Der Aufbau der kleinen Exchange 2016 Organisation für kleine Unternehmen und Testumgebungen ist nun schon recht weit fortgeschritten. Im vierten Teil dieser Artikel Serie dreht es sich um die Sophos UTM. Die Netzwerkkonfiguration sieht wie folgt aus:
Die Fritzbox stellt die Internetverbindung her, an einem LAN Port der Fritzbox ist der WAN Port der UTM (VM) angeschlossen. An dem LAN Port der UTM hängt wiederum ein Switch an dem die Server angeschlossen sind. Auf Netzwerk- und VM Ebene lässt sich das wunderbar via VLANs lösen, oder aber eben durch entsprechend viele Netzwerkkarten.
Ich habe die UTM als VM installiert, 2 CPUs, 4 GB RAM und eine HDD mit 60 GB reichen hier vollkommen aus.
Installation
Wie ich erwähnt hatte, habe ich die Sophos UTM bereits installiert, der Vollständigkeit halber, hier ein paar Screenshots von der Installation und der Konfiguration die bereits vorgenommen wurde:
Internes Netz: 172.16.100.254/24
Interessanter Weise fand der Setup Wizard bei mir die zweite Netzwerkkarte für das externe Netzwerk nicht mehr. Während der Installation wurde das Interface noch angezeigt. Ich habe den Schritt also einfach übersprungen und die Konfiguration nachgeholt. Hier also die entsprechenden Einstellungen des Setup Wizard aus meiner Testumgebung:
Wie oben erwähnt, fand der Setup Wizard die zweite Netzwerkkarte nicht, eth1 wurde allerdings nach dem Anmelden korrekt angezeigt, also habe ich es als externen Interface konfiguriert:
Jetzt sind beide Netzwerkkarten entsprechend konfiguriert. eth1 hängt an der Fritzbox, eth0 im gleichen Netzwerk wie der DC und Exchange Server:
Da ich die Internetverbindung manuell eingerichtet hatte, muss ich auch eine Masquerading Regel anlegen:
Weiter geht es mit dem Versenden von Mails.
E-Mail Versand
Der Exchange Sendeconnector wurde ja bereits in Teil 3 angelegt. Mittels des Sendeconnectors leitet Exchange Mails an externe Empfänger an die UTM weiter. Die UTM soll nun die Mails an den Strato Mail Server übergeben, Strato wird also ebenfalls als Smarthost benutzt, da sonst Probleme mit AntiSpam Gateways in Verbindung mit einer Dynamischen IP auftreten.
Um Strato als Smarthost zu benutzen, wird ein Postfach benötigt, hier eignet sich das Catch-All Postfach. Das Catch-All Postfach muss noch bei Strato angelegt werden, dies erfolgt über das Strato Kundencenter:
Wichtig: Haken bei „Postfach empfängt alle E-Mails an undefinierte Adressen…“ setzen. Passwort und E-Mail Adresse merken.
Das war schon alles, weiter geht es bei der UTM.
Um den Versand zu ermöglichen, muss die E-Mail Protection der UTM aktiviert werden:
Unter dem Reiter Relaying wird nun der Exchange Server in der Kategorie „Host-based Relay“ eingetragen:
Es sollte jetzt so aussehen:
Exchange darf nun E-Mails via Sophos UTM relayen, es fehlt nur noch die Konfiguration von Strato als Smarthost. Unter dem Reiter „Advanced“ findet sich ganz unten der Punkt „Smarthost Settings“:
Hier wird nun der SMTP Server von Strato eingetragen:
Da Strato Anmeldeinformationen verlangt, werden noch E-Mail Adresse und Passwort des Catch-All Postfachs angegeben:
Das Versenden von Mails ist fertig, weiter geht es mit dem Empfang von Mails.
E-Mail Empfang
Das Thema Empfang ist schon etwas komplizierter, zumindest wenn man es so macht wie ich. Daher eine kleine Erklärung.
