Website-Icon Frankys Web

Aufbau einer kleinen Exchange 2016 Organisation (Teil 4)

Der Aufbau der kleinen Exchange 2016 Organisation für kleine Unternehmen und Testumgebungen ist nun schon recht weit fortgeschritten. Im vierten Teil dieser Artikel Serie dreht es sich um die Sophos UTM. Die Netzwerkkonfiguration sieht wie folgt aus:

Die Fritzbox stellt die Internetverbindung her, an einem LAN Port der Fritzbox ist der WAN Port der UTM (VM) angeschlossen. An dem LAN Port der UTM hängt wiederum ein Switch an dem die Server angeschlossen sind. Auf Netzwerk- und VM Ebene lässt sich das wunderbar via VLANs lösen, oder aber eben durch entsprechend viele Netzwerkkarten.

Ich habe die UTM als VM installiert, 2 CPUs, 4 GB RAM und eine HDD mit 60 GB reichen hier vollkommen aus.

Installation

Wie ich erwähnt hatte, habe ich die Sophos UTM bereits installiert, der Vollständigkeit halber, hier ein paar Screenshots von der Installation und der Konfiguration die bereits vorgenommen wurde:

Internes Netz: 172.16.100.254/24

Interessanter Weise fand der Setup Wizard bei mir die zweite Netzwerkkarte für das externe Netzwerk nicht mehr. Während der Installation wurde das Interface noch angezeigt. Ich habe den Schritt also einfach übersprungen und die Konfiguration nachgeholt. Hier also die entsprechenden Einstellungen des Setup Wizard aus meiner Testumgebung:

Wie oben erwähnt, fand der Setup Wizard die zweite Netzwerkkarte nicht, eth1 wurde allerdings nach dem Anmelden korrekt angezeigt, also habe ich es als externen Interface konfiguriert:

Jetzt sind beide Netzwerkkarten entsprechend konfiguriert. eth1 hängt an der Fritzbox, eth0 im gleichen Netzwerk wie der DC und Exchange Server:

Da ich die Internetverbindung manuell eingerichtet hatte, muss ich auch eine Masquerading Regel anlegen:

Weiter geht es mit dem Versenden von Mails.

E-Mail Versand

Der Exchange Sendeconnector wurde ja bereits in Teil 3 angelegt. Mittels des Sendeconnectors leitet Exchange Mails an externe Empfänger an die UTM weiter. Die UTM soll nun die Mails an den Strato Mail Server übergeben, Strato wird also ebenfalls als Smarthost benutzt, da sonst Probleme mit AntiSpam Gateways in Verbindung mit einer Dynamischen IP auftreten.

Um Strato als Smarthost zu benutzen, wird ein Postfach benötigt, hier eignet sich das Catch-All Postfach. Das Catch-All Postfach muss noch bei Strato angelegt werden, dies erfolgt über das Strato Kundencenter:

Wichtig: Haken bei „Postfach empfängt alle E-Mails an undefinierte Adressen…“ setzen. Passwort und E-Mail Adresse merken.

Das war schon alles, weiter geht es bei der UTM.

Um den Versand zu ermöglichen, muss die E-Mail Protection der UTM aktiviert werden:

Unter dem Reiter Relaying wird nun der Exchange Server in der Kategorie „Host-based Relay“ eingetragen:

Es sollte jetzt so aussehen:

Exchange darf nun E-Mails via Sophos UTM relayen, es fehlt nur noch die Konfiguration von Strato als Smarthost. Unter dem Reiter „Advanced“ findet sich ganz unten der Punkt „Smarthost Settings“:

Hier wird nun der SMTP Server von Strato eingetragen:

Da Strato Anmeldeinformationen verlangt, werden noch E-Mail Adresse und Passwort des Catch-All Postfachs angegeben:

Das Versenden von Mails ist fertig, weiter geht es mit dem Empfang von Mails.

E-Mail Empfang

Das Thema Empfang ist schon etwas komplizierter, zumindest wenn man es so macht wie ich. Daher eine kleine Erklärung.

