Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 13300 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 and Exchange Server 2010

juve
Hi,

I'm new to Sophos UTM I was using Forefront TMG and now is time to switch..

I'm trying to publish Exchange 2010 web services (OWA, OAB, ECP, EWS, ActiveSync and Outlook Anywhere) following your guide : 

https://sophserv.sophos.com/repo_kb/120454/file/Exchange%20WAF%20How%20to%209%202.pdf

But there is some problems [:S]

First of all 

if I have only one Exchange server I can only have one virtual Web Server in your guide there is 3 virtual web servers and so only one firewall profile
So security is less.. how to resolve this ?

Second bug

Clients with smartphones (like iphones) can't connect

Third bug

LDAP seems to not work from outside 

Do you have a more recent guide or a kb article

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Sorry for your inconvenience...

    In my opinion Sophos UTMs _ARE_ good Products, although I do not know TMG or other Appliances...

    I think you CAN publish your EX-Server with only one virtual Web-Server as you say by a Fusion of the Firewall-Profiles mentioned in the Sophos-How-To.

    And yes, I think you have to make DNS-Records, internal and external ones (=> SpliDNS), to make your certificate work. I did the following:

    DNS at my Internet-Provider where I can make DNS-Entries für my Domain:
    CNAME ex.domain.de => domain.dyndns.org
    CNAME mail.domain.de => domain.dyndns.org
    CNAME autodiscover.domain.de => domain.dyndns.org

    DNS on my own internal DNS-Server
    New Zone "ex.domain.de" pointing to IP of my EX-Server
    News Zone "mail.domain.de" pointing to IP of my UTM
    New Zone "autodiscover.domain.de" pointing to IP of my EX-Server

    And let´s be honest: In my opinion with every Product you have to deal with the "Specialities" of the product, these are Sophos´s....
    If you engange in it you will see, that the Sophos-UTM isn´t that bad as you may think at the moment...

    TJ
Reply
  • 0
    Sorry for your inconvenience...

    In my opinion Sophos UTMs _ARE_ good Products, although I do not know TMG or other Appliances...

    I think you CAN publish your EX-Server with only one virtual Web-Server as you say by a Fusion of the Firewall-Profiles mentioned in the Sophos-How-To.

    And yes, I think you have to make DNS-Records, internal and external ones (=> SpliDNS), to make your certificate work. I did the following:

    DNS at my Internet-Provider where I can make DNS-Entries für my Domain:
    CNAME ex.domain.de => domain.dyndns.org
    CNAME mail.domain.de => domain.dyndns.org
    CNAME autodiscover.domain.de => domain.dyndns.org

    DNS on my own internal DNS-Server
    New Zone "ex.domain.de" pointing to IP of my EX-Server
    News Zone "mail.domain.de" pointing to IP of my UTM
    New Zone "autodiscover.domain.de" pointing to IP of my EX-Server

    And let´s be honest: In my opinion with every Product you have to deal with the "Specialities" of the product, these are Sophos´s....
    If you engange in it you will see, that the Sophos-UTM isn´t that bad as you may think at the moment...

    TJ
Children
  • 0 in reply to TJHooker74
    Thanks for your help

    I come from Forefrong TMG World and rules on firewall were at the same place for email protection, web filtering, publication and so on this was more easy to view graphical traffic rules
    in utm this is confused email should normally use NAT and Firewall but no rules were showed

    sample at this time I don't know the meaning of “960015” and “981203" rules

    for my domain I have a Verisgn certificate for a single host can I use a comodo "Domain Validated Single Certificate" to the two second host names ?
  • 0 in reply to TJHooker74
    That's a guide and thus, the way Sophos advise you to configure the WAF. It is more secure if you use multiple firewall profiles and thereby multiple virtual webservers. And for multiple virtual webservers, you need to have differing host names (if the port and the IP is the same).

    But you can configure it also with only one host name (= one virtual webserver). Then, you have to combine the proposed firewall profiles.

    Edit:
    To get rid of you URL Hardening errors, you have to add an exception for '/Microsoft-Server-ActiveSync*'.
Unfiltered HTML