Sophos UTM Email Protection und Office 365…

Diese Anleitung beschäftigt sich mit dem Routing und Relaying von E-Mails mit Exchange Online und Sophos UTM. Grundsätzlich ist die Einrichung der Email Protection in Verbindung mit Office 365 ähnlich, als wenn Ihr einen eigenen Exchange Server hättet, der in Eurem lokalen Netzwerk steht.

Ihr könnt genauso vorgehen, wie ich das in diesem Artikel bereits beschrieben habe: Email Protection für Sophos UTM einrichten. Lediglich das Routing zu und das Relaying von Exchange Online weicht ein bischen ab und wird hier beschrieben.

Letzters ist für diejenigen von Euch interessant, die beispielsweise SPX- und E-Mail Encryption nutzen. Zudem ist es hilfreich, wenn man auch ausgehende E-Mails im Mailmanager und Livelog zurückverfolgen kann.

Ich gehe von einem durchkonfiguriertem Exchange und einem MX-Record aus, der auf Eure UTM zeigt.

Von UTM zu Office365

Zunächst legt Ihr Euch im Exchange Online einen Connector an. Das Übermittlungsszenario lautet von „Partnerorganisation“ zu „Office 365“. Folgt einfach dem Wizard bis an die Stelle, wie die Partnerorganisation identifiziert werden soll. Verwendet IP-Adresse des Absenders und tragt die öffentliche Adresse Eurer UTM ein.

Hangelt Euch danach weiter durch den Assistenten und aktiviert den Connector.

Anschließend geht Ihr ins Admincenter unter Domänen und wählt Eure Domäne aus. Es öffnet sich ein Info-Fenster, wo Ihr den Eintrag „MX 0 @ sult-de0i.mail.protection.outlook.de“ oder so ähnlich entnehmen könnt.

Diesen Eintrag setzt Ihr auf Eurer UTM unter Email Protection -> SMTP -> Routing.

Erstellt dafür einfach ein DNS-Objekt in der Hostliste wie im Schaubild beschrieben. Damit ist dieser Teil bereits abgeschlossen.

Von Office365 zu UTM

Hierfür benötigen wir eine zweiten Connector mit dem Übermittlungsszenario von „Office 365“ zu „Partnerorganisation“. Folgt einfach dem Assistenten. Bei der Verwendungsart wählt Ihr „Nur, wenn E-Mails an diese Domänen gesendet werden“ aus und tragt ein * ein.

An der Stelle, wie die E-Mails weitergeleitet werden sollen, wählt Ihr den Punkt über Smarthost weiterleiten und tragt am besten den DNS-Eintrag ein, auf den Euer MX-Record zeigt.

Abschließend müsst Ihr auf der UTM ein Hostbasiertes Relay konfigurieren. Ein authentifiziertes Relay ist leider nicht möglich :(.

Unter Email Protection -> SMTP -> Relaying legt Ihr dazu eine Netzwerkgruppe mit folgenden Netzen an: 51.4.72.0/24, 51.4.80.0/27, 51.5.72.0/24, 51.5.80.0/27, 40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 104.47.0.0/17. Quelle: docs.microsoft.com.

Somit ist auch dieser Teil abgeschlossen und Eure UTM kann E-Mails von Exchange Online annehmen. Sollte Ihr weitere Fragen haben, hinterlasst einen Kommentar oder schreibt mir eine E-Mail.

Dieser Beitrag hat 5 Kommentare

  1. Jens

    Vielen vielen Dank f.d. tollen Einblicke zu Deiner Arbeit mit der Sophos UTM. Ich selbst setze diese an 4 Standorten ein und brauche oft auch mal Hilfestellung aus dem Netz, bevor ich gleich den Sophos Support kontaktiere ;))

  2. Anonymous

    Das ist genau das, was ich gesucht habe. Danke!

  3. André

    Ganz herzlichen Dank vorab zu den super Ausführungen in deinem Blog!

    Aktuell habe ich hierzu folgende Problemstellung:

    Es gibt einen DSL-Anschluss mit dynamischer IP und daher muss ich bereits (z.B. für die RED Anbindung) mit Dyndns arbeiten. Im Tutorial ist nun beschrieben, dass der Connector zwischen „Partnerorganisation“ und „Office 365“ die Partnerorganisation über die Absender-IP identifiziert. Diese Variante ist ja nun leider aufgrund des tägl. Wechsels nicht möglich. Gibt es hier eine weitere Lösung, außer einen anderen DSL-Anschluss zu bestellen?

    1. Thorsten Sult

      Moin André,

      vielen Dank für Deinen Kommentar. Ich kann von Deinem Vorhaben leider nur abraten. Du brauchst eine fixe Adresse.
      Allgemein ist die Konstellation MX-Record mit dynamischer Adresse nicht ratsam. Zum einen kann der dynamische Name schnell verloren gehen, gerade bei diesen kostenfreien Anbietern. Das wäre mit Dyndns natürlich kein Problem.
      Zum anderen trennen viele Provider die Verbindung kurzzeitig nach 24 Stunden. Nachrichten müssen dann erneut zugesendet werden, die während der Unterbrechung übermittelt wurden. Dann könnte die vorherige öffentliche Adresse nach der Trennung einem anderen Providerkunden zugeordnet sein. Aufgrund von DNS-Caching kann es dann durchaus dazu kommen, dass Emails an einen falschen Mailserver zugestellt werden.
      Aber noch viel gravierender ist der Missstand, dass dynamische, öffentlich Adressen häufig auf Blacklisten zu finden sind. Ändert sich also die eigene öffentliche Adresse täglich, fängt man mit der Distlistingprozedur von vorne an.
      Außerdem verlangen die meisten Mailsysteme einen Reverse DNS-Eintrag auf die IP-Adresse und würden E-Mails dann natürlich ablehnen, wenn die Adresse nicht nach mail.domain.de aufgelöst werden kann.

Schreibe einen Kommentar