SMTP Proxy Profile Mode: Ein MX, mehrere Domains und Exchange Server

by

Email Protection SMTP Profile - Multidomain

Die Sophos UTM Email Protection kann im SMTP Profile
für verschiedene Mail-Domänen als MX und

Smarthost konfiguriert werden und die eingehenden Emails für jede Maildomäne an einen anderen Exchange Server routen.

So können die hervorragenden AntiSpam Features des Sophos UTM wie
RBLs (Realtime blackhole lists)
SPF check
Greylisting etc.
für viele Email-Domains gleichzeitig genutzt werden und das zu einem relativ günstigen Preis (Lizenz mit wenige IP Adressen reicht aus)

 

Folgende Szenarien sind möglich:

Eine Sophos UTM im RZ und
- Exchange ebenfalls im RZ zusammen mit einem DC (gleiche DMZ), die Clienten und anderen Server sind direkt oder  über einen Site to Site VPN Tunnel angebunden (neise.de)
- Exchange im RZ, DC,  Clienten und andere Server sind über einen Site to Site VPN Tunnel angebunden (KundenDomain1.de)
- Exchange,  DC,  Clienten und andere Server sind über einen Site to Site VPN Tunnel angebunden, nur die UTM/der MX  ist im RZ  (KundenDomain2.de)

.
Bei allen Maildomänen wird der gleiche MX eingetragen, die UTM "trennt" die eingehenden Mails und routet diese an den richtigen Exchange Server.
Zusätzlich wird über die WAF (Webserver Protection/Web Application Firewall) OWA und Outlook Anywhere/Active Sync veröffentlicht (nicht mit auf der Zeichnung).
.

Sophos UTM MX multi Domain

Einrichtung in der Sophos UTM

Benötigt wird eine feste IP, eine UTM mit mindestens 3 Netzwerkkaten und für jede Domain (KundenDomainXX.de ) ein gültiges Wildcard Zertifikat (ca. 14€/Monat).

Vorher den Site to Site VPN Tunnel aufbauen

.
Definitions & Users -> Network Definitions |Network Definitions| "+New network definition..." anlegen aller RGW (RemoteGateWay) und NR (Network Remote) und Server:

Das über Site to Site angebundene Netzwerk des Kunden:Sophos UTM MX RGW DynDNS

.

Der Exchange Server des Kunden (angebunden über Site to Site oder in der DMZ)

Sophos UTM Server Exchange DMZ

 

.
Interfaces & Routing -> Interfaces |Interfaces| "+New interface..."

Das DMZ Netzwerk für den Exchange KundenDomain1.de

Sophos UTM Network DMZ

.
Das Interface für die VLAN getaggte DMZ darf nicht das  Internal oder das WAN Interface sein, die UTM muss also mindestens 3 Netzwerkkarten haben.
.
.

Alle Kunden müssen mit einem Interface/eigener DMZ angelegt werden, auch wenn keine Server des Kunden im RZ stehen. Ein Site to Site Tunnel benötigt immer mindestens ein Netzwerk auf beiden Seiten und aus sicherheitstechnischen Gründen sollte jedem Kunden ein eigenes Netzwerk/DMZ erstellt werden:
Sophos UTM Network DMZ all

 

.
VLAN ID und Netzwerk IP Kreise vergebe ich immer nach diesem Schema:

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

 

.
.
Das gleiche VLAN und die DMZ werden jetzt im ESXi angelegt:
Im vSphere Client den ESXi anwählen, dann den Reiter |Konfiguration| -> Netzwerk und die Eigenschaften des vSphere Standard-Switch öffnen:

vSphere Client ESXi Konfiguration Netzwerk Eigenschaften vSphere Standard-Switch

 Mit 'Hinzufügen' - "Virtuelle Maschine" (Ein benanntes Netzwerk zur Verarbeitung von Netzwerkdatenverkehr der virtuellen Maschine hinzufügen) -> Weiter

.
.

'Portgruppeneigenschaften'
Netzwerkbezeichnung: 1055-Kunden1 (VLAN und Name immer analog der Bezeichnung in der UTM)
VLAN-ID: '1055'
vSphere Client ESXi Konfiguration Netzwerk neu

 

.
.
Wenn jetzt eine VM neu installiert (oder importiert) wird, wird dem Exchange Server des Kunden1 eine Netzwerkkarte mit genau diesem Interface zugeordnet:

Neue virtuelle Maschine erstellen DMZ VLAN

 

.
Der Site to Site Tunnel Aufbau wird in diesem Artikel beschrieben.
.

