Email Protection SMTP Profile - Multidomain
Die Sophos UTM Email Protection kann im SMTP Profile
für verschiedene Mail-Domänen als MX und
Smarthost konfiguriert werden und die eingehenden Emails für jede Maildomäne an einen anderen Exchange Server routen.
So können die hervorragenden AntiSpam Features des Sophos UTM wie
RBLs (Realtime blackhole lists)
SPF check
Greylisting etc.
für viele Email-Domains gleichzeitig genutzt werden und das zu einem relativ günstigen Preis (Lizenz mit wenige IP Adressen reicht aus)
Folgende Szenarien sind möglich:
Eine Sophos UTM im RZ und
- Exchange ebenfalls im RZ zusammen mit einem DC (gleiche DMZ), die Clienten und anderen Server sind direkt oder über einen Site to Site VPN Tunnel angebunden (neise.de)
- Exchange im RZ, DC, Clienten und andere Server sind über einen Site to Site VPN Tunnel angebunden (KundenDomain1.de)
- Exchange, DC, Clienten und andere Server sind über einen Site to Site VPN Tunnel angebunden, nur die UTM/der MX ist im RZ (KundenDomain2.de)
.
Bei allen Maildomänen wird der gleiche MX eingetragen, die UTM "trennt" die eingehenden Mails und routet diese an den richtigen Exchange Server.
Zusätzlich wird über die WAF (Webserver Protection/Web Application Firewall) OWA und Outlook Anywhere/Active Sync veröffentlicht (nicht mit auf der Zeichnung).
.
Einrichtung in der Sophos UTM
Benötigt wird eine feste IP, eine UTM mit mindestens 3 Netzwerkkaten und für jede Domain (KundenDomainXX.de ) ein gültiges Wildcard Zertifikat (ca. 14€/Monat).
Vorher den Site to Site VPN Tunnel aufbauen
.
Definitions & Users -> Network Definitions |Network Definitions| "+New network definition..." anlegen aller RGW (RemoteGateWay) und NR (Network Remote) und Server:
Das über Site to Site angebundene Netzwerk des Kunden:
.
Der Exchange Server des Kunden (angebunden über Site to Site oder in der DMZ)
.
Interfaces & Routing -> Interfaces |Interfaces| "+New interface..."
Das DMZ Netzwerk für den Exchange KundenDomain1.de
.
Das Interface für die VLAN getaggte DMZ darf nicht das Internal oder das WAN Interface sein, die UTM muss also mindestens 3 Netzwerkkarten haben.
.
.
Alle Kunden müssen mit einem Interface/eigener DMZ angelegt werden, auch wenn keine Server des Kunden im RZ stehen. Ein Site to Site Tunnel benötigt immer mindestens ein Netzwerk auf beiden Seiten und aus sicherheitstechnischen Gründen sollte jedem Kunden ein eigenes Netzwerk/DMZ erstellt werden:
.
VLAN ID und Netzwerk IP Kreise vergebe ich immer nach diesem Schema:
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt |
||||||
---|---|---|---|---|---|---|
Beispiel | VLAN | Beispiel IPv6 /64 Subnet | - | |||
x | 10.10.x.XXX | XXXX | 10.0.125.0/24 | 0125 | 2001:4hh0:fbd5:0125: :/64 | es geht nur 0 und 4 (bis 4095) |
1 | 172.016.XXX | 1XXX | 172.16.040.0/24 | 1040 | 2001:4hh0:fbd5:1040:: /64 | eigentlich Class B, hier immer Class C |
2 | 192.168.XXX | 2XXX | 192.168.140.0/24 | 2140 | 2001:4hh0:fbd5:2140:: /64 |
.
.
Das gleiche VLAN und die DMZ werden jetzt im ESXi angelegt:
Im vSphere Client den ESXi anwählen, dann den Reiter |Konfiguration| -> Netzwerk und die Eigenschaften des vSphere Standard-Switch öffnen:
Mit 'Hinzufügen' - "Virtuelle Maschine" (Ein benanntes Netzwerk zur Verarbeitung von Netzwerkdatenverkehr der virtuellen Maschine hinzufügen) -> Weiter
.