Die UTM bringt einen recht ausgewachsenen SPAM Filter mit, der für kleine Umgebungen und Testumgebung super ist. Für den Versand nutzen wir bereits das Feature, genannt E-Mail Protection. Für den Empfang können wir mit einem Trick auch den Spamfilter nutzen. Aufgrund der dynamischen IP haben wir keine andere Möglichkeit, als die Mails via POP3 von Strato aus dem Catch-All Postfach abzuholen, natürlich ist der Abruf der Mails via POP3 am SMTP Spamfilter „vorbei“, da hier ein anderes Protokoll benutzt wird, eben POP3 anstatt SMTP.
Zwar bietet die UTM auch einen POP3 Proxy, allerdings finde ich den POP3 Proxy nicht sonderlich gut umgesetzt. Zum Beispiel werden 2 getrennte Quarantänen erstellt, eine für SMTP, eine für POP3. Auch eine Quarantäne Mail Benachrichtigung lässt sich nicht aktivieren. Es gibt also 2 Möglichkeiten: Entweder POP3 Connector auf dem Exchange Server installieren und Mails direkt an den Exchange Server per SMTP weiterleiten, oder POP3 Connector irgendwo installieren (kann eine kleine VM sein, oder auch der Exchange Server selbst) und die Mails wieder an die UTM weiterleiten. Die UTM leitet nach ihren SPAM Checks (jetzt ist das Protokoll SMTP), wieder an den Exchange weiter. Die zweite Variante ist war „von hinten durch die Brust ins Auge“, aber jetzt lässt sich auch der SPAM-Filter der UTM nutzen.
Konfiguration der „Von hinten durch die Brust ins Auge“-Variante
Als wird ein Benutzer für das Active Directory benötigt, damit die UTM die validen Empfänger verifizieren kann, ein Standard Benutzer Konto reicht, nur das Kennwort sollte besser nicht ablaufen:
In diesem Fall ist es das Konto „SophosUTM“, benötigen wir jetzt den Distinguished Name, am schnellsten kommen wir per PowerShell an den DN:
Get-ADUser SophosUTM | fl name,DistinguishedName
An der Sophos UTM wird nun unter „Definitions & Users“ ein neuer Authentication Server vom Typ „Active Directory“ angelegt:
Als Server wird der Domain Controller angegeben, als „Bind DN“ wird der Distinguished Name des vorhin erstellten Benutzers mit dem entsprechenden Benutzerpasswort angegeben. Der Test sollte jetzt erfolgreich sein.
Jetzt kann in der E-Mail Protection die Domain angegeben werden und das Routing an den Exchange Server. Die Empfängervalidierung erfolgt über das Active Directory:
Weiter geht es mit dem POP Connector
Einrichtung POP Connector
Jetzt wird noch ein POP3 Connector benötigt. Ich habe in der Vergangenheit gute Erfahrungen mit POPcon von Servolutions gemacht. POPcon kostet 79 EUR, es gibt allerdings auch kostenlose POP Connectoren wie zum Beispiel POP Collector.
Zunächst einmal das Beipiel mit POPCon von Servolutions. Die Installation ist selbsterklärend. Nach der Installation, wird auf „Server konfigurieren“ geklickt und auf dem ersten Reiter eine Postmaster Adresse angegeben:
Auf dem Reiter „POP3/IMAP“ kann das Catch-All Konto konfiguriert werden:
Beim Typ ist auf POP3-SSL / TSL zu achten. Der Strato POP3 Server heißt pop3.strato.de. Benutzername und Kennwort entspricht dem Catch-All Postfach, welches weiter oben angelegt wurde.