 

SMTP Profil Mode

 

Jetzt wird der Profil Mode in der Sophos UTM konfiguriert, folgende Anmerkung zum SMTP Profile Mode steht im Sophos UTM Manual:

Encrypted emails whose sender address includes a domain name configured here cannot be decrypted when using the email encryption/decryption engine of Sophos UTM. Therefore, no profile should be added for external email Domains.

 

Email Protection -> SMTP |Global| Configuration Mode 'Profil Mode' wählen'

Danach kann unter
Email Protection -> SMTP Profiles 'New Profile...' eine neue Email -Domain anlegen und die Zuweisung  zu dem jeweiligen Exchange machen:

Sophos UTM SMTP Profil Mode

Die Domain wird selbstverständlich ohne www. hinterlegt.

.
.

Recipient Verification 'In Active Directory' funktioniert auch, dazu sollte man
DNS und
Authentication Servers einrichten (Die UTM kann nur Mitglied einer Domäne sein, also SSO Teil nicht durchführen)
Die Base DNS muss dann auf den jeweiligen DC zeigen.
.
.

 

Unter
Email Protection -> SMTP |Relaying| "Host-based relay" 'Allowed hosts/networks' wird der Exchange des Kunden 1 hinzugefügt, sonst ist das Senden nicht möglich.

Sophos UTM SMTP Profil Mode smtp allow

.
.
Wie der Exchange Mail versendet, an welchen Smarthost etc kann man in diesem Artikel nachlesen, als IP muss natürlich immer die jeweilige Interface IP der DMZ des Kunden hinterlegt werden, die IPv6 Adresse in dem Artikel kann man ignorieren.

.
Jetzt kann der MX Eintrag des Kunden1 auf  die Subdomain der UTM  geändert werden (in diesem Beispiel utm.neise.de), wie das am besten durchzuführen ist, kann hier nachgelesen werden:
Eigener MX -Mailexchange- & Smarthost mit fester IP

.
.
Man sollte unbedingt einen SPF für die Domain  KundenDomain1.de setzten und zwar gleich dem MX Eintrag, siehe auch:
SPF – MX & Sender Policy Framework

.

 

OWA mit Webserver Protection - Web Application Firewall

Für Outlook Anywhere, OWA, Active Sync und  Autodiscover wird eine eigene Subdomain benötigt, dazu muss im DNS des Kunden (bzw. im DNS des Providers der Website) diese eingetragen werden mit der festen IP der Sophos UTM, also z.B.

mail.Kundendomain1.de mit der IP 92.50.88.102 und
autodiscover.Kundendomain1.de mit der IP 92.50.88.102

.
.
Unter
Webserver Protection -> Web Application Firewall |Real Webservers| "+New Real Webserver" den Exchange anlegen

Sophos UTM Webserver Protection Web Application Firewall Real Webservers

.
.
Dann unter
Webserver Protection -> Web Application Firewall |Firewall Profiles| "+New Firewall Profile" mit dem Namen 'Outlook Anywhere' anlegen

Sophos UTM Webserver Protection Web Application Firewall Outlook Anywhere

.
.
Dann unter
Webserver Protection -> Web Application Firewall |Virtual Webservers| "New Virtual Webserver" anlegen:
Name: Exchange-Kunde1
Interaface: Excternal (WAN)
Type: Encrypted (HTTPS)
Port: 443
Certificate: WildCard Kunde1 (unbedingt ein valides SSL Zertifikat erwerben)
Domains:
mail.KundenDomain1.de
autodiscover.KundenDomain1.de
Firewall Profil: Outlook Anywhere

Advanced:
Aus: Disable Compression Support
An: Rewrite HTML
An: Rewrite cookies
An: Pass Host Header
Speichern und den Status an 'enable' setzten

 

Sophos UTM Webserver Protection Web- Application Firewall Outlook Anywhere Exchange

 

Danach sollte alles so weit funktionieren und alle Mails laufen in der Sophos UTM auf und werden je nach Domain dem jeweiligen Exchange zugestellt.

Münster AD 2014