.
'Portgruppeneigenschaften'
Netzwerkbezeichnung: 1055-Kunden1 (VLAN und Name immer analog der Bezeichnung in der UTM)
VLAN-ID: '1055'
.
.
Wenn jetzt eine VM neu installiert (oder importiert) wird, wird dem Exchange Server des Kunden1 eine Netzwerkkarte mit genau diesem Interface zugeordnet:
.
Der Site to Site Tunnel Aufbau wird in diesem Artikel beschrieben.
.
SMTP Profil Mode
Jetzt wird der Profil Mode in der Sophos UTM konfiguriert, folgende Anmerkung zum SMTP Profile Mode steht im Sophos UTM Manual:
Encrypted emails whose sender address includes a domain name configured here cannot be decrypted when using the email encryption/decryption engine of Sophos UTM. Therefore, no profile should be added for external email Domains.
Email Protection -> SMTP |Global| Configuration Mode 'Profil Mode' wählen'
Danach kann unter
Email Protection -> SMTP Profiles 'New Profile...' eine neue Email -Domain anlegen und die Zuweisung zu dem jeweiligen Exchange machen:
Die Domain wird selbstverständlich ohne www. hinterlegt.
.
.
Recipient Verification 'In Active Directory' funktioniert auch, dazu sollte man
DNS und
Authentication Servers einrichten (Die UTM kann nur Mitglied einer Domäne sein, also SSO Teil nicht durchführen)
Die Base DNS muss dann auf den jeweiligen DC zeigen.
.
.
Unter
Email Protection -> SMTP |Relaying| "Host-based relay" 'Allowed hosts/networks' wird der Exchange des Kunden 1 hinzugefügt, sonst ist das Senden nicht möglich.
.
.
Wie der Exchange Mail versendet, an welchen Smarthost etc kann man in diesem Artikel nachlesen, als IP muss natürlich immer die jeweilige Interface IP der DMZ des Kunden hinterlegt werden, die IPv6 Adresse in dem Artikel kann man ignorieren.
.
Jetzt kann der MX Eintrag des Kunden1 auf die Subdomain der UTM geändert werden (in diesem Beispiel utm.neise.de), wie das am besten durchzuführen ist, kann hier nachgelesen werden:
Eigener MX -Mailexchange- & Smarthost mit fester IP
.
.
Man sollte unbedingt einen SPF für die Domain KundenDomain1.de setzten und zwar gleich dem MX Eintrag, siehe auch:
SPF – MX & Sender Policy Framework
.
OWA mit Webserver Protection - Web Application Firewall
Für Outlook Anywhere, OWA, Active Sync und Autodiscover wird eine eigene Subdomain benötigt, dazu muss im DNS des Kunden (bzw. im DNS des Providers der Website) diese eingetragen werden mit der festen IP der Sophos UTM, also z.B.
mail.Kundendomain1.de mit der IP 92.50.88.102 und
autodiscover.Kundendomain1.de mit der IP 92.50.88.102
.
.
Unter
Webserver Protection -> Web Application Firewall |Real Webservers| "+New Real Webserver" den Exchange anlegen
.
.
Dann unter
Webserver Protection -> Web Application Firewall |Firewall Profiles| "+New Firewall Profile" mit dem Namen 'Outlook Anywhere' anlegen
.
.
Dann unter
Webserver Protection -> Web Application Firewall |Virtual Webservers| "New Virtual Webserver" anlegen:
Name: Exchange-Kunde1
Interaface: Excternal (WAN)
Type: Encrypted (HTTPS)
Port: 443
Certificate: WildCard Kunde1 (unbedingt ein valides SSL Zertifikat erwerben)
Domains:
mail.KundenDomain1.de
autodiscover.KundenDomain1.de
Firewall Profil: Outlook Anywhere
Advanced:
Aus: Disable Compression Support
An: Rewrite HTML
An: Rewrite cookies
An: Pass Host Header
Speichern und den Status an 'enable' setzten
Danach sollte alles so weit funktionieren und alle Mails laufen in der Sophos UTM auf und werden je nach Domain dem jeweiligen Exchange zugestellt.
Münster AD 2014