Aufbau einer kleinen Exchange 2016 Organisation (Teil 4)

Der Aufbau der kleinen Exchange 2016 Organisation für kleine Unternehmen und Testumgebungen ist nun schon recht weit fortgeschritten. Im vierten Teil dieser Artikel Serie dreht es sich um die Sophos UTM. Die Netzwerkkonfiguration sieht wie folgt aus:

utm

Die Fritzbox stellt die Internetverbindung her, an einem LAN Port der Fritzbox ist der WAN Port der UTM (VM) angeschlossen. An dem LAN Port der UTM hängt wiederum ein Switch an dem die Server angeschlossen sind. Auf Netzwerk- und VM Ebene lässt sich das wunderbar via VLANs lösen, oder aber eben durch entsprechend viele Netzwerkkarten.

Ich habe die UTM als VM installiert, 2 CPUs, 4 GB RAM und eine HDD mit 60 GB reichen hier vollkommen aus.

Installation

Wie ich erwähnt hatte, habe ich die Sophos UTM bereits installiert, der Vollständigkeit halber, hier ein paar Screenshots von der Installation und der Konfiguration die bereits vorgenommen wurde:

image

Internes Netz: 172.16.100.254/24

image

Interessanter Weise fand der Setup Wizard bei mir die zweite Netzwerkkarte für das externe Netzwerk nicht mehr. Während der Installation wurde das Interface noch angezeigt. Ich habe den Schritt also einfach übersprungen und die Konfiguration nachgeholt. Hier also die entsprechenden Einstellungen des Setup Wizard aus meiner Testumgebung:

image

image

image

image

image

Wie oben erwähnt, fand der Setup Wizard die zweite Netzwerkkarte nicht, eth1 wurde allerdings nach dem Anmelden korrekt angezeigt, also habe ich es als externen Interface konfiguriert:

image

Jetzt sind beide Netzwerkkarten entsprechend konfiguriert. eth1 hängt an der Fritzbox, eth0 im gleichen Netzwerk wie der DC und Exchange Server:

image

Da ich die Internetverbindung manuell eingerichtet hatte, muss ich auch eine Masquerading Regel anlegen:

image

Weiter geht es mit dem Versenden von Mails.

E-Mail Versand

Der Exchange Sendeconnector wurde ja bereits in Teil 3 angelegt. Mittels des Sendeconnectors leitet Exchange Mails an externe Empfänger an die UTM weiter. Die UTM soll nun die Mails an den Strato Mail Server übergeben, Strato wird also ebenfalls als Smarthost benutzt, da sonst Probleme mit AntiSpam Gateways in Verbindung mit einer Dynamischen IP auftreten.

Um Strato als Smarthost zu benutzen, wird ein Postfach benötigt, hier eignet sich das Catch-All Postfach. Das Catch-All Postfach muss noch bei Strato angelegt werden, dies erfolgt über das Strato Kundencenter:

image

Wichtig: Haken bei „Postfach empfängt alle E-Mails an undefinierte Adressen…“ setzen. Passwort und E-Mail Adresse merken.

Das war schon alles, weiter geht es bei der UTM.

Um den Versand zu ermöglichen, muss die E-Mail Protection der UTM aktiviert werden:

image

Unter dem Reiter Relaying wird nun der Exchange Server in der Kategorie „Host-based Relay“ eingetragen:

image

Es sollte jetzt so aussehen:

image

Exchange darf nun E-Mails via Sophos UTM relayen, es fehlt nur noch die Konfiguration von Strato als Smarthost. Unter dem Reiter „Advanced“ findet sich ganz unten der Punkt „Smarthost Settings“:

image

Hier wird nun der SMTP Server von Strato eingetragen:

image

Da Strato Anmeldeinformationen verlangt, werden noch E-Mail Adresse und Passwort des Catch-All Postfachs angegeben:

image

Das Versenden von Mails ist fertig, weiter geht es mit dem Empfang von Mails.

E-Mail Empfang

Das Thema Empfang ist schon etwas komplizierter, zumindest wenn man es so macht wie ich. Daher eine kleine Erklärung.

