12

Configuración de puertos y registros DNS para Exchange con un proveedor de dominios

Hola a tod@s.

En este post vamos a ver como configurar los puertos en nuestro firewall y los registros DNS para Exchange con un proveedor de dominios, y así poder publicar en Internet nuestros servidores de correo.

Recordemos que la topología de red utilizada es la siguiente:

exchange2013mx1

  • Los datos de configuración IP de nuestros servidores de correo van a ser los siguientes:

cprde8

  • Para el servidor mail01.ragasys.net tenemos que hacer un NAT Inversa o abrir puertos, concretamente el puerto 443 para el OWA y redirección de peticiones por SSL:

cprde2

cprde3

  • Para el servidor mx01.ragasys.net tenemos que hacer un NAT Inversa o abrir puertos, concretamente el puerto 25 para el protocolo SMTP:

cprde4

cprde5

  • Una vez realizada la apertura de puertos necesaria, vamos a mostrar la configuración de las reglas que tenemos aplicadas en nuestro Firewall, este proceso de configuración de reglas, tenemos que realizarlo antes de instalar y configurar los servidores de correos, para que se puedan comunicar entre sí, ya que el mail01 estará ubicado en nuestra red interna (INSIDE) y el mx01 en la DMZ:

cprde6

  • Desde la línea 15 a la 32 hemos configurado el Firewall para permitir o denegar el tráfico que nos interesa entre la red INSIDE y la DMZ:
    • De la línea 15 a la 18, creamos las cadenas de elementos a utilizar para configurar el tráfico.
    • En la línea 19 y 20 permitimos el tráfico ICMP entre estas dos redes.
    • En la línea 21 y 22 permitimos que el servidor MAIL01 se pueda conectar con el MX01 a través de terminal server (por escritorio remoto), y denegamos que MX01 se pueda conectar a MAIL01 a través de terminal server.
    • De la línea 23 a la 26 permitimos el tráfico LDAP Exchange EdgeSync – ADAM desde Active Directory, para que el MAIL01 (Servidor de correos) y el MX01 (Servidor perimetral) puedan sincronizar los datos de configuración de Active Directory, en este enlace podéis ver el proceso de sincronización de EdgeSync.
    • En la línea 27 y 28 permitimos todo el tráfico TCP entre MAIL01 y MX01.
    • De la línea 29 a la 32 permitimos el tráfico TCP entre el servidor de antivirus Kaspersky y el MX01, para que el servidor de correos perimetral (MX01) ubicado en la DMZ pueda actualizar su antivirus desde los repositorios del servidor Kaspersky que tenemos configurado en nuestra red INSIDE.
    • De la línea 36 a la 44 denegamos todo el tráfico entre las tres redes que hemos configurado INSIDE-DMZ-OUTSIDE
  • Una vez configurados los puertos y las reglas en el firewall, tenemos que configurar los registros DNS para Exchange con un proveedor de dominios y poder así publicar nuestros servidores de correo en internet.
  • Los dominios aceptados y configurados en nuestro servidor de correo son los siguientes:

cprde7

  • Para el dominio ragasys.net  vamos a configurar en nuestro proveedor de dominio los siguientes registros:

autodiscover.ragasys.net > Registro tipo A > 83.56.98.55

mail01.ragasys.net > Registro tipo A > 83.56.98.55

mx01.ragasys.net > Registro tipo A > 83.56.98.56

webmail.ragasys.net > Registro tipo A > 83.56.98.55

ragasys.net > Registro tipo MX (MX10) > mx01.ragasys.net

  • Para el dominio ragasys.es vamos a configurar en nuestro proveedor de dominio los siguientes registros:

autodiscover.ragasys.es > Registro tipo CNAME > autodiscover.ragasys.net

ragasys.es > Registro tipo MX (MX10) > mx01.ragasys.net

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

12 comentarios

    • Si, sin problemas, de hecho son subdominios, del dominio principal ragasys.es. ragasys.net y ragasys.com
      Saludos.

      • gracias por reponder, voy a poner en practica la configuracion le explico como me fue, saludos

      • Consulta, para utilizar puerto seguro 443 tendria que tener instalado un certificado en mi exchange server? o como lo publico en el mikrotik?

        • Hola César, el puerto 443 para publicarlo en el MIkrotik tienes que hacerle un PAT de ese número de puerto apuntando a la dirección IP de tu servidor de correos, es decir, sería un dstnat, protocolo TCP, puerto destino 443, la interface de entrada sería con la interface que te conectas a la WAN, y en «Action» tienes que apuntar a la dirección de tu servidor de correos al puerto 443. El certificado en Exchange es obligatorio, lo puedes emitir con una entidad emisora y pagar por él, como por ejemplo, Digicert, o puedes montarte tu propia entidad emisora de certificados y generarlos tú mismo, en este enlace del blog te explico como hacerlo https://blog.ragasys.es/instalacion-y-configuracion-de-entidad-emisora-de-certificados-en-ms-windows-server-2012-r2
          Aquí te dejo otro post sobre los certificados en Exchange https://blog.ragasys.es/certificados-en-ms-exchange-2013

          Saludos.

          • Ragasys gracias por toda la ayuda, comentarte que tengo el siguiente problema:
            Toda la configuracion de entre mikrotik y exchange 2010 funciona excepto al momento de configurar cuentas en dispositivos moviles es decir que cuando configuro mediante outlook 2010, 2016 me sale una notificacion:
            ok – El certificado de seguridad es de una entidad emisora de certificados de confianza
            ok – La fecha de certificado de seguridad es valida
            erro – El nombre de certificado de seguridad no es valido o no coincide con el nombre del sitio» sin embargo yo tenia los dos certificados funcionando en el exchange con normalidad (mai.dominio.com y autodiscover.dominio.com), espero sus comentarios… muchas gracias

  1. comento lo siguiente:
    He intentado de todo logro tener conexion con mi servidor local salen los correos pero no me entran los correos, el mikrotik esta funcionando bien para internet pero no para enlazar a mi exchange, he realizo la configuracion segun los parametros en su web pero no logro conectar

    • Que tal, gracias por tu ayuda comentarte que logre conectar mikrotik y exchange pero toidavia tengo una duda, he notado que hay sierto retardo al navegar por cualquier sitio web y al hacer ping al google tengo paquetes perdidos, puedo hacer alguna configuracion adicional para que pueda navegar con normalidad, saludos

    • Hola Cesar como lograste que los correos pudieran salir yo tengo el mismo problema puedo recibir correos pero no puede enviar actualmente tengo exchange 2010 y un router mikrotik mas un servidor sbs 2011 que es quien controla el dominio

  2. Excellent
    I would like to know if you can help me with: I have a Windows Server 2016 AD with a domain.com and a Windows Server 2019 AD with a domain .local
    I have done the migration of GR, Users, UO with ADMT.
    I have an Exchange 2003 connected to domain.com and I need to take it to domain.local
    How can I carry out this procedure so that my Exchange 2013 stays in the domain .local?

Responder a cesar Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.