Der Mailserver wird durch einen Namen angesprochen z.b. mail.haumich.net
Zum einen muss Autodiscover funktionieren und die Domain sollte über ein SSL Zertifikat gesichert werden. Hier müsste man dann schauen ob ein Zertifikat für die o.a. Domain reichen würde oder ihr mehr verschlüsseln möchtet, dann würde ein Wildcard-Cert funktionieren die dann alles der Domain bestätigen können. *.haumich.net
Kostet natürlich auch etwas. WIchtig ist, dass die Domain auch von außen (also aus dem INet) angesprochen werden kann. Somit brauchst du das nicht auf deinem internen DNS machen, sonder bei deinem Provider bei dem du deine Domain beziehst. Natürlich kannst du das auch selbst gehostet haben, dann hast du einen DNS auch für extern zu stellen der ansprechbar ist. Der Mailserver prüft dann durch Autodiscover die Verbindung zum Mailserver und checkt ob das Zertifikat gültig und nachvollziehbar ist.
Die Zertifikat muss du auch auf deinem Exchange im IIS einspielen und dort kann man auch bei der Beantragung die Schlüssellänge und den Schlüssel generieren lassen. AUf dem Server ist dann auch der private Key hinterlegt den du dir dann sicher verwahren solltest !Diesen solltest du dann auch explizit exportierbar machen, damit du diesen sichern kannst.
OWA ist eigentlich das gleiche Problem, da dies auch auf ein Zertifikat angewiesen ist. Wichtig ist auch nach der DSGVO, dass du diesen Verkehr komplett verschlüsselst. Somit musst du dir ein Zertifikat holen!