Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 Exchange , OWA & Active Sync

Hallo zusammen,
ich möchte gerne über meine UTM meine Exchange Dienste OWA ,Active Sync und Outlook Anywhere veröffentlichen.

Welche Einstellungen muss ich den in der UTM - Webserver Protection einstellen ?

Folgenes Szeniario habe ich.

Im Moment läuft noch ein TMG 2010 die ja ersetzt werden soll.
mein OWA läuft unter
https://mail.***x.de/owa

Mein SSL Zertifikat für den Mailserver läuft für

https://mail.***x.de
und 
autodiscover.***x.de

ich möchte wenn ich https://mail.***x.de/owa eingebe mich mti meinen Windows Benutzername (AD Authentifizierung )und Kennwort an OWA anmelden können.

Meine UTM hat die Version: 9.201-23 und ist ein UTM 220

Gibt es da eine Anleitung die funktioniert und sicher ist ?


Vielen Dank


This thread was automatically locked due to age.
  • Hi dahardy und herzlich Willkommen!

    Ja, den gibt es, hast du diesen Link aus der Knowledgebase schon gelesen bzw. gefunden?
    How to configure the UTM firewall for Microsoft Exchange

    Nice greetings
  • Nein den habe ich leider noch nicht gefunden. 

    Gilt der auch für die UTM 9.2 ? oder gibt es da gravierende Änderungen ?

    Vielen Dank
  • @GuyFawkes
    @dahardy

    wo ist in dieser Anleitung eigentlich die Sicherheit / Authentifizierung.
    Wenn ich den Usernamen/Passwort (AD) habe kann ich mich bei EAS oder OWA anmelden ??
    oder wird hier noch mehr überprüft ?
  • Hallo, leider funktioniert der link nicht hat jemand das aktuelle Howto?

    vielen Dank
  • Also mit der aktuellen Anleitung für 9.1 kann es nicht funktionieren.
    Sophos arbeitet an einem Dokument (aktuell nur als Draft Version).

    Aber mit Franks Artikel kommst du hier vielleicht weiter:
    http://www.frankysweb.de/exchange-2013-sophos-utm-9-2-waf-als-reverse-proxy-fr-outlook-anywhere-owa-activesync-und-autodiscover/

    Nice greetings
  • Hallo!

    Ich habe nach dem oben verlinkten HowTo von Sophos für die UTM 9.2 (bei uns 9.205-12) OWA und EAS zum Laufen bekommen, ging anhand der sehr schön detaillierten Anleitung eigentlich alles ganz einfach (Outlook Anywhere & Co sind bei uns aktuell kein Thema, daher kein Bezug zu diesen Funktionen).

    Einzig den Punkt "HTTP Policy" musste ich im Firewall-Profil "Exchange - All other Services" abweichend von der o.g. Anleitung deaktivieren, da sonst EAS nicht funktioniert hat (OWA schon).

    Kann das jemand erklären und/oder ist jemand ebenfalls so verfahren, um die Sache ans Laufen zu bringen? Oder habe ich da bei mir irgendeine Besonderheit?

    Danke im Voraus!

    TJ
  • Hallo

    ich habe soeben deinen Beitrag gelesen Und: Habe genau wie Du ActiveSync erst zum Laufen gebracht, nachdem ich auch den Haken HTTP Policy im Firewall Profil "All other Exchange Services" deaktiviert habe (also herausgenommen habe)

    Ab diesem Punkt konnte ich auf meinem iPhone mit Version 7.1X jedes Exchange Postfach ohne Fehlermeldungen (Mails abrufen nicht möglich) abrufen, hammer :-)

    Die Frage stellt sich: 
    => Was bewirkt sicherheitstechnisch diese Policy genau > HTTP Policy
    => oder anders herum gefragt: Ist die Sicherheit elementar gefährdet, wenn nun dieser Hacken nicht mehr gesetzt ist, damit via Microsoft-ActiveSync überhaupt Mails abgerufen werden können?!

    P.S.
    via WLAN intern (im gleichen Netz) konnte ich auch mit aktivierten Hacken "HTTP Policy" die Mails abrufen, aber wie soeben erwähnt, von extern (also zum Beispiel via Mobile Netz) NICHT!

    Nette Grüsse aus der Schweiz

    cheers
    André
  • Hi!

    Dank für Dein Reply!

    Schön zu wissen, dass es auch andernorts (nur) so klappt wie bei mir.

    Die Frage, die Du Dir stellst, stelle ich mir allerdings genau so. Ohne genau zu wissen was dahintersteckt, habe ich den Haken nur sehr ungern entfernt. Aber es muss eben laufen.

    Andererseits: Vorher hatte ich EAS nur hinter einer DNat-Regel, da ist der jetzige Status Quo sicher eine Verbesserung.

    Nichts desto trotz: Wenn jemand eine Antwort auf unsere Frage hat:  Ich bin sehr interessiert!

    Zu Deinem PS:
    Wenn Du EAS von innen nutzt, kommt doch die WAF nach meinem Verständnis gar nicht zum Zug. WAF steht, so wie ich es verstehe, nur zwischen Deinem Mobile-Device und Deinem Exchange, wenn Du wirklich von außen kommst. Insofern sind bei einem internen Zugriff die Haken in der WAF nicht von Bedeutung, denke ich?!

    VG

    TJ
  • Hallo zusammen,

    was genau meint ihr mit HTTP Policy deaktivieren? Ich habe ActiveSync mit der höchst möglichen Sicherheit inkl. Rigid Filtering konfiguriert und das funktioniert einwandfrei. Allerdings habe ich einige Dinge anders konfiguriert als in dem Blogartikel beschrieben. 

    Bei den Ausnahmen muss lediglich ein relativer Pfad rein. Der lautet "/Microsoft-Server-ActiveSync*". Wenn man die Rigid Filterung nutzt muss man ein paar Regeln über "Skip Filter Rules" ausnehmen. Welche Regeln hier ausgenommen werden müssen ist von den mobilen Geräten abhängig.

    Um das heraus zu bekommen muss man den WAF log beobachten während man ActiveSync testet. Dort sieht man dann die entsprechenden IDs die Probleme verursachen.

    Ich habe bei den "Threat Filter Categories" alle Schutzmechanismen eingeschaltet bis auf Protokol Anamolien.

    ActiveSync funktioniert damit bei mir mit der höchst möglichen Sicherheit einwandfrei.

    vg
    mod