This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Exchange with Sophos UTM

Hello. 

We had an old ISA Server from Microsoft to publish our Exchangeserver (2007 SP3) and replaced it now with a Sophos UTM 320 (FW 9.106-17). I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. I did the same before with my configuration of the Webserver in the DMZ and I’m glad that a professional looked over it (https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50158). 
Hope that someone can have a look at this one too. Thanks in advance. 

Firewall Profiles

In Firewall Profiles I made a new Profile where mode is set to drop and the only other thing that is enabled is Pass Outlook Anywhere. I’m not sure if this is a best practice or if I can get more security without breaking the services by enabling something other. 
  
Real Webservers

Then I defined a Real Webserver and Type SSL (HTTPS) and Port 443. 

Virtual Webservers

In Virtual Webserver I defined a Server for Exchange, an external Interface, Type SSL (HTTPS), Port 443 and my imported wildcard certificate. In Domains I added the domain names that I need for my Exchange Server and in Real Webservers I enabled my real webserver. For the firewall profile I took my profile for Exchange that I made before. And I enabled Pass Host Header. 

Firewall

In the Firewall I made a rule from any to my Exchangeserver and vice versa for the service SMTP. Is this right even with activated Email Protection? If I understand that right, the SMTP Connection is from External to the utm for Email Protection and from there to the Exchangeserver. But it looks like the rule nevertheless has to be from any to Exchangeserver. 

Email Protection

At the moment I still have Forefront Protection for Exchange but with the change to Sophos utm I also enabled Email Protection. Under Routing I added all domains we have and in the Host list I added my Exchangeserver.   

Intrusion Prevention

I changed nothing in Intrusion Prevention, but since my internal Network is added at the Local networks of Intrusion Prevention I hope all the connections to the Exchange Server are secured by IPS.
 
I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
Parents
  • That looks good, Christian.  Please edit your post to add the exact versions of UTM and Exchange.  You might want to add some ideas from Basic Exchange with SMTP Proxy.

    Are you doing ActiveSync over WAF, or just Outlook Web Access?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • That looks good, Christian.  Please edit your post to add the exact versions of UTM and Exchange.  You might want to add some ideas from Basic Exchange with SMTP Proxy.

    Are you doing ActiveSync over WAF, or just Outlook Web Access?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Thanks again for taking the time to have a look at my configuration. 

    That looks good, Christian.

    I'm not sure, if that also means that my firewall profile is ok. I asked there if I should change something. 
     
    Please edit your post to add the exact versions of UTM and Exchange.

    I added the version of utm (320 FW 9.106-17) and of Exchange (2007 SP3) 
     
    You might want to add some ideas from Basic Exchange with SMTP Proxy.

    Thanks for that helpful post. I changed my Settings according your post so that now even outgoing mails are scanned for spam and viruses.  
     
    Are you doing ActiveSync over WAF, or just Outlook Web Access?

    We're doing Outlook Web Access, ActiveSync and Outlook Anywhere over WAF now. And the deeper I see behind the sophos utm, the more I think it was a good decision to choose sophos. 
     
    Once again I documented the settings in my german blog so that I can find them later, if I need to. Maybe someone other new to sophos can benefit from them also: Exchange über Sophos UTM veröffentlichen | ictschule