UTM 9.2 and Exchange Server 2010

Hi, juve, and welcome to the User BB!

First, this is just that - a users' forum, not a place to have official contact with Sophos.  The only Sophos employees paid to participate here are the developers that often contribute to the beta forums.  If you have a paid subscription, you might want to get Sophos Support involved.

The link you provided is to the most-recent guide.  From the guide:

Exchange contains several web services (Outlook Anywhere, Outlook Web App (OWA), Exchange ActiveSync, Autodiscover, etc) which require different levels of protection and different WAF settings to function correctly. As a result of this, we will configure three separate profiles; One for Outlook Anywhere, one for Autodiscover and one for all other Exchange services.

Since we intend to use different firewall profiles for different Exchange services (as previously discussed) we will need to configure a matching amount of Virtual Webservers to which these profiles should apply.

When you say iPhones can't connect, what do you see in the log file?

Do you mean that you're trying to use reverse authentication with an LDAP server and that it's not working?

Cheers - Bob

Hi!

I use exactly your configuration: One single EX2010-Server an UTM.

You can in deed have several "Virtual Webservers" with only one "Real Webserver".

Sophos thinks of different "Virtual Servers" for different Taks (one for Outlook Anywhere, one for Autodiscover and on for all other services), even if they Point to one Real Webserver.

I had to deactivate "HTTP Policy" in the Firewall-Profile "Exchange - All other Services" for bringing ActiveSync to work.

Maybe you speak german?
https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/62350

TJ

First of all thanks to take time to help a newbie in sophos utm world

I want to publish exchange services to the web

Outlook Anywhere RPC
OWA, OAB, ECP,EWS, Microsoft-Server-ActiveSync and Autodiscover

All roles are on the same physical computer this one has only one computer name and certificate for this unique host name.

I have followed this guide : 
https://sophserv.sophos.com/repo_kb/120454/file/Exchange%20WAF%20How%20to%209%202.pdf

I get and error if I try to start more than one virtual web server item is already used...

So I make only one virtual webserver with minimal security config

I can access to OWA from an internet browser but when connecting with an iPhone the connection fails

the utm log reports :

840] [client 77.128.15.208:49530] No signature found, URI: https://mail.***x.com/Microsoft-Server-ActiveSync?User=d.luis@***x.com&DeviceId=ApplDNQH7YYRDTC0&DeviceType=iPhone&Cmd=FolderSync
2014:09:29-22:44:55 utm-01 reverseproxy: id="0299" srcip="77.128.15.208" localip="212.234.179.***" size="224" user="d.luis@***x.com" host="77.128.15.208" method="POST" statuscode="403" reason="url hardening" extra="No signature found" exceptions="-" time="446689" url="/Microsoft-Server-ActiveSync" server="mail.***x.com" referer="-" cookie="-" set-cookie="-"
2014:09:29-22:45:03 utm-01 reverseproxy: id="0299" srcip="77.128.15.208" localip="212.234.179.***" size="0" user="d.luis@***x.com" host="77.128.15.208" method="OPTIONS" statuscode="200" reason="-" extra="-" exceptions="SkipURLHardening" time="55204" url="/Microsoft-Server-ActiveSync" server="mail.***x.com" referer="-" cookie="-" set-cookie="-"
2014:09:29-22:45:04 utm-01 reverseproxy: [Mon Sep 29 22:45:04.145153 2014] [url_hardening:error] [pid 30455:tid 4038482800] [client 77.128.15.208:49541] No signature found, URI: mail.***x.com/Microsoft-Server-ActiveSync
2014:09:29-22:45:04 utm-01 reverseproxy: id="0299" srcip="77.128.15.208" localip="212.234.179.***" size="224" user="d.luis@***x.com" host="77.128.15.208" method="POST" statuscode="403" reason="url hardening" extra="No signature found" exceptions="-" time="32082" url="/Microsoft-Server-ActiveSync" server="mail.***x.com" referer="-" cookie="-" set-cookie="-"
2014:09:29-22:45:10 utm-01 reverseproxy: [Mon Sep 29 22:45:10.814451 2014] [url_hardening:error] [pid 30455:tid 4038482800] [client 77.128.15.208:49541] No signature found, URI: mail.***x.com/Microsoft-Server-ActiveSync
2014:09:29-22:45:10 utm-01 reverseproxy: id="0299" srcip="77.128.15.208" localip="212.234.179.***" size="224" user="d.luis@***x.com" host="77.128.15.208" method="POST" statuscode="403" reason="url hardening" extra="No signature found" exceptions="-" time="34186" url="/Microsoft-Server-ActiveSync" server="mail.***x.com" referer="-" cookie="-" set-cookie="-" path=/owa/;httponly;secure" 


I have also open a ticket with Premium support but the only response was look at our Best Practice guide 

I pay these guys to have this reponse this is unacceptable!