Auf dem Reiter „Exchange“ wird nun nicht der Exchange Server angegeben, sondern die IP oder der Hostname der UTM, so lässt sich der SPAM-Filter Teil der UTM nutzen:
Wer nicht die „Von hinten durch die Brust ins Auge“-Methode nutzen will, kann hier natürlich auch einfach die IP oder Hostnamen des Exchange Servers eintragen. Zum Schluss noch auf dem Reiter „Zeitplanung“ einen entsprechenden Wert für den Abruf eintragen:
Nachdem das POP3 Konto angelegt wurde, muss noch die E-Mail Domain angegeben werden:
Der Download der Mails, wenn vorhanden sollte nun funktionieren:
Zusammenfassung
Senden und Empfangen von Mails funktioniert schon und auch die Verbindung mit Outlook aus dem internen Netz funktioniert. Damit Outlook Anywhere, Active Sync und OWA funktionieren ist allerdings noch etwas Arbeit nötig.
Hallo Frank,
wenn ich mir deine Beträge lese, echt Klasse geschrieben.
Leider bin ich bezüglich der Leitung ein wenig irritiert.
Frage1: Hast du mehr als 1 DSL-Ltg bei dir laufen oder wie kannst du franksweb.de und franksweb.org parallel laufen lassen?
Frage2: Netzwerkkonfiguration. Hier verstehe ich leider nicht wirklich wie du geschaltet /konfiguriert hast. „An dem LAN Port der UTM hängt wiederum ein Switch an dem die Server angeschlossen sind.“ Soweit ich mich erinnere ist Sophos UTM, DC & Exchange VM als VM installiert, auf dem gleichen Host. Mit „interner VSwitch“ verbunden?
Viele Grüße
Markus
Hallo Markus,
zu 1) Ich habe nur eine DSL Leitung, die beiden Domains (unterschiedliche Exchange Organisationen (Prod/Test) werden an der UTM WAF entsprechend der Hostnames zu den jeweiligen Umgebungen geleitet.
zu 2) Richtig, UTM und alle weiteres Systeme sind VMs. Der Hypervisor ist ein ESX Server, die Trennung der Netze erfolgt durch VLANs bzw. auch durch vSwitches. An der UTM kommen sind für Exchange beispielsweise 3 Netze konfiguriert: WAN, LAN, VMs. LAN und WAN sind VLAN Interfaces. VMs ist eine NIC mit Verbindung zu einem vSwitch welcher keinen Uplink hat. Die VMs sind also nicht direkt erreichbar sondern nur via Routing oder WAF der UTM.
Das Netzwerkdesign / VLAN Design ist da aber flexibel und lässt sich ja entsprechend anpassen.
Gruß,
Frank
Hallo Frank,
danke für deine schnelle Antwort.
zu 1) Das finde ich sehr interessant und würde da gerne mehr wissen. Ich würde es gerne auch so Aufbau , damit vorher Testen kann bevor es in die „Produktion“ geht. So könne man viele Problem vorher ausmerzen ;) :)
zu 2) Okay, mit einem ESX-Server kann ich leider nicht dienen. Ich habe es da eher mit mehr physische Server umzusetzen , sprich mehr Hardware Server & Firewall in der Praxis, WM nicht ausgeschlossen :)
Viele Grüße
Markus
Hallo Frank,
ich lese mit Begeisterung deinen Blog, da ich in der Situation bin, für einen kleinen Handwerksbetrieb (Brandmeldeanlagen, Sicherheitstechnik usw.) mit 25 Angestellten genau eine solche Umgebung aufsetzen zu müssen. Leider ist das Thema Digitalisierung in der Vergangenheit etwas stiefmütterlich behandelt worden.
Aber wir jetzt die Chance, alles richtig zu machen, denn wir müssen alles „from scratch“ aufsetzen.
Meine Config ist ähnlich nur statt der Fritzbox haben wir einen Bintec Elmeg be IP plus angeschafft. Ein gebrauchter HP ML350 2 CPUs mit 128GB Ram, XEN Hypervisor ist die Maschine auf der wir die Umgebung hosten. Als Storage können wir ein großes bereits vorhandenes Synology NAS anbinden. Strato ist der Domain Hoster.
