Archiv der Kategorie: Sophos UTM

sophos-utm

Sophos UTM 9.2 Exchange 2013 Outlook Anywhere Verbindungsprobleme

Systeme:

Sophos UTM 9.210-20 / 9.211-3,

Exchange 2013 auf Windows Server 2008 R2 SP1,

Outlook 2010 SP2 auf Windows 7 64-bit SP1

 

Problem:

Outlook 2010 SP2 auf Windows 7 64-bit kann keine Verbindung zum Mail-Server (Exchange 2013 auf Windows Server 2008 R2 SP1) aufbauen wenn man sich ausserhalb des Firmennetzwerks befindet. D.h Outlook Anywhere funktioniert nicht obwohl aller richtig konfiguriert scheint. Wenn man sich nicht im Firmennetzwerk befindet und Outlook startet bleibt Outlook bei “Profil wird geladen” hängen. Nach sehr langer Zeit öffnet sich Outlook zwar, kann aber trotzdem keine Verbindung zu Exchange aufbauen.

Outlook im Firmennetzwerk, intern/extern über den Webbrowser und die Synchronisierung auf Smartphones funktioniert dabei einwandfrei.

 

Der Test “Outlook-Verbindung” auf  https://testconnectivity.microsoft.com gibt folgende Fehler aus:

Es wird versucht, ein Ping-Signal an RPC-Proxy oa.dienedomain.com zu senden.

An RPC-Proxy kann kein Ping-Signal gesendet werden.

   Weitere Details

   Unerwartete Ausnahme auf Netzwerkebene. Ausnahmedetails:

   Nachricht: The remote server returned an error: (403) Forbidden.

   Typ: Microsoft.Exchange.Tools.ExRca.Extensions.MapiTransportException

   Stapelüberwachung:

   at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)

   at Microsoft.Exchange.Tools.ExRca.Tests.MapiPingProxyTest.PerformTestReally()

   Ausnahmedetails:

   Nachricht: The remote server returned an error: (403) Forbidden.

   Typ: System.Net.WebException

   Stapelüberwachung:

   at System.Net.HttpWebRequest.GetResponse()

   at RpcPingLib.RpcPing.PingProxy(String internalServerFqdn, String endpoint)

   at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)

   Verstrichene Zeit: 10188 ms.

 

Im Sophos Web Application Firewall Log werden während dem Test unter anderem folgende Einträge ausgegeben:

   DNS lookup for XXX.XXX.XXX.XXX.dnsbl.proxybl.org. failed: Temporary failure in name resolution

zudem

   statuscode=”403″ reason=”url hardening” extra=”No signature found” exceptions=”-” time=”XXXXXXXX” url=”/Rpc/RpcProxy.dll” server=”oa.deinedomain.com” referer=”-” cookie=”-” set-cookie=”-” 

 

Lösung:

Grund des Problems scheint zu sein, dass “dnsbl.proxybl.org” zurzeit down ist.

Das UTM Feature “Block clients with bad reputation” unter Webserver Protection / Web Application Firewall / Firewall Profiles macht normalerweise einen sogenannten reputation lookup bei dnsbl.proxybl.org um zu prüfen ob der Client vertrauenswürdig ist.

Da aber dnsbl.proxybl.org zurzeit nicht erreichbar ist, wird dem Client die Verbindung zum Exchange Server verweigert.

Sobald man den Hacken “Block clients with bad reputation”, im Profil welches für Outlook Anywhere oa.dienedomain.com konfiguriert ist, entfernt, kann Outlook wieder eine Verbindung zum Exchange Server aufbauen.

 

Edit:

Es gibt auch eine elegantere Lösung. Man kann die URL dnsbl.proxybl.org aus der Liste der reverse proxy blacklist dnsrbl zones (reverse_proxy blacklist dnsrbl_zones) der UTM entfernen. Somit kann man das Feature “Block clients with bad reputation” eingeschaltet lassen. Die UTM wird dann nur die alternativen URLs für die reverse proxy blacklist dnsrbl zones abfragen. Hier das Vorgehen:

 

Im Admin Interface der UTM unter Management –> System Settings –> Shell Access –> Shell user passwords: Passwörter für beide user (root & loginuser) setzen.

Mithilfe von Putty per SSH auf die UTM verbinden.

login as: loginuser

loginuser’s password: (vorher definiertes Passwort eingeben)

Danach auf den user “root” wechseln mit dem commmand: su –

Das Passwort von root eingeben.

Die aktuellen Einstellungen Testen (Befehle direkt als root in die Konsole eingeben):

cc get reverse_proxy blacklist dnsrbl_zones

 

Einstellungen so ändern das dnsbl.proxybl.org nicht mehr verwendet wird (Befehle direkt als root in die Konsole eingeben) (Lösung):

echo -e ‘reverse_proxyn blacklistn dnsrbl_zones@n =[“black.rbl.ctipd.astaro.local”,”http.dnsbl.sorbs.net”]n’ | cc –batch

 

Default Einstellugen wiederherstellen. D.h. auch dnsbl.proxybl.org wieder verwenden (Befehle direkt als root in die Konsole eingeben):

echo -e ‘reverse_proxyn blacklistn dnsrbl_zones@n =[“black.rbl.ctipd.astaro.local”,”dnsbl.proxybl.org”,”http.dnsbl.sorbs.net”]n’ | cc –batch

sophos-utm

Sophos (Astaro) UTM 9.210-20 Probleme mit Mail

Vorgeschichte:

Ich habe das neueste Update 9.210-20 von Sophos auf meiner UTM installiert.

 

Problem:

Nach der installation konnten wir z.B. von gmail keine Mails mehr empfangen. Im Mail manager war nichts zu diesen Mails zu finden und auf gmail erhielt ich keine Fehlermeldung oder dergleichen.

 

Lösung:

Im Admin Interface der UTM unter Management –> System Settings –> Shell Access –> Shell user passwords: Passwörter für beide user (root & loginuser) setzen.

Mithilfe von Putty per SSH auf die UTM verbinden.

login as: loginuser

loginuser’s password: (vorher definiertes Passwort eingeben)

Danach auf den user “root” wechseln mit dem commmand: su –

Das Passwort von root eingeben.

Danach folgenden command eingeben: vi /var/chroot-smtp/etc/exim.conf

Bis zur folgenden Zeile im script scrollen (mit Pfeiltasten oder Page Down)

# Misc static settings

.
.
.
tls_require_ciphers = HIGH:!RC4:!MD5:!ADH:!SSLv2:!SSLv3

 

mit der Taste i in den insert modus wechseln und die Zeile bearbeiten sodass diese so aussieht:

# Misc static settings

.
.
.
tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2

 

Danach mit der ESC Taste den insert modus verlassen und zur folgenden Zeile scrollen (mit Pfeiltasten oder Page Down)

# TLS
tls_certificate = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.cert}}
tls_privatekey = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.key}}
tls_advertise_hosts = ${if eq{TLS_NAME}{} {}{!+tls_avoid}}

 

mit der Taste i in den insert modus wechseln und eine neu Zeile hinzufügen sodass das ganze so aussieht:

# TLS
tls_certificate = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.cert}}
tls_privatekey = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.key}}
tls_advertise_hosts = ${if eq{TLS_NAME}{} {}{!+tls_avoid}}

openssl_options = +no_sslv3

 

Danach mit der ESC Taste den insert modus verlassen und danach :wq eingeben und die Enter Taste drücken.

Damit die Änderungen wirksam werden, den SMTP daemon mit folgendem Befehl neu starten: /var/mdw/scripts/smtp restart

Erledigt! Nun sollten wieder Mails von gmail empfangen werden können.