sunny89
Goto Top

Exchange Online Journaling - Firewall Source

Hallo zusammen,

ich habe auf unserem Exchange Online das Journaling aktiviert und die Mails kommen auch auf einem SMTP Server bei uns im Hause an. Das ist aber momentan nur eine Lab Umgebung. Aus Sicherheitsgründen wollen wir natürlich die Firewall konfigurieren die Mails nur von Microsoft Exchange anzunehmen.

Wir haben als Regel auf der FW schon die Source *.microsoft.com / *.outlook365.com / *.outlook.com versucht, aber leider alles ohne Erfolg. Kommt leider nur durch wenn wir Source "Any" einstellen. Haben wir hier einen Denkfehler? Ist die Source jedes mal der Originale sendende Server des Absenders?

Herzliche Grüße
Sunny

Content-ID: 6248911511

Url: https://administrator.de/contentid/6248911511

Ausgedruckt am: 25.11.2024 um 18:11 Uhr

jsysde
jsysde 06.03.2023 um 21:19:06 Uhr
Goto Top
Dani
Dani 06.03.2023 aktualisiert um 21:23:19 Uhr
Goto Top
Moin,
Wir haben als Regel auf der FW schon die Source *.microsoft.com / *.outlook365.com / *.outlook.com versucht, aber leider alles ohne Erfolg
je nach Firewall Modell kannst du nicht einfach Wildcards angeben. Ob das eurer Firewall so (nicht) ist, wissen wir wenn du das Modell/Hersteller nennst.

Unabhängig davon gibt es natürlich eine Übersicht der verwendeten IP-Adressen: Office 365 URLs and IP address ranges. Aber Microsoft wechselt die IP-Adressen/IP-Subnetze wie die Unterhosen.

Kommt leider nur durch wenn wir Source "Any" einstellen. Haben wir hier einen Denkfehler?
Was steht im Log der Firewall? Was steht im Header der E-Mail?


Gruß,
Dani
commodity
commodity 06.03.2023 aktualisiert um 21:22:41 Uhr
Goto Top
Vielleicht hilft das:
+1
Das hätte ich auch noch gesucht. Danke!

Viele Grüße, commodity
mbehrens
mbehrens 06.03.2023 um 21:23:07 Uhr
Goto Top
Zitat von @Sunny89:

ich habe auf unserem Exchange Online das Journaling aktiviert und die Mails kommen auch auf einem SMTP Server bei uns im Hause an. Das ist aber momentan nur eine Lab Umgebung. Aus Sicherheitsgründen wollen wir natürlich die Firewall konfigurieren die Mails nur von Microsoft Exchange anzunehmen.

Wir haben als Regel auf der FW schon die Source *.microsoft.com / *.outlook365.com / *.outlook.com versucht, aber leider alles ohne Erfolg. Kommt leider nur durch wenn wir Source "Any" einstellen. Haben wir hier einen Denkfehler?

Und was bedeutet *.microsoft.com als Quellangabe bei der unbekannten Firewall?

Ist die Source jedes mal der Originale sendende Server des Absenders?

In welchem Sinne? Der sendende Server ist schon ein System von Microsoft.
Sunny89
Sunny89 06.03.2023 um 22:38:21 Uhr
Goto Top
Hallo zusammen,

wir verwenden eine Sophos XGS bei welcher die Wildcards so passen sollten face-smile

Die URL hatte ich auch schon gesichtet. Vor allem der Bereich Exchange Online:

IP und URL zur Freigabe

Aber da hatten wir auch keinen Erfolg.

Viele Grüße
Sunny
LordGurke
LordGurke 06.03.2023 um 22:39:56 Uhr
Goto Top
Ohne Sophos zu kennen, nehme ich an, dass die Firewall keine PTR-Auflösung bei eingehenden Verbindungen macht - das wäre der sichere Performance-Killer und Urquell verschiedenster interessanter Konnektivitätsprobleme.
Ohne PTR-Auflösung weiß die Firewall aber nicht, ob der Traffic von *.outlook.com kommt oder nicht.
mbehrens
mbehrens 06.03.2023 um 23:10:18 Uhr
Goto Top
Zitat von @Sunny89:

wir verwenden eine Sophos XGS bei welcher die Wildcards so passen sollten face-smile

Nein, hier liegt ein Missverständnis vor, was auch die Dokumentation bestätigt.

Kurz zusammengefasst:

  • The wildcard FQDN will be blank at first.
  • As compared to the standard FQDNs, the wildcard FQDN does not use system DNS settings. The wildcard FQDN is updated when a DNS query is made from a host connected to the Sophos XG Firewall.
  • If the query matches the wildcard FQDN, the IP address is added to the table.

Dies kann man sogar über die GUI leicht nachvollziehen.