Die UTM bringt einen recht ausgewachsenen SPAM Filter mit, der für kleine Umgebungen und Testumgebung super ist. Für den Versand nutzen wir bereits das Feature, genannt E-Mail Protection. Für den Empfang können wir mit einem Trick auch den Spamfilter nutzen. Aufgrund der dynamischen IP haben wir keine andere Möglichkeit, als die Mails via POP3 von Strato aus dem Catch-All Postfach abzuholen, natürlich ist der Abruf der Mails via POP3 am SMTP Spamfilter „vorbei“, da hier ein anderes Protokoll benutzt wird, eben POP3 anstatt SMTP.

Zwar bietet die UTM auch einen POP3 Proxy, allerdings finde ich den POP3 Proxy nicht sonderlich gut umgesetzt. Zum Beispiel werden 2 getrennte Quarantänen erstellt, eine für SMTP, eine für POP3. Auch eine Quarantäne Mail Benachrichtigung lässt sich nicht aktivieren. Es gibt also 2 Möglichkeiten: Entweder POP3 Connector auf dem Exchange Server installieren und Mails direkt an den Exchange Server per SMTP weiterleiten, oder POP3 Connector irgendwo installieren (kann eine kleine VM sein, oder auch der Exchange Server selbst) und die Mails wieder an die UTM weiterleiten. Die UTM leitet nach ihren SPAM Checks (jetzt ist das Protokoll SMTP), wieder an den Exchange weiter. Die zweite Variante ist war „von hinten durch die Brust ins Auge“, aber jetzt lässt sich auch der SPAM-Filter der UTM nutzen.

Konfiguration der „Von hinten durch die Brust ins Auge“-Variante

Als wird ein Benutzer für das Active Directory benötigt, damit die UTM die validen Empfänger verifizieren kann, ein Standard Benutzer Konto reicht, nur das Kennwort sollte besser nicht ablaufen:

image

In diesem Fall ist es das Konto „SophosUTM“, benötigen wir jetzt den Distinguished Name, am schnellsten kommen wir per PowerShell an den DN:

Get-ADUser SophosUTM | fl name,DistinguishedName

image

An der Sophos UTM wird nun unter „Definitions & Users“ ein neuer Authentication Server vom Typ „Active Directory“ angelegt:

image

Als Server wird der Domain Controller angegeben, als „Bind DN“ wird der Distinguished Name des vorhin erstellten Benutzers mit dem entsprechenden Benutzerpasswort angegeben. Der Test sollte jetzt erfolgreich sein.

image

Jetzt kann in der E-Mail Protection die Domain angegeben werden und das Routing an den Exchange Server. Die Empfängervalidierung erfolgt über das Active Directory:

image

Weiter geht es mit dem POP Connector

Einrichtung POP Connector

Jetzt wird noch ein POP3 Connector benötigt. Ich habe in der Vergangenheit gute Erfahrungen mit POPcon von Servolutions gemacht. POPcon kostet 79 EUR, es gibt allerdings auch kostenlose POP Connectoren wie zum Beispiel POP Collector.

Zunächst einmal das Beipiel mit POPCon von Servolutions. Die Installation ist selbsterklärend. Nach der Installation, wird auf „Server konfigurieren“ geklickt und auf dem ersten Reiter eine Postmaster Adresse angegeben:

image

Auf dem Reiter „POP3/IMAP“ kann das Catch-All Konto konfiguriert werden:

image

Beim Typ ist auf POP3-SSL / TSL zu achten. Der Strato POP3 Server heißt pop3.strato.de. Benutzername und Kennwort entspricht dem Catch-All Postfach, welches weiter oben angelegt wurde.

image

Auf dem Reiter „Exchange“ wird nun nicht der Exchange Server angegeben, sondern die IP oder der Hostname der UTM, so lässt sich der SPAM-Filter Teil der UTM nutzen:

image

Wer nicht die „Von hinten durch die Brust ins Auge“-Methode nutzen will, kann hier natürlich auch einfach die IP oder Hostnamen des Exchange Servers eintragen. Zum Schluss noch auf dem Reiter „Zeitplanung“ einen entsprechenden Wert für den Abruf eintragen:

image

Nachdem das POP3 Konto angelegt wurde, muss noch die E-Mail Domain angegeben werden:

image

Der Download der Mails, wenn vorhanden sollte nun funktionieren:

image

Zusammenfassung

Senden und Empfangen von Mails funktioniert schon und auch die Verbindung mit Outlook aus dem internen Netz funktioniert. Damit Outlook Anywhere, Active Sync und OWA funktionieren ist allerdings noch etwas Arbeit nötig.