Die UTM bringt einen recht ausgewachsenen SPAM Filter mit, der für kleine Umgebungen und Testumgebung super ist. Für den Versand nutzen wir bereits das Feature, genannt E-Mail Protection. Für den Empfang können wir mit einem Trick auch den Spamfilter nutzen. Aufgrund der dynamischen IP haben wir keine andere Möglichkeit, als die Mails via POP3 von Strato aus dem Catch-All Postfach abzuholen, natürlich ist der Abruf der Mails via POP3 am SMTP Spamfilter „vorbei“, da hier ein anderes Protokoll benutzt wird, eben POP3 anstatt SMTP.

Zwar bietet die UTM auch einen POP3 Proxy, allerdings finde ich den POP3 Proxy nicht sonderlich gut umgesetzt. Zum Beispiel werden 2 getrennte Quarantänen erstellt, eine für SMTP, eine für POP3. Auch eine Quarantäne Mail Benachrichtigung lässt sich nicht aktivieren. Es gibt also 2 Möglichkeiten: Entweder POP3 Connector auf dem Exchange Server installieren und Mails direkt an den Exchange Server per SMTP weiterleiten, oder POP3 Connector irgendwo installieren (kann eine kleine VM sein, oder auch der Exchange Server selbst) und die Mails wieder an die UTM weiterleiten. Die UTM leitet nach ihren SPAM Checks (jetzt ist das Protokoll SMTP), wieder an den Exchange weiter. Die zweite Variante ist war „von hinten durch die Brust ins Auge“, aber jetzt lässt sich auch der SPAM-Filter der UTM nutzen.

Konfiguration der „Von hinten durch die Brust ins Auge“-Variante

Als wird ein Benutzer für das Active Directory benötigt, damit die UTM die validen Empfänger verifizieren kann, ein Standard Benutzer Konto reicht, nur das Kennwort sollte besser nicht ablaufen:

In diesem Fall ist es das Konto „SophosUTM“, benötigen wir jetzt den Distinguished Name, am schnellsten kommen wir per PowerShell an den DN:

Get-ADUser SophosUTM | fl name,DistinguishedName

An der Sophos UTM wird nun unter „Definitions & Users“ ein neuer Authentication Server vom Typ „Active Directory“ angelegt:

Als Server wird der Domain Controller angegeben, als „Bind DN“ wird der Distinguished Name des vorhin erstellten Benutzers mit dem entsprechenden Benutzerpasswort angegeben. Der Test sollte jetzt erfolgreich sein.

Jetzt kann in der E-Mail Protection die Domain angegeben werden und das Routing an den Exchange Server. Die Empfängervalidierung erfolgt über das Active Directory:

Weiter geht es mit dem POP Connector

Einrichtung POP Connector

Jetzt wird noch ein POP3 Connector benötigt. Ich habe in der Vergangenheit gute Erfahrungen mit POPcon von Servolutions gemacht. POPcon kostet 79 EUR, es gibt allerdings auch kostenlose POP Connectoren wie zum Beispiel POP Collector.

Zunächst einmal das Beipiel mit POPCon von Servolutions. Die Installation ist selbsterklärend. Nach der Installation, wird auf „Server konfigurieren“ geklickt und auf dem ersten Reiter eine Postmaster Adresse angegeben:

Auf dem Reiter „POP3/IMAP“ kann das Catch-All Konto konfiguriert werden:

Beim Typ ist auf POP3-SSL / TSL zu achten. Der Strato POP3 Server heißt pop3.strato.de. Benutzername und Kennwort entspricht dem Catch-All Postfach, welches weiter oben angelegt wurde.

Auf dem Reiter „Exchange“ wird nun nicht der Exchange Server angegeben, sondern die IP oder der Hostname der UTM, so lässt sich der SPAM-Filter Teil der UTM nutzen:

Wer nicht die „Von hinten durch die Brust ins Auge“-Methode nutzen will, kann hier natürlich auch einfach die IP oder Hostnamen des Exchange Servers eintragen. Zum Schluss noch auf dem Reiter „Zeitplanung“ einen entsprechenden Wert für den Abruf eintragen:

Nachdem das POP3 Konto angelegt wurde, muss noch die E-Mail Domain angegeben werden:

Der Download der Mails, wenn vorhanden sollte nun funktionieren:

Zusammenfassung

Senden und Empfangen von Mails funktioniert schon und auch die Verbindung mit Outlook aus dem internen Netz funktioniert. Damit Outlook Anywhere, Active Sync und OWA funktionieren ist allerdings noch etwas Arbeit nötig.

Die mobile Version verlassen