Hallo habe folgendes Szenario:
Exchange 2016 OnPrem mit 4 Domäne
Exchange Online
Sophos als Spamfilter/DKIM/DMARC
Hybrid Modus mit Centralized Mail Transport
Wenn ich das jetzt richtig verstehe kommuniziert der Exchange OnPrem mit dem Exchange Online über einen Connector per SMTP.
Beim Exchange 2016 wird ja der vorhandene Connector für SMTP genutzt, dort ist auch "Anonymous" erlaubt was ja dann nicht so gut ist. Deshalb besser einen neuen Connector anlegen der dann auf Port 26 hört und in der Sophos diesen per DNAT umbiegen?
Welche Einstellungen müssen alle getätigt werden?
Wie gesagt der Mailflow soll sein:
Das alles über den Exchange 2016 OnPrem rausgehen soll, damit Spamfilter usw. weiterhin funktioniert.
Hoffe es ist halbwegs verständlich.
Gruß
Oliver
Beim Exchange 2016 wird ja der vorhandene Connector für SMTP genutzt, dort ist auch "Anonymous" erlaubt was ja dann nicht so gut ist. Deshalb besser einen neuen Connector anlegen der dann auf Port 26 hört und in der Sophos diesen per DNAT umbiegen?
Ich würde für deine Sophos einfach einen eigenen Connector anlegen. Der gilt dann nur für die Remote-IP deiner Sophos (interne IP). Alles andere kannst du dann auf dem dem anderen Connector regeln, aber du brauchst dafür einen anderen Namen und eine andere externe IPadresse. Mit nur einer IP funktioniert dein Konstrukt nicht. Und soweit mir bekannt, kannst du O365 nicht erklären, dass du gern deine Mails per Port 26 zugestellt haben willst. ;)
Beim Exchange 2016 wird ja der vorhandene Connector für SMTP genutzt, dort ist auch "Anonymous" erlaubt was ja dann nicht so gut ist. Deshalb besser einen neuen Connector anlegen der dann auf Port 26 hört und in der Sophos diesen per DNAT umbiegen?
Ich würde für deine Sophos einfach einen eigenen Connector anlegen. Der gilt dann nur für die Remote-IP deiner Sophos (interne IP). Alles andere kannst du dann auf dem dem anderen Connector regeln, aber du brauchst dafür einen anderen Namen und eine andere externe IPadresse. Mit nur einer IP funktioniert dein Konstrukt nicht. Und soweit mir bekannt, kannst du O365 nicht erklären, dass du gern deine Mails per Port 26 zugestellt haben willst. ;)
Ok, Connector lege ich dann an. Mit Port 26? Anderer Name und andere Externe IP habe ich. Und dann per DNAT auf den Exchange und den Dienst auf Port 26 oder? Und im Connector kein "Anonymous" oder?
Ok, Connector lege ich dann an. Mit Port 26?
Wieso denn Port 26? Nimm einfach Port 25 und gut. Und ja das geht weil der RemoteScope auf deine Firewall-interne IP eingeschränkt wird. Doch anonym musst du aktiv lassen, weil sich ja deine Firewall nicht für jede eintrudelnde Mail am Exchange anmelden soll. Einfach nochmal meine Mail oben lesen. Für Exchange <-> O365 regelt das der HCW schon, da musst du nicht viel machen. ;)
Und auch kein DNAT?
Also habe ein Connector mit der Remote-IP von der Sophos angelegt, und die 2. öffentliche IP/Name im HCW angegeben.
Und auch kein DNAT?
Doch, aber doch nicht auf DIESEN neuen Connector sondern auf den alten Default Connector bzw. den den dir der HCW ggf. anlegt.
Also habe ein Connector mit der Remote-IP von der Sophos angelegt, und die 2. öffentliche IP/Name im HCW angegeben.
Das ist falsch. Mal angenommen dein normaler MX zeigt auf "mail.deinedomain.tld" (extern), dann landet der Kram auf deiner Sophos und wird dort verarbeitet und an den Exchange zugestellt. Dort idealerweise auf einem eigenen Receiveconnector (deswegen auf die IP der Sophos - intern eingeschränkt). Für den O365 Connect brauchst du dann einen neuen Namen (auch im Zertifikat afair) und den NATest du dann direkt auf den Exchange (KEIN Extra Connector notwendig, wenn der Default Connector nicht verändert wurde, bzw. wird vom HCW evtl. einer angelegt).
Hallo folgendes funktioniert nicht:
Eigener EmEmpfangsConnector mit Remote IP der Sophos.
Default Frontend Connector Anonymous entzogen.
Meine Externen Mails bekommen ein SMTP 570.
Leider funktioniert das nicht.
Folgendes funktioniert:
HCW mit centralized Mailtransport ausgeführt (2. Externe IP)
Default Frontend Connect mit anonymous
DNAT auf Exchange (Nur O365 Server erlaubt)
Hierbei habe ich aber dann eine Sicherheitslücke das jeder O365 Besitzer meine Mailprotection / DKIM / DMARC umgehen kann.
Hier nochmal mein geplanter Mailflow:
O365 -> 2. externe IP -> DNAT auf Exchange Lokal Default Connector ohne Anonymous (Nur O365 Server erlaubt)
Internet E-Mail -> 1. Externe IP (MX) -> Sophos Mailprotection -> Empfangsconnector (Remote IP interne IP Sophos) mit Anonymous
Dabei bekomme ich folgenden Fehler:
530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM
Hierbei habe ich aber dann eine Sicherheitslücke das jeder O365 Besitzer meine Mailprotection / DKIM / DMARC umgehen kann.
nur bedingt, denn den Connector nutzt "nur" dein Tenant. Darüber kommen "kaum" andere Mails rein, weil du ja dort den Connector zunageln kannst.
Auf welchen Connector stellt denn die Sophos zu?
Normalerweise auf den Default, ich wollte aber als zusätzliche Sicherheit dem Default den "Anonymous" entziehen und dafür den Sophos Connector nur "Anonymous" geben. Damit dann die Sophos diesen Connector nutzt.
Alternative wäre ich lass es so mit dem DNAT und mache die zusätzlichen Transportregeln mit dem Header dazu.
Welcher funktioniert nicht jetzt?
Dieser geplante Mailflow funktioniert nicht:
0365 -> DNAT auf Exchange OnPrem -> Default Frontend Empfangsconector ohne Anonymous
Internet Mail -> MX Eintrag auf Sophos Mailprotection -> Exchange OnPrem -> Sophos Frontend mit Anonymous
Wie? beide gehen nicht?
Vermutlich wirds O365 nicht ohne anonymous dir Mails zustellen können. Ich hätte jetzt auch erwartet, dass da gegenseitige AUthentifizierung möglich ist, aber wenn du sagst du hast den HCW durchgeführt und es geht nicht, wirds schwer. ;)