Mailversand wird über falschen GW versendet

Question

Hallo zusammen, 
 ich habe hinter der SophosFW mit 3 Uplinks einen Mailserver sitzen. 
 Port2: DSL 
 Port3: Kabel (feste IP) 
 Port4: LTE (backup) 
 Die Mails sollen &uuml;ber Port3 versendet werden, werden aber &uuml;ber Port2 versendet. Eingerichtet sind NAT und SD-WAN beschrieben wie in Artikel Set up MTA mode with multiple WAN or alias IP addresses - Sophos Firewall 
 
 Irgendwie verzweifle ich grade an den Einstellung und hoffe einer von euch kann mir einen TIP geben was ich falsch mache. 
 
 Gr&uuml;&szlig;e

Patrick81 · Accepted Answer

Hi Andy ich versuch es nochmal besser Aufzulisten in Form von Bildern und fange auch ganz doof von der Pike an, daher bitte nicht wunder! 
 1. Wir haben das Netzwerkkabel wie in meinem Bespiel mit Port 7 verbunden. Die Erste Feste IP von dem Anschluss wird genau so angelegt wie vom Provider &uuml;bermittelt. In meinem Fall habe ich 5 &Ouml;ffentliche IP-Adressen (mn sieht auf dem Bild nur 4).Also haben wir ein Subnet von 255.255.255.248. Damit ist der Anschluss mit der ersten IP eingerichtet. Die weitern IPs f&uuml;gen wir &uuml;ber die Funktion "Alias" hinzu, hier wird immer 255.255.255.255 verwendet, da wir aus sicht der Sophos einzelne IPs verwenden.

2. HOST und Dienste 
 Hier legen wir alle &ouml;ffentlichen IP-Adressen als IP-Host an. In meinem fall nenne ich das Objekt aus Orientierungsgr&uuml;nden Providername - IP Adresse. 
 
 3.) Routing 
 Erstelle bitte mal eine Regel die so aussieht und schiebe diese ganz umbedingt bis nach GANZ oben. Diese Regel besagt, dass alles von allen Systemen an SMTP und SMTPs &uuml;ber dieses gateway geht (ausgehend)! Das Reicht erstmal es geht erstmal nur um den Mailversand! Hast du nur eine einzige Feste IP, ist diese Einstellung + SNAT und Firewallregel LAN to WAN schon fast ausreichend. Aber wir tuen so als w&auml;ren es mehr als eine! Daher gehts noch weiter. An der stelle sagt erstmal im Prinzip nur ALLES an SMTP/SMTPS geht &uuml;ber dieses gateway! (Pakete in gewissen Richtungen schubsen), Ganuliert wird dies aber erst bei einer SNAT Regel! 
 
 4. 
 Dann erstellst du erstmal eine Firewal Regel die dem Exchange erlaubt online zu gehen, dies kannst du wie gesagt aber auch mit einer Allgemeinen Firewall regel bewirken. Wenn du diese einschr&auml;nken willst erstmal, sieht die ausgehende in etwa so aus.

Nat&uuml;rlich k&ouml;nntest du die Dienste ausgehend auch beschr&auml;nken, auf SMTP/SMTPS, HTTPS, HTTP, DNS etc. aber bis alles l&auml;uft mach die Regel so, oder &uuml;ber eine offene allgemeine bestehende Regel! Diese regel auch ganz nach oben schieben, generell ist zu beachten das alle Server als IP HOST angelegt sind in der Fire damit diese auch auszuw&auml;hlen sind f&uuml;r Freigaben oder Verbote! 
 
 5. 
 SNAT Regel 
 erstelle eine SNAT Regel, hier ist der Moment gekommen wo ausgew&auml;hlt werden kann, mit welcher &ouml;ffentlichen IP der EX raus gehen soll.

Rechts oben unter Originale Quelle, da sichst du die &ouml;ffentliche IP herraus die du zuvor unter hOST und Dienste angelegt hast. 
 Jetzt sendet der Exchange die gew&uuml;nschte IP raus! Aber auch NUR f&uuml;r SMTP dies haben wir zuvor in der DNAT Rule festgelegt! Das heisst wenn du auf ping.eu geht oder www.wieistmeineip.de wird dir im HTTPS Browserfenster unter umst&auml;nden eine andere IP angezeigt, wenn du mehrere Gateways hast. F&uuml;gst du in der SD-WAN regel noch HTTPS hinzu wird dir bei der IP-Abfrage im Browser die angeziegt, die der EX auch f&uuml;r SMTP verwendet. 
 
 6. 
 Eingehende Regel DNAT 
 Jetzt musst du zum mail-empfang auch Port 25 frei geben. 
 
 1. 
 Firewall Regel anlegen. 
 
 2. DNAT Regel

Jetzt h&auml;ttest du den Mail-Empfang ein und ausgehend als Legency f&uuml;r SMTP eingerichtet, wenn du den OWA etc brauchst, muss HTTPS eingehend auch nich in der DNAT regel und in der Firewall regel angegeben werden! 
 
 Ich habe dir gerne diesen Weg geziegt, aber ich muss wirklich drauf hinweisen, BITTE verwende den MTA und nicht den Legency Mode! 
 
 PS:Wer Rechtschreibfehler findet darf diese behalten, war ein lange tag und bin etwas geschlaucht 
 
 LG Patrick

AndiWen · Answer

Erst mal vielen Dank f&uuml;r die Unterst&uuml;tzung. 
 
 Patrick hat mir angeboten, dass wir mal zusammen auf das System schauen und die Einstellungen &uuml;berpr&uuml;fen. Alle Konfigurationen in meine System waren richtig, bis auf EINE. 
 Der Fehler war, ich hatte nicht beachtet, dass ich eine DNAT und eine SNAT Regeln f&uuml;r den Mailversand brauche. 
 Nachdem wir zus&auml;tzlich zu der AUTO MTA DNAT Regel noch die SNAT Regel erstellt hatten, hat der MTA auch die richtigen Routen gew&auml;hlt. 
 
 Noch einmal vielen Dank an Patrick f&uuml;r seine Unterst&uuml;tzung. 
 
 LG an alle

Mailversand wird über falschen GW versendet

Top Replies