Organisation

image

21 Kommentare zu “Aufbau einer kleinen Exchange 2016 Organisation (Teil 4)”

  1. hast du hier die kostenlose „UTM Home Edition“ benutzt? Hat diese den vollen Funktionsumfang wie die kostenpflichtigen Appliances?

    1. Hi,
      ich nutze in dieser Testumgebung nur die Demo. Meine private Umgebung läuft mit der Home Edition. Der Funktionsumfang ist der gleiche wie die Full Guard Option, es gibt lediglich ein paar Einschränkungen, soweit ich mich richtig erinnere: max. 50 interne IPs und diverse Anpassungen am Layout lassen sich nicht ändern. Die Features sind aber alle Verfügbar.
      Gruß, Frank

  2. Bei der aktuellen UTM Home Edition sind bei mir alle relevanten Funktionen ausgegraut und nicht verfügbar. Die freie Version der Sophos Firewall XG ist so gewöhnungsbedürftig im WebUI, das ich diese erstmal aussen vor lasse.

  3. hi frank,

    danke für diese Anleitung. habe es nur folgende frage:

    wenn ich die mails vom Popcorn an die utm leite, sagt das log des Popcorn :

    550 : no RDNS entry for 192.168.10.11 (SRV-EX)

    was kann ich tun ?

    Jürgen

  4. hi frank,
    habe nun Rdns abgeschaltet und bekomme auch diesbezüglich keinen Fehler mehr .
    wenn nun die mail vom Popcon an die utm geleitet wird kommt.
    550 adress not present in directory .

    der user existiert und kann senden. der Sophos user in der utm hat den verbindungsfest erfolgreich abgeschlossen.

    was kann ich noch checken?

    gruss
    juergen

  5. Hallo Frank,

    ich habe ein Verständnisproblem zum „Catch all“ Postfach.
    Meine Frage: Ist dieses Postfach bzw. dessen Funktion überhaupt notwendig?
    Mein Provider bietet dies nicht an. Catch all soll doch alle nicht zustellbaren Mails sammeln du einer definierten Person zustellen. Du beschreibst den Zweck dieses Postfaches aber für die Mail Weiterleitung an die UTM und dann an Strato. Hab ich da einen Denkfehler?

    Danke und Grüße

    1. Hi Martin,
      nein, ein Catch All Postfach ist nicht zwingend notwendig. Du kannst auch einzelne Postfächer bei deinem Provider anlegen und sie per POP3 abholen. Ein Postfach (für das Senden der Mails) muss allerdings Relay Rechte haben.

      Gruß, Frank

  6. Wenn doch alles so einfach wäre.

    Ich habe die Daten für das relay eingetragen. wenn ich aus Outlook nun eine testmail absende, dann erhalte ich die Info, das die UTM die mail ablehnt. Kein relay möglich.
    Gibt es noch etwas zu beachten?

    Info: Ich habe die Zertifikate noch nicht eingespielt und auch den Empfang noch nicht eingerichtet. Da aber die UTM ablehnt, gehe ich davon aus, dass es hier schon nicht richtig ist.
    Habe ich einen Denkfehler?

    Danke und Grüße

      1. Frank,

        habe ich nach Deiner Anleitung gemacht.
        Ich habe den Fehler nun nach einem Tag gefunden. Recht simpel :-/
        In der UTM habe ich den Host für das relay zuerst klein geschrieben. Mein Exchange hat aber
        Großbuchstaben. Daher hat er es nicht angenommen.
        Nach der Namensänderung gab es keine Fehlermeldung bzgl. Relay.
        Also wieder ein Schritt weiter. Die Mail kann zwar noch nicht zugestellt werden, aber das ist dann der nächste Schritt.
        1000 Dank für Deine mühen.

