Securing OWA (Exchange2010)

Is the system enough protected, when it’s always on an actual patch-level, all user-passwords are strong and the system is protected by the WAF?

The answer is a bit more complex than that, I'm afraid.

You have designed a system with several flaw when it comes to security: you have all your eggs in a single backets. This limits the ways you can protect against attack, detect breaches and limit their scope. Basically, you're either completely secure or fully breached.

That doesn't mean that design isn't good enough for you, though: that depends on several other things that are hard to evaluate from the outside: what is the quality of the periodic inspection you make on your system to detect breached, how often do you patch each part of the system, what is the actual value of the data you have stored in that system, what exactly are the SLA with your users (even if you don't have a formal SLA, you should know thing like how much data you're willing to lose, how long you're willing to give yourself to recover the system if it fails or is breached, etc).

WAF, in that context, provide you with one extra layer of security and that is good: it will limit the ability of attackers to exploit some common programming errors in web-based applications. Now, OWA has a pretty high quality level and, in itself, it probably do not expose you to too much risk so I'm not sure WAF, in this case, adds much security to your setup.

@ Fulgan: Thank You very much for this explicit answer!
Do you know wether I have a chance to restrict the owa-access to those userers who have a client-certificate from the utm?

@ Fulgan: Thank You very much for this explicit answer!
Do you know wether I have a chance to restrict the owa-access to those userers who have a client-certificate from the utm?

You have two ways to do that.

First, on thing straight: you can't do it with the WAF. When it's enabled, it breaks the connection between the client and the server (it acts as a reverse proxy) and it never will have the necessary data to authenticate as the remote user any more.

You have, therefore, two options.

First, you can use the HTML5 VPN portal to prevent access to anyone who doesn't authenticate. The problem here is that, AFAIK, you can't use certificate-based authentication with the astaro user portal.

The second option is to configure OWA for requiring X509 certificate authentication and then create a DNAT rule on the firewall for port 443. See this post for a simple walkthrough: How to enable certificate based authentication on Exchange 2010 | DR.MIRU's Blog (or just google it).

Other gateway packages, like MS's own ISA/Forefront gateway server can authenticate users with X509 certificates against you AD and then forward the login info to OWA in the HTTP headers. That gets you a much tighter integration - and still allow your WAF to work with OWA - but the price tag isn't exactly the same either.

That's all that comes to my mind regarding this. Perhaps someone has a better suggestion.

@fulgan: Thank you so much for your answer! After reading your post, I decided to use the MS Threat-Management-Gateway for the authentication, which will be placed in the DMZ
Thanks a lot and greetings from Bonn, Germany...

Just note that TMG has been discontinued by Microsoft so there will be no new versions or support for new versions of exchange.