If I replace Sophos UTM 320 by Microsoft Forefront TMG all functions Work, idem with Fortigate but I want to switch to use an European product


If you can, help by be sending screen copys of you configuration you will save my day.

Thanks a lot

Hi!

First of all I think you need a Certificate with a minimum of three hostnames. 
In my case I use the following:

- mail.domain.de (for virtual Webserver "Exchange All other Services")
- ex.doman.de (for virtual Webserver "Exchange OutlookAnywhere")
- autodiscover.domain.de (for virtual Webserver "Exchange AutoDiscover")

This is the reason why you can´t start your three virtual Webservers at the same time: You can use the same Certificate in multiple virtual Webservers but not the same Hostname. Every virtual Webserver need it´s own Hostname, which can be in one Certificate.

In you case, with one certificate with only one Hostname, you can´t follow the Sophos-Guide but must instead build one virtual Webserver and one Firewall-Profile, which will in my opinion reduce your Security-Level.

I would recommend to first buy a new Certificate with three hostnames (at PSW GROUP - Startseite available for 39€/Year) and then follow the Sophos-Guide, that should work (with the exception of my first post => http-policy).

Also I found a "password Mismatch" in your log, maybe it is that simple?

TJ

Thanks a  lot for your precious help no guys at premium support can give me a valuable response like your.


With Forefront TMG only one SSL certificate is required
With Fortigate only one SSL certificate is required
With Checkpoint  only one SSL certificate is required

Why UTM 9.2 require 3 certificates for the same host this is crazy

I must also make 3 DNS A records, modifiy internal and external urls on exchange console to reflect this and reconfigure my iphone fleet

Can I publish my exchange server with only one virtual web server and make a fusion of all firewall profiles o should I sold my product on ebay ?

I think that i'm gonna switch to another brand of firewall

Thanks a lot again for your help

Sorry for your inconvenience...

In my opinion Sophos UTMs _ARE_ good Products, although I do not know TMG or other Appliances...

I think you CAN publish your EX-Server with only one virtual Web-Server as you say by a Fusion of the Firewall-Profiles mentioned in the Sophos-How-To.

And yes, I think you have to make DNS-Records, internal and external ones (=> SpliDNS), to make your certificate work. I did the following:

DNS at my Internet-Provider where I can make DNS-Entries für my Domain:
CNAME ex.domain.de => domain.dyndns.org
CNAME mail.domain.de => domain.dyndns.org
CNAME autodiscover.domain.de => domain.dyndns.org

DNS on my own internal DNS-Server
New Zone "ex.domain.de" pointing to IP of my EX-Server
News Zone "mail.domain.de" pointing to IP of my UTM
New Zone "autodiscover.domain.de" pointing to IP of my EX-Server

And let´s be honest: In my opinion with every Product you have to deal with the "Specialities" of the product, these are Sophos´s....
If you engange in it you will see, that the Sophos-UTM isn´t that bad as you may think at the moment...

TJ

Thanks for your help

I come from Forefrong TMG World and rules on firewall were at the same place for email protection, web filtering, publication and so on this was more easy to view graphical traffic rules
in utm this is confused email should normally use NAT and Firewall but no rules were showed

sample at this time I don't know the meaning of “960015” and “981203" rules

for my domain I have a Verisgn certificate for a single host can I use a comodo "Domain Validated Single Certificate" to the two second host names ?

That's a guide and thus, the way Sophos advise you to configure the WAF. It is more secure if you use multiple firewall profiles and thereby multiple virtual webservers. And for multiple virtual webservers, you need to have differing host names (if the port and the IP is the same).

But you can configure it also with only one host name (= one virtual webserver). Then, you have to combine the proposed firewall profiles.

Edit:
To get rid of you URL Hardening errors, you have to add an exception for '/Microsoft-Server-ActiveSync*'.

Don´t know comodo certs, but "Single Certificate" sounds like it is only for one hostename? 
But you need two additional hostnames, so I would rather use a Multi-Domain-Cert, available for 39€/Year (PSW / GeoTrust) as mentioned earlier. "Domain Validated" should be OK I think.

To be honest I also don´t know what´s "hiding" behind Rules “960015” and “981203", but I trust Sophos, an when they tell me to disable this rules to get OWA, EAS, etc. to work, I will do so...

Think vice versa: 
For somebody who is used to work with Sophos UTM it may be concerning to have "email protection, web filtering, publication" at one place...  ;-)

TJ

Sophos Support is more "break/fix" rather than for designing a new installation.  Both Sophos and resellers charge separately for those services.

I hope you decide to stay with us as the Sophos is an excellent choice.

Cheers - Bob