Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2143 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405]Question - Exchange 2007 Suggested Setup

JBoslooper
Good Morning!

I need some suggestions or to be pointed into the right direction on how to correctly setup my SMTP Proxy on my Astaro box with my Exchange 2007 environment.

I recently rebuilt our ASG with new hardware and put it into place this morning taking over for our old ASG220 v1. 

I would like to start using the Astaro box to handle the email scanning at the gateway level and then forward on to the server since I am not impressed with the performance of GFI.

Previously with our Astaro I used DNAT to forward SMTP traffic directly to the Exchange server which had GFI and Symantec for mail scanning.  I used SNAT to translate the outgoing SMTP to the Public Ip of the MX record. 

I am running 7.405.  All the emails seem to be flowly correctly for the most part except for a few graylisting issues.  But there are a couple configurations that i'm not quite clear on.


Here is the CURRENT scenario:
1. The Astaro is configured with the MX record Public IP as an additional address.
2. I have an Exchange 2007 box acting as the hub transport server for the company behind the Astaro.
3. The SMTP Routing on the Astaro points to the Exchange box internally.
4. I disabled the DNAT SMTP rule so that incoming emails would go through the Astaro instead of directly to the server.
5. The SNAT rule for outgoing is still in place.
6. I have a hub transport server located at both of our other locations.  These locations are connected by VPN and are in different sites.  One of the locations serves as a backup MX record for INCOMING ONLY.  We don't have an Astaro there as of yet (but plan to) and we are using symantec for spam and virus scanning at that end.
7. All outgoing emails for the entire company are routed through the main location hub transport server. (This was done because we don't have whitelist sychronization capabilities).

Questions:
1. Do I need to remove the SNAT rule and point the Exchange server to the Astaro as a "Smart Host" for outgoing mail?  If so, how do I get the Astaro to translate the outgoing SMTP as the MX record Public IP.

2. Do I need to include the additional hub transport servers in my main Astaro configuration?

Sorry if this is quite a lot of information but I want to make sure this is working as it should before I leave for the weekend and get bombarded with phone calls about email issues.  

Any other suggestions or thoughts from those who are using Exchange 2007 with the Astaro would be MUCH appreciated. [:D]


This thread was automatically locked due to age.
  • 0
    Comments on your scenario:

    1. The "standard" approach is for the MX record to point at an FQDN that resolves to the primary IP of the External interface; we normally assign mail.domain.com.

    3. I assume you mean that you have listed your domain name in 'Domains', and indicated the host definition for your Exchange box in 'Host List' on the 'Routing' tab.  Don't forget to add that host defintion to the list of 'SMTP servers' on the 'Advanced' tab of 'Intrusion Protection'.

    5. (and in respnse to your first question) Rather than SNATting, you should indeed set Exchange to use the Astaro as a smart host.  If you don't make the change I suggested in 1., then you will need to create a different NAT rule: 'External (Address) -> SMTP -> Internet : SNAT from Additional Address' (leave the new service blank).

    6. Perhaps you could elaborate on this.  For example; do you mean that you have, in essence, established a smart host at that location that forwards mail as soon as it can reach the Exchange transport hub in your primary location?

    In response to question #2: Maybe, but the traffic may be unseen by the SMTP Proxy.  I'm not familiar enough with Exchange 2007; is the traffic between hubs SMTP?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for responding Bob.

    Yes, my public MX FQDN is pointing to the external IP of the Astaro for mail.domain.com.  Mail is currently flowing inward and through the proxy.  

    My domain name is listed in the 'Domains' and my internal exchange server is listed in the 'Hosts' field below.  It was also already added to the SMTP servers in IPS.

    As for No. 5, I figured out  this afternoon how to modify the NAT rule to translate outgoing SMTP traffic from the Astaro to come from the Public MX IP for proper Reverse DNS resolving.  That helped things a little bit.

    As for No.6.....with Exchange 07, you are required to have at least 1 hub transport server at each site in AD.  

    These hub transport servers communicate with each other to locate the mailbox for which the email is destined for.  They can be strictly setup for hub to hub (internal)transport or both Internal/External transport.  In our setup, there is a hub transport server at each site as well as a mailbox server.

    We have 2 public MX records:  
    mx1.domain.com - Detroit Office
    mx2.domain.com - San Diego

    If for some reason the MX1 wasn't available, the email would come in through the MX2.  From that point the hub transport server would internally route the email to the nearest hub transport server for the mailbox its trying to reach (through the magic of AD).  The hub transport servers use SMTP to communicate between each other.  

    I hope that explains it a little bit better.  Sorry if it seems abrupt.  I've been up since 4:30 installing this appliance and i'm a bit fried.

    -John
  • 0
    I haven't done this with 2007 yet, but I don't think there's anything you should need to do wih the hubs unless you have selected "transparent mode" on the 'Advanced' tab.  If so, then I suspect you might want to enter them in the transparent mode skiplist and allow SMTP traffic.

    As for the mailbox servers in each location, are they replicating each other or does each just serve a particular subdomain?  I guess I'm asking if these three mailbox servers are a virtual cluster, or ???

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    The three mailbox servers are separate.  Because of thier tie in with Active Directory they have a sense of location awareness.

    I seem to have gotten everything working now.  Here is what I did.

    1. Public MX record is pointing to the Astaro which scans and relays to the internal exchange server.
    2. For outgoing mail, On the Astaro I have allowed the internal exchange server to relay through the Astaro.  On the exchange box, I configured it to route outgoing mail through the smart host (The Astaro) on the way out.  
    3. As for my secondary MX in San Diego, mail currently comes in directly to the server which is processed by a different brand of Virus/Spam scan and relayed to the respective server.  Outgoing comes through the Main Astaro.
    4. On thing I found out in order to make recipient callout work correctly is that with Exchange 2007 you have to install the Anti-Spam agents (not installed by default) and enable ONLY the Recipient Checking in order for the Astaro and Mail server to properly decided who's real and whos not.  Check out this link: Exchange - Filter Out Mail to Non-Existent Users - Exchange 2007 | Amset.info If you don't, you'll have a bunch of non-existent user email with undeliverables waiting to go out in your spool to non-existent domains.  

    It's pretty easy once you've figured that out.  Thanks for your assistance Bob. 

    -John
  • 0
    One more thing....I also turned OFF the transparent mode since all relays go through my main Hub Transport server which then relays out and is allowed through the Astaro. No need for the extra proxy processing.
  • 0 in reply to JBoslooper
    One key item everyone forgets with Exchange 2007 & ASG; if you use the Callout method for recipient verification on the Astaro (the default) make sure you disable "tar-pitting" on your Exchange SMTP servers... M$ has a KB article on how to do that.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Thanks, John and Bruce.  I made a note to come back to this thread the next time I get near Exchange 2007.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner