none
Sophos (WAF) Pre-Authentication Erfahrung - MAPIBlockOutlookExternalConnectivity eine Lösung?

    Allgemeine Diskussion

  • Hallo zusammen,

     

    wir haben aktuell die Herausforderung unseren externen Zugriff auf die Exchange Umgebung abzuändern.

    Aktuell erfolgt von extern über einen veröffentlichen Namen webmail.domain.de (IP x.x.x.17) und dem folgendem TMG-Server per Regeln, die Weiterleitung/Authentifizierung für OWA, Active Sync und OutlookAnywhere auf unser CAS-Array mit Exchange 2010. Über die Regeln auf dem TMG-Server wird für ActiveSync- sowie OutlookAnywhere jeweils eine AD-Gruppe mit berechtigten Personen abgefragt, was bisher auch gut funktioniert.

     

    Jetzt haben Wir eine weitere öffentliche IP-Adresse webmail2.domain.de (IP x.x.x.18) mit einer Sophos Firewall (WAF) die schon auf unseren internen KEMP LoadBalancer zeigt, der wiederum die Exchange 2016er Server als RealServer führt.

     

     

    Unser externen Dienstleister hat aktuell Probleme das TMG-Regelkonstrukt hier umzusetzen. Genauer gesagt klappt das mit der Nutzung der AD-Gruppe nicht (Auflistung der Mitglieder funktioniert wohl).

     

    Habt Ihr Erfahrung darin ob überhaupt eine Sophos (WAF) für ActiveSync, OutlookAnywhere bzw. MAPIoverHTTP in die Pakete reinschauen kann, um feststellen zu können welcher Benutzer die Anfrage gestellt hat?

    Wir würden ungern für alle unsere Benutzer „OutlookAnywhere / MAPIoverHTTP“ von Extern ermöglichen (Intern ist ja eingeschaltet).

     

    Wir haben auch noch alle Benutzer auf den Exchange 2010 Servern und die Exchange 2016 Server spielen Proxy. Hätte hier „Set-CASMailbox –MAPIBlockOutlookExternalConnectivity $true“ überhaupt eine Wirkung wenn die Clients von Extern kommen? Wir haben für intern und extern unterschiedliche Namen sowie auch auf der KEMP 2 separate vHosts.

     

    MfG Paul




    Dienstag, 19. Juni 2018 13:25

Alle Antworten

  • Moin,

    MAPIBlockOutlookExternalConnectivity ist keine (gute) Lösung. Hier von Ingo Gegenwarth: https://ingogegenwarth.wordpress.com/2017/01/23/why-using-mapiblockoutlookexternalconnectivity-is-a-bad-idea/


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 21. Juni 2018 15:13
  • Hallo Evgenij,

    diesen Artikel hatte ich bei meinen Recherchen auch schon gefunden. Schade das MS hier nicht detailierter darauf eingeht was unterbunden wird, da ja auch MS-Dienste/Produkte darunter sind.

    Wir setzen bei uns aktuell keine MAC-Systeme oder Skype for Business ein und haben auch keine Hybrid Umgebung. Für mich stellen sich nur 2 Fragen:

    1. Wenn die Externe und Interne Verbindung auf ein Postfach (2010er) über Exchange 2016 in seiner Proxyfunktion läuft, würde diese Option wirken?

    2. ist es wirklich so das bspw. eine Sophos mit WAF nicht gegen eine AD-Gruppe den Zugriff auf OutlookAnywhere oder MAPIoverHTTP reglementieren kann. Im Artikel wird dies ja als Alternative aufgezeigt.

    Donnerstag, 21. Juni 2018 16:16
  • Moin,

    ad 1. nach meinem Verständnis, ja.

    ad 2. das würde mich überraschen, aber definitiv kann das nur SOPHOS beantworten. Wichtig ist, dass sowohl die User als auch die Gruppen im Scope der LDAP-Anbindung sind, d.h. unterhalb des Base DN, der dort eingetragen ist.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 21. Juni 2018 16:24
  • Update: MAPIBlockOutlookExternalConnectivity wirkt nach unseren Test nicht auf Exchange 2010 Postfächer auch wenn die Verbindung über die Exchange 2016 Server von Extern kommt.

    Outlook-(Extern) > Sophos > KEMP > Exchange-2016 -Proxy-> Exchange-2010 > Postfach

    Der Exchange 2016 Benutzer konnte sein Postfach von Extern nicht mehr aufrufen aber der 2010er Benutzer dagegen schon.


    • Bearbeitet Lexxitus Freitag, 22. Juni 2018 10:39
    Freitag, 22. Juni 2018 10:35
  • Laut Sophos ist bei denen Exchange 2016 nicht supported. Diese Aussage hat unser Externer von Sophos erhalten - auch nicht schlecht, oder?

    ## Aussage Sophos ##

    Zum einen, möchte ich Sie darauf hinweisen, das Sophos den Einsatz von Exchange 2016 über die WAF nicht offiziell supportet. In folgendem KBA ist die Konfiguration der WAF beschrieben, mit der es in einem Standard Setup funktioniert.

    -----------------------------------------

    Article ID: 131787 Title: Sophos UTM: Web Application Firewall for Exchange 2016 URL: https://sophos.com/kb/131787

    -----------------------------------------

    Freitag, 29. Juni 2018 09:21
  • Hallo,

    ich möchte der vollständigkeithalber anmerken das, obwohl der Gruppenabgleich Richtung AD nicht funktioniert, die Sophos UTM mit der WebServer Protection zumindest als "einfacher" ReverseProxy genutzt werden kann. Die UTM ist dann in der Lage Funktionen, wie URL-Filter, SSL-Decryption, IPS und AV-Scan (z.B. für OWA-Uploads) zu gewährleisten.

    Damit kann man auch Kunden mit kleinerem Geldbeutel mehr Sicherheit bieten, als ihr Wunsch "dann hängen wir den Exchange direkt ans Netz".

    Das Ganze betreiben wir bei mehreren Kunden mit verschiedenen Exchange Versionen (2010, 2013, 2016), nur die Liste der auszuschließenden Filter Rules variiert je nach Virtuellem Webverzeichnis und Exchange Version.


    Grüße Steve (P.S.: War die Antwort hilfreich, dann bitte links und/oder untern markieren.)

    Mittwoch, 11. Juli 2018 22:08
  • Hallo Steve, das mit der Authentifizierung funktioniert ja auch aber nicht für den Einsatz OutlookAnywhere/MAPIoverHTTP. Bei Sophos könnte uns hierfür keine Lösung anbieten. ActiveSync oder OWA klappt dagegen mit AD-Gruppen Anbindung. OutlookAnywhere/MAPIoverHTTP ermöglicht wohl nicht die Erkennung von wem die Anfrage kommt (oder so ähnlich). Kemp kann das wohl für diesem Fall auch nicht.
    • Bearbeitet Lexxitus Donnerstag, 12. Juli 2018 18:49
    Donnerstag, 12. Juli 2018 18:48