Saltar al contenido
Esta página o parte de ella se ha traducido de forma automática.
Rutas de migración admitidas

Configurando tu Sophos Firewall

Una vez que se hayan migrado su dominio, políticas y buzones de correo, ahora puede configurar su Sophos Firewall para retransmitir el correo electrónico a su servidor de correo. Si utiliza Google Workspace o Microsoft 365 y correo no necesita ser procesado por el correo electrónico de Sophos Firewall después de Sophos Central, omita estos pasos y pasa a la siguiente sección.

Requisitos previos

Antes de configurar su firewall, siempre recomendamos crear una copia de seguridad en caso de que la configuración necesite ser revertida. Recomendamos hacer estos cambios durante las horas libres para evitar cualquier interrupción importante del servicio.

Para procesar el correo electrónico entrante y la entrega a su servidor de correo, esto se hará a través de una regla DNAT en Sophos Firewall. Antes de continuar, por favor tome nota de la configuración actual desde su firewall en Correo electrónico > Políticas y excepciones > Políticas > smtp Your Policy name.

  • Dominio(s) protegido(s), asegúrese de hacer clic en el icono del lápiz para verificar todos los dominios enumerados: Por ejemplo. nsgtrain.com
  • Ruta por método: EG. Host estático
  • Lista de anfitriones: EG. Servidor (192.168.1.25) y servidor de intercambio (192.168.25.1)

Crear una regla DNAT

Si se utiliza un puerto SMTP estándar (25, 465, 587) para su regla DNAT, se puede omitir la regla # 1, sin embargo, siga las instrucciones alternativas a continuación en el paso 2 para evitar la interrupción del correo durante la transición. Si los correos electrónicos para “exampledomain.com” necesitan ir a un correo interno diferente, asegúrese de que se utilice un puerto externo único para la traducción para cada regla DNAT única. Si se utiliza el mismo servidor de correo interno en ambas directivas SMTP (o dominios), la regla DNAT y los puertos se pueden volver a utilizar.

  1. Opcional: Si utiliza un puerto no estándar, cree un nuevo puerto de servicio, que es donde Sophos Email entregará y llegará a Sophos Firewall para el correo electrónico entrante.

    1. Ir a Anfitriones y servicios > Servicios > Añadir
    2. Proporcione un nombre de servicio, por ejemplo: Sophos Email Entrega
    3. Elija un puerto de destino que no se utilice actualmente en su firewall, se recomienda utilizar algo distinto del puerto de destino 25, 465, 587

  2. Navegue a Reglas y políticas > Reglas NAT > Añadir regla NAT > Nueva regla NAT. Rellene los detalles de la siguiente manera. La siguiente es una recomendación, sin embargo puede ser modificada para adaptarse a su entorno. No se requiere nada que no aparezca en la tabla.

    Opción de configuración Detalles Ejemplo
    Estado de la regla OFF – Antes de actualizar los registros MX en los pasos finales, esta regla se puede activar Desactivada
    Nombre de la regla Proporcione un nombre para fines administrativos Sophos Email entrante
    Posición de regla Se recomienda posicionar en la parte superior para evitar conflictos Principales
    Origen original

    Inicie sesión en central.sophos.com y navegue hasta Seguridad del correo electrónico > Configuración > Configuración del dominio / estado > Configurar dependencias externas. *

    Ingrese todas las redes y direcciones IP bajo las IPs de entrega de Sophos

    		 Cuenta central US-west-2:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Destino original Las interfaces WAN de los firewalls desde donde aceptará el correo electrónico entrante. #PortB (WAN)
    Servicio original El puerto de destino Sophos Email entregará correo electrónico entrante, desde el paso 1. Sophos Email Entrega (puerto 1234)
    Destino traducido (DNAT)

    Su ubicación del servidor de correo, a partir de los pasos previos anteriores dependiendo de la ruta por tipo/

    • host estático: Si el correo electrónico se envía a varios servidores de correo, seleccione Agregar > Lista de IP > Especifique cada IP de servidor de correo, de lo contrario, se puede seleccionar el nombre de servidor único.
    • Host DNS: Seleccione Añadir > FQDN > Nombre de host DNS
    • MX: Resuelva el registro MX interno de su dominio y especifique manualmente las direcciones FQDN o IP a las que resuelve seleccionando Agregar > sus IP/FQDNs resueltos.
    		 Servidor de correo interno
    Servicio traducido (PAT) Si se utiliza un puerto no estándar para el servicio original (no el puerto 25), es probable que sea necesario, ya que es probable que su servidor de correo esté escuchando en puertos smtp estándar (por ejemplo, el puerto 25). SMTP (puerto 25)
    Interfaz de entrada Especifique todas las interfaces desde donde llegarán los correos electrónicos entrantes, esto probablemente coincidirá con las interfaces del Destino original PortB
    Método de equilibrio de carga (Configuración avanzada) – Opcional Si se utilizan varios destinos traducidos o servidores de correo, se puede definir el método de equilibrio de carga. Round-robin
    Health Check, puerto 25

    Ejemplo de la regla DNAT abajo

  3. Seleccione Guardar una vez que se haya confirmado la información.

Crear reglas del firewall

A continuación, será necesario crear una regla de firewall para garantizar que solo el firewall acepte el correo electrónico originado en Sophos Email. Navegue a Reglas y políticas > Reglas de firewall > Añadir regla de firewall > Nueva regla de firewall.

  1. Rellene los detalles de la siguiente manera. La siguiente es una recomendación, sin embargo puede ser modificada para adaptarse a su entorno. Cualquier cosa que no aparezca en la tabla no es requerida o puede ser establecida como predeterminada.

    Opción de configuración Detalles Ejemplo
    Estado de la regla OFF – Antes de actualizar los registros MX en los pasos finales, esta regla se puede activar Desactivada
    Nombre de la regla Proporcione un nombre para fines administrativos Sophos Email entrante
    Posición de regla Se recomienda posicionar en la parte superior para evitar conflictos Principales
    Zonas de origen Todas las Interfaces de Firewall zona asignada desde donde aceptará el correo electrónico entrante, probablemente WAN WAN
    Dispositivos y redes de origen Inicie sesión en central.sophos.com y navegue hasta Seguridad del correo electrónico > Configuración > Configuración del dominio / estado > Configurar dependencias externas. *
    Ingrese todas las redes y direcciones IP bajo las IPs de entrega de Sophos    		 Cuenta central US-west-2:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Zonas de destino La zona donde se encuentra el servidor de correo interno, igual que el destino traducido de la regla NAT anterior creada Servidor de correo interno se encuentra en la zona DMZ: DMZ
    Red de destino La interfaz de destino Sophos Email entregará el correo electrónico entrante, al igual que el “destino original” en la regla NAT #PortB
    Servicios Rovide los puertos de escucha (servicios) El Sophos Firewall acepta el correo electrónico entrante de Sophos Email. En este ejemplo, el puerto WAN está escuchando el puerto 1234. Puerto TCP 1234

    Una regla de firewall de muestra se enumera a continuación.