Da der letzte Artikel zur Sophos UTM Webserver Protection und Exchange nun schon ein paar Tage her ist, hab ich mich entschlossen das Howto zu aktualisieren. Der letzte Artikel bezog sich noch auf die UTM 9.4 und ist jetzt schon knapp 3 Jahre alt. Daher gibt es jetzt einen neuen Artikel mit der UTM in der aktuellen Version 9.6 in Verbindung mit Exchange 2016. Auch das Let’s Encrypt Zertifikat wird benutzt, welches bequem via UTM angefordert und auch erneuert werden kann.
Die im folgenden beschriebenen Einstellungen laufen in meiner Umgebung nun schon lange absolut problemlos. Aktuell werden in meiner Umgebung auch alle internen Verbindung durch die UTM Webserver Protection geroutet, aus dem internen LAN ist der Exchange Server nicht mehr erreichbar.
In diesem Artikel geht es allerdings darum Exchange via Webserver Protection im Internet zu veröffentlichen.
Umgebung (UTM und Exchange)
Die Umgebung ist nahezu unverändert zum oben verlinkten Artikel, hier ein kleiner Überblick:
Exchange Server 2016 CU12 und Sophos UTM 9.601-5 sind die eingesetzten Versionen. Die Exchange URLs lauten intern, sowie extern auf mail.frankysweb.de und es wird Split-Brain DNS eingesetzt.
Let’s Encrypt Zertifikat für die UTM
Das Let’s Encrypt Zertifikat lässt sich über die Zertifikatsverwaltung anfordern.
Da ich für alle Webservices den DNS-Namen mail.frankysweb.de und für Autodiscover den DNS-Namen autodiscover.frankysweb.de verwende, muss ich nur diese Domänen für das Zertifikat konfigurieren:
Hier lassen sich natürlich noch weitere Domänen für andere Dienste konfigurieren.
Hinweis: Die UTM unterstützt kein ACMEv2 und kann daher keine Wildcard Zertifikate anfordern. Die konfigurierten Domänen müssen extern auflösbar sein, interne Domänen (.local / .intern) lassen sich nicht verwenden.
Real Server
Bei den Real Servern (Echte Webserver) kann man wenig falsch machen. Hier wird nur der interne Exchange Server angegeben. Dies kann entweder per IP, oder DNS Namen erfolgen.
Hier einmal meine Einstellungen:
Bei der Angabe des Exchange Servers mittels DNS-Name, muss die UTM natürlich den Namen des Exchange Servers auflösen können.
Die Angabe von mehreren Exchange Servern ist hier übrigens immer noch nicht möglich, wer also mehr als einen Exchange Server betreibt, kann hier die VIP des internen Loadbalancers angeben.
Firewall Profile
Ich habe zwei Firewall Profile für den Exchange Server erstellt, eins für Autodiscover und eins für die restlichen Webservices. Hier zunächst einmal die Einstellungen für das Autodiscover Firewall Profil (2 Screenshots):
Einstiegs-URLs:
/autodiscover /Autodiscover
Filterregeln übergehen:
960015 960911
Hier das zweite Firewall Profil für die restlichen Exchange Webservices (2 Screenshots):
Einstiegs-URLs:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB owa /OWA / /mapi /MAPI /api /API
Filterregeln übergehen:
960010 960015 981204 981176
Bitte darauf achten, dass die restlichen Checkboxen entsprechend gesetzt sind.
Virtual Server
Nachdem die Firewall Profile erstellt wurden, können die virtuellen Webserver angelegt werden. Auch hier gibt es zwei virtuelle Webserver, einen für Autodiscover und einen für den Rest. Hier zunächst der virtuelle Webserver für Autodiscover:
Hier der zweite Webserver für die restlichen Exchange Webservices:
Hinweis: Als Zertifikat wird hier für beide virtuellen Webserver das zuvor erstelle Let’s Encrypt Zertifikat ausgewählt.
Ausnahmen
Damit alle Exchange Features sauber funktionieren, sind noch ein paar Ausnahmen nötig. Ich habe dazu wieder 2 Listen mit Ausnahmen erstellt.
Die erste Ausnahme gilt sowohl für die Exchange Webservices als auch für Exchange Autodiscover:
Pfade:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/* /api/* /API/* /MAPI/* /mapi/* /autodiscover/* /Autodiscover/*
Die zweite Ausnahme ist nur für die Exchange Webservices nötig:
Pfade:
/owa/ev.owa* /OWA/ev.owa*
Dies waren alle notwendigen Einstellungen.
Optional aber empfohlene Einstellungen
Auf der Registerkarte “Erweitert” sollte noch die TLS-Version auf TLS 1.2 gestellt werden:
Falls noch Windows 7 verwendet wird, muss in diesem Fall TLS 1.2 auf dem Clients aktiviert werden. Siehe dazu hier:
Es gibt noch weitere Einstellungen um das SSL Labs Rating zu verbessern, wer mag kann hier also nur noch starke Cipher verwenden und HSTS aktivieren:
Hinweis
Dieses HowTo enthält keine Konfiguration mehr für RPCoverHTTP. Da selbst Outlook 2010 mit entsprechenden Updates das neue Protokoll MAPIoverHTTP unterstützt, ist das alte Protokoll RPCoverHTTP auch nicht mehr erforderlich.