Für Exchange 2010 und Exchange 2013 hatte ich ja hier bereits Artikel für die Sophos UTM Webserver Protection (WAF) veröffentlicht. Da es aber mittlerweile Exchange 2016 veröffentlicht wurde und auch die Sophos UTM in einer aktuelleren Version vorliegt, gibt es an dieser Stelle mal wieder ein Update.
Umgebung (UTM und Exchange)
Exchange Server 2016 CU1 und Sophos UTM 9.400-9 sind die eingesetzten Versionen. Die Exchange URLs lauten intern, sowie extern auf mail.frankysweb.de und es wird Split-Brain DNS eingesetzt.
Als ersten kann das Zertifikat installiert werden. Ich verwende ein Wildcard Zertifikat (*.frankysweb.de). Es funktioniert aber auch, wenn nur die externen Hostnamen auf dem Zertifikat hinterlegt sind (als Beispiel autodiscover.frankysweb.de und mail.frankysweb.de).
Wichtig: Es muss ein SAN-Zertifikat genutzt werden, also ein Zertifikat welches mindestens die beiden externen Namen enthält, es können nicht 2 Zertifikate mit je einem Namen verwendet werden.
Nachdem das Zertifikat installiert wurde, wird der Real Webserver angelegt, hierbei handelt es sich um den Exchange Server der bei mir intern, sowie extern mail.frankysweb.de heißt:
Jetzt müssen die Firewall Profile angelegt werden. In diesem Fall werden zwei Firewall Profile benötigt, eins für Autodiscover und eins für die restlichen Exchange Webservices.
Einstellungen für das Autodiscover Firewall Profile
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Einstellungen Exchange Webservices Firewall Profile
Entry URLs:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB /owa /OWA /rpc /RPC /mapi /Mapi /
Skip Filter Rules:
- 960015
- 981203
- 960010
- 960018
- 981204
- 960032
- 981176
Virtual Webserver
Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:
Hier die Einstellungen für den Autodiscover Virtual Webserver:
Und hier für die restlichen Exchange Webservices:
Ausnahmen
Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt
Autodiscover:
Paths:
/autodiscover/* /Autodiscover/*
OWA Antivirus:
Paths:
/owa/ev.owa* /OWA/ev.owa*
Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)
Paths:
/rpc/* /RPC/* /mapi/* /MAPI/*
Exchange Webservices
Paths:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/*
Fertig.