Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 1385 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ergänzung zur (offizellen) Exchange WAF Konfiguration von Sophos

JustAnotherUser

Hallo zusammen,

hier es gibt einen tollen Sophos Artikel zur Konfiguration der Web Application Firewall (WAF) für den Microsoft Exchange Server.

Wenn man die WAF danach konfiguriert, dann klappt das auch alles wunderbar für Exchange 2013, 2016 und 2019.
Einzig die RPC Anfragen funktionieren nicht.

Das lässt sich sehr leicht mit dem Microsoft Remote Connectivity Analyzer nachprüfen.
(Anmeldung, ActiveSync, MAPI erfolgreich - RPC schlägt fehl)

 

Ich habe die Logs der WAF geprüft und gesehen, dass hier auf das Verzeichnis '/Rpc/*' zugegriffen werden soll.
Hierfür gibt es aber laut Anleitung keine Ausnahme.

Diese muss man einfach entsprechend hinzufügen.

Also einfach komplett an die Anleitung halten aber die Pfade im letzten Punkt 'Create Outlook Anywhere exceptions' um den Pfad '/Rpc/*' erweitern.
Pfade sind dann:

  • /rpc/*
  • /RPC/*
  • /Rpc/*
  • /mapi/*
  • /MAPI/*

Nun klappt die RPC Verbindung bereits.
Nur zur Sicherheit analog dazu als Ergänzung des Firewall-Profils 'Exchange 2016 Webservices profile' noch die Einstieg-URL '/Rpc' hinzufügen.
Einstieg-URLs sind dann:

  • /
  • /ecp
  • /ECP
  • /rpc
  • /RPC
  • /Rpc
  • /mapi
  • /MAPI
  • /Microsoft-Server-ActiveSync
  • /ews
  • /EWS
  • /oab
  • /OAB
  • /owa
  • /OWA

Danach läuft jeder Test des Microsoft Remote Connectivity Analyzer einwandfrei durch.

Dies nur als kurze Info.
Vielleicht hilft das ja jemandem bei der Konfiguration.

(Sophos UTM v9.705-3, MS Exchange 2013, 2016, 2019)

Viele Grüße



This thread was automatically locked due to age.
  • 0

    Hallo nochmal,

    als kleine Anmerkung/Erweiterung der oben aufgeführten Ergänzung.

    Wenn man auf dem Exchange Server Let's Encrypt Zertifikate eingebunden hat (siehe zum Beispiel Anleitung von 'Franky Web' Blog) und diese automatisch verlängert werden sollen, muss eine zusätzliche Firewall-Profil Ausnahme erstellt werden:

    1) Neue Ausnahme mit beliebigem Namen erstellen, zum Beispiel 'LE exception'
    2) Auswahl: 'Diese Prüfungen ausnehmen': Statisches URL-Hardening
    3) Für beide Exchange Einträge aktivieren, also 'Exchange Autodiscover' && 'Exchange Webservices'
    4) Für alle Anfragen 'Webanfragen betreffend diesen Pfad': '/.well-known/acme-challenge/*' (OHNE '')
    5) Erstellte Ausnahme aktivieren

    siehe:

    Nun sollte auch die automatische Verlängerung wieder funktionieren.

    Anmerkung: Bei einer Neuerstellung von LE-Zertifikaten kann die Domain-Validierung akutell nur über den Port 80 ablaufen.
    Somit muss zumindest für die Erstellung der Zertifikate sowohl der 'virtuelle Webserver' als auch der 'echte Webserver' in den Einstellungen temporär auf HTTP (Port 80) umgestellt werden, damit eine Erst-Ausstellung des Zertifikats möglich ist; bei der automatischen Verlängerung spielt das aktuell keine Rolle.

    Viele Grüße

Unfiltered HTML