Aufgrund mangelnder Kenntnisse habe ich mich in den letzten Wochen eingelesen und ein bisschen rumprobiert.
Beim Exchange bin ich an den Zertifikaten gescheitert, das lets-encrypt skript tat nicht und irgendwie hab ich’s geschafft die Installation so zu zerschießen, dass ich nun alles neu aufsetzten werde (sind noch keine User drauf).
Natürlich hab ich vergessen vor den entsprechenden Schritten Snapshots zu machen.
Ein paar Verständisfragen habe ich:
Die Bintec bringt an und für sich schon eine Firewall mit. Sollte man Sophos für zusätzlichen Schutz einziehen oder kann man darauf verzichten? Br
Wenn ich die MX Einträge gesetzt habe, kann man dann weiterhin das WebMail Frontend von Strato benutzen?
Gruß Holger
Hat sich erledigt, habe deinen anderen Beitrag dazu gefunden ;)
Gruß
Eric
Hallo Frank,
kann man nicht bei Strato einen MX-Eintrag setzen und die Mails direkt zustellen?
Dann kann man auch auf der Sophos problemlos die E-Mail Protection für eingehende Mails nutzen.
Gruß
Eric
Um an den Smarthost verschlüsselt zu versenden kann man bei Strato den Port 587 verwenden und bei der UTM eingeben.
„Bitte beachten Sie: Bei der Verwendung als Smarthost (Relay), bspw. über Exchange 2003, verwenden Sie bitte die Standardauthentifizierung per TLS (STARTTLS) über den Port 587 (alternativ Port 25). Zur Authentifizierung verwenden Sie bitte wie gewohnt Ihre E-Mailadresse sowie das dazu gehörige E-Mailpasswort.“ (https://www.strato.de/faq/article/118)
Gruß Klaus
Hallo Frank,
danke für den Tipp. Hat super funktioniert :)
Gruß
Steffen
Hallo Frank,
ich hatte zuvor meinen Exchange ohne der UTM im Betrieb. Dank deiner guten Beschreibung läuft aktuell fast alles problemlos :) Einzig der Versand an extern gehostete Email-Empfänger der gleichen Domain funktioniert nun nicht mehr, da der Sende/Empfangsconnector über die UTM läuft. Unter Nachrichtenfluss –> Aktzeptierte Domänen –> habe ich bereits den Domänentyp auf Internes Relay umgestellt damit Nachrichten welche kein Exchangepostfach haben nach extern verschickt werden. Jedoch schickt die UTM, wie in deiner Anleitung beschrieben, die Email wieder zurück zum Exchange-Server – Endlosschleife bis die max. Anzahl der Hops erreicht ist dann schläft die Zustellung natürlich fehl.
Gibt es hier noch eine Möglichkeit etwas auf UTM anzupassen?
Gruß
Steffen
Hi Steffen,
du könntest folgendes testen: Erstelle einen neuen Sendeconnector mit der deiner Zieldomain und lass die Mails direkt an den Zielmailserver zustellen (ohne über die UTM zu senden). Das dürfte das Problem umgehen.
Gruß, Frank
Hallo Frank
Es lag an der Netzwerkkarte, diese hatte Probleme. Einmal raus geworfen neu gestartet und neu hinzugefügt und alles läuft bestens
Danke
Marc
Hallo Frank,
Ich habe, mit Ausnahme von Strato, die identische Umgebung.
Ich habe mich an deine tolle Anleitung gehalten, jedoch macht mir die UTM einen Strich durch die Rechnung. Popcon meldet immer: Keine Verbindung zum POP3/IMAP Host .pop3.xxxx.com auf Port 995 möglich.
Auf der Firewall gibt es die Regel „Internal Network“ > „alle Materialdienste“ > „any“, diese beinhaltet pop3ssl mit Port 995. Zusätzlich habe ich es mit der Super Firewallregel any >any> any test weise versucht. Keine Änderung.
