12

Configuración de puertos y registros DNS para Exchange con un proveedor de dominios

Hola a tod@s.

En este post vamos a ver como configurar los puertos en nuestro firewall y los registros DNS para Exchange con un proveedor de dominios, y así poder publicar en Internet nuestros servidores de correo.

Recordemos que la topología de red utilizada es la siguiente:

exchange2013mx1

  • Los datos de configuración IP de nuestros servidores de correo van a ser los siguientes:

cprde8

  • Para el servidor mail01.ragasys.net tenemos que hacer un NAT Inversa o abrir puertos, concretamente el puerto 443 para el OWA y redirección de peticiones por SSL:

cprde2

cprde3

  • Para el servidor mx01.ragasys.net tenemos que hacer un NAT Inversa o abrir puertos, concretamente el puerto 25 para el protocolo SMTP:

cprde4

cprde5

  • Una vez realizada la apertura de puertos necesaria, vamos a mostrar la configuración de las reglas que tenemos aplicadas en nuestro Firewall, este proceso de configuración de reglas, tenemos que realizarlo antes de instalar y configurar los servidores de correos, para que se puedan comunicar entre sí, ya que el mail01 estará ubicado en nuestra red interna (INSIDE) y el mx01 en la DMZ:

cprde6

  • Desde la línea 15 a la 32 hemos configurado el Firewall para permitir o denegar el tráfico que nos interesa entre la red INSIDE y la DMZ:
    • De la línea 15 a la 18, creamos las cadenas de elementos a utilizar para configurar el tráfico.
    • En la línea 19 y 20 permitimos el tráfico ICMP entre estas dos redes.
    • En la línea 21 y 22 permitimos que el servidor MAIL01 se pueda conectar con el MX01 a través de terminal server (por escritorio remoto), y denegamos que MX01 se pueda conectar a MAIL01 a través de terminal server.
    • De la línea 23 a la 26 permitimos el tráfico LDAP Exchange EdgeSync – ADAM desde Active Directory, para que el MAIL01 (Servidor de correos) y el MX01 (Servidor perimetral) puedan sincronizar los datos de configuración de Active Directory, en este enlace podéis ver el proceso de sincronización de EdgeSync.
    • En la línea 27 y 28 permitimos todo el tráfico TCP entre MAIL01 y MX01.
    • De la línea 29 a la 32 permitimos el tráfico TCP entre el servidor de antivirus Kaspersky y el MX01, para que el servidor de correos perimetral (MX01) ubicado en la DMZ pueda actualizar su antivirus desde los repositorios del servidor Kaspersky que tenemos configurado en nuestra red INSIDE.
    • De la línea 36 a la 44 denegamos todo el tráfico entre las tres redes que hemos configurado INSIDE-DMZ-OUTSIDE
  • Una vez configurados los puertos y las reglas en el firewall, tenemos que configurar los registros DNS para Exchange con un proveedor de dominios y poder así publicar nuestros servidores de correo en internet.
  • Los dominios aceptados y configurados en nuestro servidor de correo son los siguientes:

cprde7

  • Para el dominio ragasys.net  vamos a configurar en nuestro proveedor de dominio los siguientes registros:

autodiscover.ragasys.net > Registro tipo A > 83.56.98.55

mail01.ragasys.net > Registro tipo A > 83.56.98.55

mx01.ragasys.net > Registro tipo A > 83.56.98.56

webmail.ragasys.net > Registro tipo A > 83.56.98.55

ragasys.net > Registro tipo MX (MX10) > mx01.ragasys.net

  • Para el dominio ragasys.es vamos a configurar en nuestro proveedor de dominio los siguientes registros:

autodiscover.ragasys.es > Registro tipo CNAME > autodiscover.ragasys.net

ragasys.es > Registro tipo MX (MX10) > mx01.ragasys.net

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

12 comentarios

    • Si, sin problemas, de hecho son subdominios, del dominio principal ragasys.es. ragasys.net y ragasys.com
      Saludos.

      • gracias por reponder, voy a poner en practica la configuracion le explico como me fue, saludos

      • Consulta, para utilizar puerto seguro 443 tendria que tener instalado un certificado en mi exchange server? o como lo publico en el mikrotik?

        • Hola César, el puerto 443 para publicarlo en el MIkrotik tienes que hacerle un PAT de ese número de puerto apuntando a la dirección IP de tu servidor de correos, es decir, sería un dstnat, protocolo TCP, puerto destino 443, la interface de entrada sería con la interface que te conectas a la WAN, y en «Action» tienes que apuntar a la dirección de tu servidor de correos al puerto 443. El certificado en Exchange es obligatorio, lo puedes emitir con una entidad emisora y pagar por él, como por ejemplo, Digicert, o puedes montarte tu propia entidad emisora de certificados y generarlos tú mismo, en este enlace del blog te explico como hacerlo https://blog.ragasys.es/instalacion-y-configuracion-de-entidad-emisora-de-certificados-en-ms-windows-server-2012-r2
          Aquí te dejo otro post sobre los certificados en Exchange https://blog.ragasys.es/certificados-en-ms-exchange-2013

          Saludos.

          • Ragasys gracias por toda la ayuda, comentarte que tengo el siguiente problema:
            Toda la configuracion de entre mikrotik y exchange 2010 funciona excepto al momento de configurar cuentas en dispositivos moviles es decir que cuando configuro mediante outlook 2010, 2016 me sale una notificacion:
            ok – El certificado de seguridad es de una entidad emisora de certificados de confianza
            ok – La fecha de certificado de seguridad es valida
            erro – El nombre de certificado de seguridad no es valido o no coincide con el nombre del sitio» sin embargo yo tenia los dos certificados funcionando en el exchange con normalidad (mai.dominio.com y autodiscover.dominio.com), espero sus comentarios… muchas gracias

  1. comento lo siguiente:
    He intentado de todo logro tener conexion con mi servidor local salen los correos pero no me entran los correos, el mikrotik esta funcionando bien para internet pero no para enlazar a mi exchange, he realizo la configuracion segun los parametros en su web pero no logro conectar

    • Que tal, gracias por tu ayuda comentarte que logre conectar mikrotik y exchange pero toidavia tengo una duda, he notado que hay sierto retardo al navegar por cualquier sitio web y al hacer ping al google tengo paquetes perdidos, puedo hacer alguna configuracion adicional para que pueda navegar con normalidad, saludos

    • Hola Cesar como lograste que los correos pudieran salir yo tengo el mismo problema puedo recibir correos pero no puede enviar actualmente tengo exchange 2010 y un router mikrotik mas un servidor sbs 2011 que es quien controla el dominio

  2. Excellent
    I would like to know if you can help me with: I have a Windows Server 2016 AD with a domain.com and a Windows Server 2019 AD with a domain .local
    I have done the migration of GR, Users, UO with ADMT.
    I have an Exchange 2003 connected to domain.com and I need to take it to domain.local
    How can I carry out this procedure so that my Exchange 2013 stays in the domain .local?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.