Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 4 subscribers
  • Views 1199 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9.705-3: Exchange 2013 OWA aktualisiert sich nicht

Tsukaito

Hallo zusammen,

ich habe einen Exchange 2013 hinter der WAF laufen. Alle Dienste laufen soweit problemlos. Nur beim OWA beobachte ich ein seltsames Phänomen:

Wenn ich mir selbst eine Mail schreibe, dann dauert es über 10 Sekunden, bis diese im Posteingang angezeigt wird (Auch der Zähler wird nicht aktualisiert). Wenn ich den Ordner ab wechsle und wieder zurück in den Posteingang klicke, dann ist die Mail sofort da. 
Wenn ich das gleiche im OWA intern mache, dann ist die Mail innerhalb weniger Sekunden da!

Ich habe als Vorlage zur Konfiguration folgende Einstellungen verwendet:
https://networkguy.de/secure-exchange-webservices-with-sophos-utm-waf/
https://support.sophos.com/support/s/article/KB-000038003?language=en_US

Ich finde ab und zu im Log Einträge mit [avscan:warn] has disconnected. Ich habe auch schon mit den AV-Settings "gespielt" aber ohne Erfolg! 

Das ist jetzt kein riesen Problem aber vielleicht hat noch jemand eine Idee - User nerven! ;-)
Vielen Dank!



This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to the Community! 

    Did you see any errors in reverseproxy logs? Please replicate the issue and share the logs with us.

    Thanks,

  • 0 in reply to FormerMember

    Hi H_Patel,

    thanks for your fast reply.

    I don't want to share my hole reverse proxy log here because I don't know if there are any critical security information inside. But I check the reverse proxy log and two entries are a little bit strange.

    2020:11:18-07:26:54 al-1 httpd[3291]: [security2:error] [pid 3291:tid 4003539824] [client 192.168.9.163:1283] [client 192.168.9.163] ModSecurity: Warning. String match "bytes=0-" at REQUEST_HEADERS:Range. [file "/usr/apache/conf/waf/modsecurity_crs_protocol_violations.conf"] [line "427"] [id "958291"] [rev "2"] [msg "Range: field exists and begins with 0."] [data "bytes=0-"] [severity "WARNING"] [ver "OWASP_CRS/2.2.7"] [maturity "6"] [accuracy "8"] [tag] [hostname "mail.xxxxxxxx.de"] [uri "/owa/prem/15.0.1497.8/resources/sounds/calendar_notify.mp3"] [unique_id "X7S@rkxb82KzFbggPs3PiwAAAA8"], referer: al-mail.xxxxxxxxx.de/.../

    2020:11:18-07:28:15 al-1 httpd[3291]: [avscan:warn] [pid 3291:tid 4104252272] [client 192.168.9.163:1292] [3291] client requesting /owa/ev.owa2 has disconnected, referer: https://al-mail.xxxxxxxxx.de/owa/

    If you need more inforamtion could you tell me, if there any security critical information inside the log?

    Thanks...

  • 0

    Hallo Tsukaito,

    Herzlich willkommen hier in der Community !

    Du sagst, "Wenn ich den Ordner ab wechsle" - was, genauer, hast Du gemacht ?

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo BAlfson,

    vielen Dank für die Antwort. Da waren die Finger wieder schneller als das Auge. :-)

    Wenn ich den Ordner ABER wechsle und wieder zurückgehe, wird der Posteingang gleich angezeigt. Ich muss also etwa 10 - 20 Sekunden warten bis die neue Mail angezeigt wird oder ich muss einen anderen Ordern (z.B. Gesendete Objekte) anklicken und wieder in den Posteingang wechseln, damit ich die neue Mail sehe.

    Ich bin mir nur nicht sicher, welches Firewall Profile oder welche Exclusion in der Sophos hier das Problem macht, dann könnte ich das mal ganz gezielt ausschalten.

    Ich bin für alle Vorschläge offen!

    Vielen Dank!

  • 0 in reply to Tsukaito

    Du hast die ID 958291 in Deinem Log. Wenn Du diese ID mal als Ausnahme mit aufnimmst ändert sich etwas?
    Das wäre jetzt zumindest mein Versuch.

    Beste Grüße 

    Alex 

    -

  • 0 in reply to Tsukaito

    Ich würde zuerst die Idee von Alex probieren. Glück gehabt?

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML