michifs

Sophos XGS WAF Exchange Umkehrauthentifizierung

Hallo zusammen,

meine Frage richtet sich an die UTM zu XGS Umsteiger.

Ich habe meinen Exchange Server mit der Sophos UTM veröffentlicht und als zusätzlichen Zugriffschutz für Outlook Anywhere die Sophos Umkehrauthentifizierung genutzt. D.h. damit konnten sich nur User via Outlook Anywhere anmelden, die ich in eine dafür vorgesehene AD-Gruppe gepackt habe.

Nun möchte ich bei der Sophos XGS das gleiche erreichen. Scheinbar gab es aber an der WAF Änderungen, die das nicht mehr für Outlook Anywhere zulassen. Für OWA und EAS funktioniert es nämlich weiterhin.

Ich habe mich an diese Anleitungen gehalten bzw. so wie es bei der UTM konfiguriert war:
https://support.sophos.com/support/s/article/KBA-000001049?language=en_U ... und
https://www.frankysweb.de/sophos-xg-exchange-2016-und-sfos-16-05-webserv ...

Egal ob über RPC oder Mapi, ich erhalte bei eingeschalteter Authentifizierung (ohne Authentifizierung klappt es):
z.b. RPC:
[Fri Mar 28 13:55:31.875361 2025] [auth_basic:error] [pid 31439:tid 140116110563072] [client xxx.xxx.xxx.xxx:xxxxx] AH01614: client used wrong authentication scheme: /rpc/rpcproxy.dll

WAF
2025-04-22 15_09_04-node1-- profil 1 – microsoft​ edge
2025-04-22 15_13_38-node1-- profil 1 – microsoft​ edge
2025-04-22 15_14_12-node1-- profil 1 – microsoft​ edge

Authentifizierungs-Richtlinie
2025-04-22 15_14_33-node1-- profil 1 – microsoft​ edge

Richtlinie zum Schutz
2025-04-22 15_15_45-node1-- profil 1 – microsoft​ edge
2025-04-22 15_16_19-node1-- profil 1 – microsoft​ edge
2025-04-22 15_16_27-node1-- profil 1 – microsoft​ edge

Nutzt das noch jemand?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672583

Url: https://administrator.de/forum/sophos-xgs-waf-exchange-umkehrauthentifizierung-672583.html

Ausgedruckt am: 17.05.2025 um 05:05 Uhr

user217
user217 22.04.2025 aktualisiert um 15:50:36 Uhr
Goto Top
Servus,

bei uns sieht das so aus:
Vielleicht noch was mit "Unbekannte Herkunftsländer blockieren" oder gar geoblocking.
Ich kann mich noch dunkel erinnern das die Vorlage von Franky damals vor CU20 getaugt hat, dannach muss ich das Template auf das von Sophos für Exchange 2019 ändern weil irgendwas nicht mehr geklappt hat aber was kann ich nicht mehr sagen.
Noch was, ich sehe gerade bei der Auswahl der Templates in der Firewallregel gibt es extra eine für "Exchange Outlook Anywhere"..
PS: ich schalte die Berechtigung dafür per ps oder gui und benutze 2 WAF Regeln die für Outlook Anywhere (on/off) funktionieren. Evtl. stimmt mit deiner OU irgendwas nicht mehr und du suchst an der xgs.
waf
michifs
michifs 23.04.2025 aktualisiert um 10:17:01 Uhr
Goto Top
@user217 Danke erstmal.

Geo Blocking habe ich nicht verwendet. Zumindest wüsste ich nicht wo:

2025-04-23 10_14_18-node1-- profil 1 – microsoft​ edge

Ob es mit einem älteren CU lief kann ich nicht sagen, da ich die Sophos XGS ganz frisch habe und das mit den aktuellsten Exchange CU teste.

PS: ich schalte die Berechtigung dafür per ps oder gui und benutze 2 WAF Regeln die für Outlook Anywhere (on/off) funktionieren. Evtl. stimmt mit deiner OU irgendwas nicht mehr und du suchst an der xgs.

Du meinst du schaltest die Berechtigungen für Outlook Anywhere mit Powershell oder GUI direkt am Exchange ein/aus? Was meinst du damit konkret?

Ich habe ebenfalls 2 WAF Regeln, einmal für Autodiscover-Pfade und einmal für die Webservices (RPC, MAPI, OAB, EWS, OWA, EAS) wie im Screenshot zu sehen ist. So richtet es Sophos und Franky ebenfalls ein.

Könntest du mir bitte einen Screenshot von deinen WAF Regeln posten?

Es ist egal ob ich den User über eine AD-Gruppe versuche zu berechtigen oder direkt in die Authentifizierungs-Richtlinie schiebe. Die Umkehrauthentifizierung klappt einfach nicht. Es funktioniert erst wieder, wenn ich die Umkehrauthentifzierung ausschalte und das hier wieder rausnehme:

2025-04-23 07_48_16-clipboard
user217
user217 23.04.2025 um 11:46:52 Uhr
Goto Top
Was gibt der TESTaus?

Hast du die empfohlenen Ausnahmen eingetragen wie HIERvon Sophos empfohlen?
michifs
michifs 24.04.2025 um 09:32:04 Uhr
Goto Top
Der Verbindungstest funktioniert ohne Umkehrauthentifizierung, bis auf dass es meine selbst signierten Zertifikate anmeckert.

Bei Sophos selbst steht, dass die WAF nur bis Exchange 2013 Unterstützt wird.

Gibt es denn eine Alternative Lösung?
Dani
Dani 24.04.2025 um 10:39:49 Uhr
Goto Top
Moin,
Der Verbindungstest funktioniert ohne Umkehrauthentifizierung, bis auf dass es meine selbst signierten Zertifikate anmeckert.
ist das eine Spielwiese oder warum ein Self-Signed-Zertifikat?
Abgesehen davon fällt mir noch Extended Protection ein: https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...

Gibt es denn eine Alternative Lösung?
Gehts dir um die WAF Funktion oder/und Pre-Authentification?


Gruß,
Dani
michifs
michifs 24.04.2025 um 11:07:11 Uhr
Goto Top
Ja ist eine Testumgebung und die gewonnen Erfahrungen sollen dann ins Echtsystem überführt werden.

Mir gehts eigentlich um beides WAF und Pre-Auth als weitere Schutzschicht.

Ich kenne noch den Artikel von Frankysweb einen eigenen Apache oder auch nginx als Reverseproxy zu betreiben. Das reicht mir aber nicht aus. WAF als Absicherung wäre schon wünschenswert. Also scheidet das aus.

Veröffentlicht den garkeiner mehr Exchange Onprem?

Ich kann damit leben, Outlook nur noch hinter VPN zu betreiben, falles keine bezahlbare und unaufwendige Möglichkeit gibt.

Allerdings ist es ein MUSS, dass der Mailempfang (ohne VPN) via EAS funktioniert.

OWA nutzen wir nicht.
Dani
Dani 24.04.2025 um 11:17:41 Uhr
Goto Top
Moin,
Veröffentlicht den garkeiner mehr Exchange Onprem?
doch. Aber die wenigsten (sehr) sicher... face-wink

Mir gehts eigentlich um beides WAF und Pre-Auth als weitere Schutzschicht.
Für Pre-Auth nutzen wir Microsoft AD FS in Verbindung mit Microsoft WAP. Letzteres steht bekanntlich in der DMZ.
Als WAF kommen bei uns verschiedene Hersteller zum Einsatz. Aktuell F5 und Checkpoint. Sind aber dran Services auf Myra Security und Prophaze umziehen.


Gruß
Dani
kwits-dr
kwits-dr 06.05.2025 um 16:08:41 Uhr
Goto Top
Hallo zusammen,

@user217: hast du wirklich exchange 2019 über sophos WAF am Rennen? Die Templates bei Sophos sind doch nur für 2016? Wir haben auch einen 2019er bei dem outlook anywhere dann nicht will, Sophos verweist darauf, dass es nur mit 2013(!) supportet ist. Wenn das bei dir läuft, wäre es sehr nett, wenn du deine WAF Einstellungen zeigen oder als Template bereitstellen könntest.

Grüße
michifs
michifs 08.05.2025 um 13:20:56 Uhr
Goto Top
Hi,
ich habe die Veröffentlichung inzwischen hinbekommen. Für MAPIoverHttp und für RPCoverHttp mit Pre-Auth. Ich habe leider nur nicht bedacht, dass MAPIoverHttp keine Basic-Authentifizierung mehr unterstützt. Somit ist die Veröffentlichung von Outlook Anywhere dann hinfällig, weil künftig kein RPCoverHttp mehr verwendet werden kann. Aber immerhin funktioniert EAS und OWA 👍