        Grüße

  7. Hallo Frank,
    Ich habe, mit Ausnahme von Strato, die identische Umgebung.
    Ich habe mich an deine tolle Anleitung gehalten, jedoch macht mir die UTM einen Strich durch die Rechnung. Popcon meldet immer: Keine Verbindung zum POP3/IMAP Host .pop3.xxxx.com auf Port 995 möglich.
    Auf der Firewall gibt es die Regel „Internal Network“ > „alle Materialdienste“ > „any“, diese beinhaltet pop3ssl mit Port 995. Zusätzlich habe ich es mit der Super Firewallregel any >any> any test weise versucht. Keine Änderung.
    Hänge ich den Exchange & PopconServer Server vor die Firewall, geht es, somit kann ich hier Virenscanner, Windows Firewall etc ausschließen

  8. Hallo Frank
    Es lag an der Netzwerkkarte, diese hatte Probleme. Einmal raus geworfen neu gestartet und neu hinzugefügt und alles läuft bestens
    Danke
    Marc

  9. Hallo Frank,
    ich hatte zuvor meinen Exchange ohne der UTM im Betrieb. Dank deiner guten Beschreibung läuft aktuell fast alles problemlos :) Einzig der Versand an extern gehostete Email-Empfänger der gleichen Domain funktioniert nun nicht mehr, da der Sende/Empfangsconnector über die UTM läuft. Unter Nachrichtenfluss –> Aktzeptierte Domänen –> habe ich bereits den Domänentyp auf Internes Relay umgestellt damit Nachrichten welche kein Exchangepostfach haben nach extern verschickt werden. Jedoch schickt die UTM, wie in deiner Anleitung beschrieben, die Email wieder zurück zum Exchange-Server – Endlosschleife bis die max. Anzahl der Hops erreicht ist dann schläft die Zustellung natürlich fehl.
    Gibt es hier noch eine Möglichkeit etwas auf UTM anzupassen?
    Gruß
    Steffen

    1. Hi Steffen,
      du könntest folgendes testen: Erstelle einen neuen Sendeconnector mit der deiner Zieldomain und lass die Mails direkt an den Zielmailserver zustellen (ohne über die UTM zu senden). Das dürfte das Problem umgehen.
      Gruß, Frank

  10. Um an den Smarthost verschlüsselt zu versenden kann man bei Strato den Port 587 verwenden und bei der UTM eingeben.

    „Bitte beachten Sie: Bei der Verwendung als Smarthost (Relay), bspw. über Exchange 2003, verwenden Sie bitte die Standardauthentifizierung per TLS (STARTTLS) über den Port 587 (alternativ Port 25). Zur Authentifizierung verwenden Sie bitte wie gewohnt Ihre E-Mailadresse sowie das dazu gehörige E-Mailpasswort.“ (https://www.strato.de/faq/article/118)

    Gruß Klaus

  11. Hallo Frank,

    kann man nicht bei Strato einen MX-Eintrag setzen und die Mails direkt zustellen?
    Dann kann man auch auf der Sophos problemlos die E-Mail Protection für eingehende Mails nutzen.

    Gruß
    Eric

  12. Hallo Frank,
    ich lese mit Begeisterung deinen Blog, da ich in der Situation bin, für einen kleinen Handwerksbetrieb (Brandmeldeanlagen, Sicherheitstechnik usw.) mit 25 Angestellten genau eine solche Umgebung aufsetzen zu müssen. Leider ist das Thema Digitalisierung in der Vergangenheit etwas stiefmütterlich behandelt worden.
    Aber wir jetzt die Chance, alles richtig zu machen, denn wir müssen alles „from scratch“ aufsetzen.
    Meine Config ist ähnlich nur statt der Fritzbox haben wir einen Bintec Elmeg be IP plus angeschafft. Ein gebrauchter HP ML350 2 CPUs mit 128GB Ram, XEN Hypervisor ist die Maschine auf der wir die Umgebung hosten. Als Storage können wir ein großes bereits vorhandenes Synology NAS anbinden. Strato ist der Domain Hoster.
    Aufgrund mangelnder Kenntnisse habe ich mich in den letzten Wochen eingelesen und ein bisschen rumprobiert.
    Beim Exchange bin ich an den Zertifikaten gescheitert, das lets-encrypt skript tat nicht und irgendwie hab ich’s geschafft die Installation so zu zerschießen, dass ich nun alles neu aufsetzten werde (sind noch keine User drauf).
    Natürlich hab ich vergessen vor den entsprechenden Schritten Snapshots zu machen.
    Ein paar Verständisfragen habe ich:

    Die Bintec bringt an und für sich schon eine Firewall mit. Sollte man Sophos für zusätzlichen Schutz einziehen oder kann man darauf verzichten? Br
    Wenn ich die MX Einträge gesetzt habe, kann man dann weiterhin das WebMail Frontend von Strato benutzen?

    Gruß Holger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.