Hänge ich den Exchange & PopconServer Server vor die Firewall, geht es, somit kann ich hier Virenscanner, Windows Firewall etc ausschließen
Hi Marc,
ist auf deiner UTM der POP Proxy aktiviert?
Gruß, Frank
Wenn doch alles so einfach wäre.
Ich habe die Daten für das relay eingetragen. wenn ich aus Outlook nun eine testmail absende, dann erhalte ich die Info, das die UTM die mail ablehnt. Kein relay möglich.
Gibt es noch etwas zu beachten?
Info: Ich habe die Zertifikate noch nicht eingespielt und auch den Empfang noch nicht eingerichtet. Da aber die UTM ablehnt, gehe ich davon aus, dass es hier schon nicht richtig ist.
Habe ich einen Denkfehler?
Danke und Grüße
Hi Martin,
du kannst dem Exchange Server an der UTM Mail Protection entsprechende Relay Rechte (Host Based Relay) geben.
Gruß, Frank
Frank,
habe ich nach Deiner Anleitung gemacht.
Ich habe den Fehler nun nach einem Tag gefunden. Recht simpel :-/
In der UTM habe ich den Host für das relay zuerst klein geschrieben. Mein Exchange hat aber
Großbuchstaben. Daher hat er es nicht angenommen.
Nach der Namensänderung gab es keine Fehlermeldung bzgl. Relay.
Also wieder ein Schritt weiter. Die Mail kann zwar noch nicht zugestellt werden, aber das ist dann der nächste Schritt.
1000 Dank für Deine mühen.
Grüße
Hallo Frank,
ich habe ein Verständnisproblem zum „Catch all“ Postfach.
Meine Frage: Ist dieses Postfach bzw. dessen Funktion überhaupt notwendig?
Mein Provider bietet dies nicht an. Catch all soll doch alle nicht zustellbaren Mails sammeln du einer definierten Person zustellen. Du beschreibst den Zweck dieses Postfaches aber für die Mail Weiterleitung an die UTM und dann an Strato. Hab ich da einen Denkfehler?
Danke und Grüße
Hi Martin,
nein, ein Catch All Postfach ist nicht zwingend notwendig. Du kannst auch einzelne Postfächer bei deinem Provider anlegen und sie per POP3 abholen. Ein Postfach (für das Senden der Mails) muss allerdings Relay Rechte haben.
Gruß, Frank
Hallo Jürgen,
hast du das Problem lösen können?
Ich habe den gleichen Fehler.
Gruß Björn
hi frank,
habe nun Rdns abgeschaltet und bekomme auch diesbezüglich keinen Fehler mehr .
wenn nun die mail vom Popcon an die utm geleitet wird kommt.
550 adress not present in directory .
der user existiert und kann senden. der Sophos user in der utm hat den verbindungsfest erfolgreich abgeschlossen.
was kann ich noch checken?
gruss
juergen
hi frank,
danke für diese Anleitung. habe es nur folgende frage:
wenn ich die mails vom Popcorn an die utm leite, sagt das log des Popcorn :
550 : no RDNS entry for 192.168.10.11 (SRV-EX)
was kann ich tun ?
Jürgen
Bei der aktuellen UTM Home Edition sind bei mir alle relevanten Funktionen ausgegraut und nicht verfügbar. Die freie Version der Sophos Firewall XG ist so gewöhnungsbedürftig im WebUI, das ich diese erstmal aussen vor lasse.
hast du hier die kostenlose „UTM Home Edition“ benutzt? Hat diese den vollen Funktionsumfang wie die kostenpflichtigen Appliances?
Hi,
ich nutze in dieser Testumgebung nur die Demo. Meine private Umgebung läuft mit der Home Edition. Der Funktionsumfang ist der gleiche wie die Full Guard Option, es gibt lediglich ein paar Einschränkungen, soweit ich mich richtig erinnere: max. 50 interne IPs und diverse Anpassungen am Layout lassen sich nicht ändern. Die Features sind aber alle Verfügbar.
Gruß, Frank