MS Exchange Server veröffentlichen

[Milchbroetchen]

Hallo Zusammen,
ich habe einen Exchange Server am laufen, nun möchte ich das man natürlich auch mails Empfangen und verschicken kann, zusätzlich soll man natürlich auch von außerhalb über OWA/Outlook, ActiveSync etc. drauf zugreifen. Der Server steht hinter einer Opnsense Firewall diese hat eine Öffentliche IP Adresse, auf diese öffentliche IP habe ich zusätzlich noch ein Subnet geroutet. Von dem gerötetem Subnet soll der Exchange eine IP Adresse bekommen, auf der ich nur bestimmte Ports nach außen freigebe z.B. Port 80, 443 (Was ja sinnig ist für OWA?). Meine Frage ist nun, welche Tipps habt Ihr für mich einen Exchange Server sauber und sicher erreichbar zu machen nach außen, ich habe mal was von Web Application Firewall gehört und reverse Proxy etc. wie realisiere ich dies genau? Dann würde ich zusätzlich noch ein Proxmox Mailgateway aufsetzen, denen dies macht sinn mails darüber zu Senden/Empfangen und von bzw. zum Exchange Serve rau schieben?

Domain Controller liegt ebenfalls in einem Internen Netz. Die Hauptdomain unter der auch die Mails laufen sollen ist bereist registriert und wird extern bei meinem Domain Anbieter verwaltet DNS etc. Würde es hier sinn machen die Domain über meine AD Domain Controller zu verwalten, falls ja wie würdet Ihr den Microsoft DNS Server nach außen hin erreichbar machen?

 

[Whistler]

Hier ist schon mal eine recht gute Anleitung. Zwar für Exchange 2016, aber 2019 unterscheidet sich da nur minimal.
Insbesondere wird auch eine Lösung für gültige Zertifikate angegeben. Das sollte man nicht auf die leichte Schulter nehmen, manche Clienten (z.B. Outlook oder Mobiltelefone) verhalten sich recht unkooperativ, wenn das Zertifikat nicht stimmt.

"Web Application Firewall" und "reverse Proxy" sind eigentlich nur verschiedene Namen für dieselbe Funktion.
Hier übernimmt eine Komponente auf der Firewall nach außen hin die Rolle eines Webservers und leitet die Zugriffe gefiltert nach innen durch.
Wenn das Protokoll es hergibt (OWA und ActiveSync können es) ist das immer einem direkten NAT vorzuziehen.
Was Du als Mail-Gateway verwendest hängt auch von den eigenen Ansprüchen ab, ob z.B. Viren- und Spamfilterung, Blacklisting oder etwa rechtssichere Archivierung eine Rolle spielt.

Auf alle Fälle hat die jüngere Vergangenheit gezeigt, daß Exchange-Server eine beliebte und auch empfindliche Angriffsstelle sind, etwas mehr Schutz in den Mailfluß zu bringen macht auf alle Fälle Sinn.

Einen Sinn darin, den MS-DNS nach außen zu bringen sehe ich eigentlich nicht. Daß macht nur in wenigen Szenarien (z.B. wenn Clients ihre Records registrieren/ändern sollen) Sinn, die typischen Records (z.B. SPF, DKIM, Autodiscover) kann man auch über den Provider-DNS abbilden.

 

[Milchbroetchen]

Vielen Dank fur deine Antwort, ich werde mich damit definitiv auseinander setzen. Auch mit dem Punkt wie ich meine Externe Zusatz IP (Nicht die der Firewall) im Haproxy einfuegen kann.