerkadapterbindungen sind analog den in der Sophos UTM Astaro hinterlegten Adressen des Host-Eintrages des Exchange 2013 und entsprechen auch den DNS A und AAA im internen DNS/DC

Exchange 2013 Host Sophos UTM Astaro

 

.
.

Unter
Default Frontend wird festgelegt, welche Netzwerke und /oder IP Adressen (Host) an den Exchange 2013 per SMTP Mails senden dürfen. Den Relay per SMTP kann man für ganze interne Netzwerke freigeben oder nur für die Sophos UTM Astaro.

.
.

Da die Sohos UTM Astaro alle SMTP Mails auf Viren prüft und ich die Konfiguration für die Freigabe pro Host dort einfacher finde, erlaube ich SMTP Relay nur in der UTM, nicht im Exchange -> Email Protection – SMTP-Relay erlauben

 

.
.

Hier darf nur die UTM per SMTP in den Exchange senden

 

ECP Default Fronted Exchange 2013 Sophos UTM Astaro

 

.
.

Wohin der Exchange seine Mail nach Extern senden - hier natürlich die Sophos UTM Astaro als Smarthost - wird unter
Exchange-Verwaltungskonsole -> Nachrichtenfluss -> Sendeconnectors eingstellt.

Mit + kann man einen neuen Eintrag erstellen und als Smarthost die IP Adressen des Interfaces der UTM angeben (IPv4 & IPv6)
Unter Bereichsdefinitionen wird als Zieldomäne * eingetragen.

.

In der Email Protection der Sophos UTM Astaro steht dann der Exchange, welcher jetzt immer über die gleichen IP Adressen sendet

Email Protection Sophos UTM Astaro

 

 

IIS/OWA

Wenn der Exchange und damit der IIS mehrere IPv6 Adressen hat, sollte man die Bindung von IP Adressen an Dienste auch konfigurieren, damit der IIS immer von der gleichen Adresse antwortet. Im Internet Information Services (IIS) Manager wir die Bindung festgelegt, bzw. doppelt für IPv4 und IPv6 angelegt:

Sophos-UTM-IIS-Bindings-IPv4-IPv6
Sophos-UTM-IIS-Bindings-IPv4-IPv6-edit

Einen bestehenden Eintrag kann man mit 'Edit...' auf eine IP Adresse festlegen (* durch IP ersetzten), mit 'Add...' kann man einen neuen Eintrag erstellen, also zusätzlich zu der IPv4 einen Eintrag mit der IPv6. Port 80 muss zusätzlich an * gebunden bleiben.

 

Das wird sowohl für die Default Web Site, als auch für den Exchange Back End gemacht:

Sophos UTM OWA IIS Bindings IPv4 IPv6

 

Sophos-UTM-IIS-Bindings-IPv4-IPv6-edit-2

 

 

 

.
.

Wenn Sie in der Sophos UTM Astaro weitere Features der Email Protection (= SMTP Proxy & Smarthost) wie DKIM, DMARC und SPF einrichten wollen, hilft das Exchange App 'Message Header Analyzer' ungemein, damit können Sie alle Hops einer Mail nachvollziehen und auch z.B. die DKIM-Signatur auslesen

 Exchange 2013 Message Header Analyzer AppEnlarge Image

 

Münster AD 2013

 

Share