Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 4 subscribers
  • Views 1028 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 -> Exchange aus einem öffentlichen Netz nicht erreichbar, aus anderen schon

Chakoe80

Hallo zusammen,

ich habe keine komische Sache:

Ich habe hier hinter einer UTM9 einen Exchange, alles läuft soweit. Der Server ist auch sowohl aus dem internen LAN als auch von ausserhalb ( Outlook oder iPhone-MailApp sowie OWA ) erreichbar.

Ich habe hier aber ein iPad, welches wunderbar mit dem Exchange reden kann, solange es in meinem WLAN ( Telekom ) ist. Sobald es aber auf die interne SIM schaltet ( 1&1-SIM ) , dann kann sowohl

die iPad-Mail-App als auch die Outlook-App nicht mehr mit dem Exchange reden. Ebenso wird der Zugriff auf die OWA-Webseite verboten.

Kann es evtl sein, dass die UTM mich aus bestimmten Netzen ( hier 1&1 ) nicht bis zum Exchange durch lässt ?

Danke vorab für jeden Tipp oder jede Vermutung

Gruß



This thread was automatically locked due to age.
Parents
  • 0

    Ich habe einfach mal ins blaue vermutet und hatte zumindest mal einen Teilerfolg:

    Es war ein Web Application Firewall Profile ( siehe unten) . Sobald ich dort " block clients with bad reputation" auf 0 setze, dann kommt

    das iPad wieder ran. Meine Vermutung scheint also, dass die IP-Netze der 1&1 irgendwo auf Black-Lists gelandet sind ?

    Oder was meint Ihr ?

    • web application firewall protection profile object "Exchange General" (REF_WAFDefaultProfileExchangeGeneral)
      • name (name) = Exchange General
      • web application firewall protection mode (wafmode) = deny
      • pass outlook anywhere switch (outlookanywhere) = 1
      • common threats and attacks filter switch (threats_filter) = 1
      • threats_filter_categories list (threats_filter_categories)
        1. protocol_violations
        2. protocol_anomalies
        3. request_limits
        4. http_policy
        5. bad_robots
        6. generic_attacks
        7. tight_security
        8. trojans
        9. common_exceptions
        10. inbound_blocking
        11. outbound_blocking
        12. correlation
      • filter more rigorously for threats switch (threats_filter_rigid) = 1
      • cookie signing switch (cookiesign) = 0
      • drop unsigned/invalidly signed cookies switch (cookiesign_drop_unsigned) = 1
      • URL hardening switch (urlhardening) = 1
      • URL hardening entry page source (urlhardening_entrypages_source) = manual
      • URL hardening entry page list (urlhardening_entrypages)
        1. /ECP
        2. /EWS
        3. /Microsoft-Server-ActiveSync
        4. /OAB
        5. /OMA
        6. /OWA
        7. /ecp
        8. /ews
        9. /oab
        10. /oma
        11. /owa
      • sitemap url (urlhardening_sitemap_url) = empty value
      • sitemap update interval (urlhardening_sitemap_update) = 0
      • form hardening switch (formhardening) = 0
      • anti-virus scanning switch (av) = 1
      • number of anti-virus engines (av_engines) = double
      • scanning direction (av_directions) = both
      • av block unscannable content switch (av_block_unscannable) = 0
      • scan size limit (av_size_limit) = 20
      • block clients with bad reputation switch (bad_clients) = 0
      • skip remote lookups for bad reputation blocking switch (bad_clients_no_dnslookup) = 0
      • tft switch (tft) = 0
      • tft block unscannable content switch (tft_block_unscannable) = 1
      • blocked MIME types (tft_blocked_mime_types) = empty list
      • comment (comment) = Operating systems: Microsoft Windows Server 2003 – 2012, Exchange versions: Microsoft Exchange 2007 – 2013
      • skip web application firewall rules list (skipwafrules)
        1. 960009
        2. 960010
        3. 960015
        4. 960018
        5. 970004
        6. 970901
        7. 970904
        8. 981200
        9. 981203
        10. 981204
        11. 981205
      • request body size (excluding files) limit (sec_request_body_no_files_limit) = 1048576

    Grüße

  • 0 in reply to Chakoe80

    Du liegst richtig mit deiner Vermutung.

    "block clients with bad reputation" ist die Ursache ;-)

Reply Children
  • 0 in reply to Jonas92

    Aber hinterlasse ich mir damit eine Sicherheitslücke? Muss ich da noch irgendwie was nachbessern ?

    Wie kann es denn sein, dass ein Anbieter wie 1&1 auf so einer "Bad List" landet ? Bei mir ist das Problem eigentlich

    schon ein paar Wochen aktiv und man hat sich mit WLAN beholfen, aber jetzt hat es halt echt genervt, deshalb komm ich

    damit erst jetzt um die Ecke...

    Will sagen:  Fährt dieses Konstrukt niemand, der mit einer 1&1-SIM an einer UTM vorbei zu einem Exchange will?

  • 0 in reply to Chakoe80

    Nun, es kann durchaus vorkommen dass hinter der 1&1-SIM IP-Adresse verschiedene Teilnehmer sind - viele gute - manche schlechte. Somit kann es passieren, das durch einige schlechte Aktionen eben diese 1und1 IP auf einer öffentlichen Blacklist steht - und somit in der Liste Bad Reputation hinterlegt ist.

    Tipp: Arbeite mit dem Countryfilter -> Grundsätzlich alle Länder und Regionen sperren (Ziel: VON) und dann Schnittstellenmäßig mit Whitelisten arbeiten (Portbasiert)

  • 0 in reply to Chakoe80

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I would also let 1+1 know which IPs are on a blacklist.  That should be easy to see in your logs.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML