none
Exchange 2016 - vzdálené připojení Outlooku jen pro vybrané uživatele RRS feed

  • Dotaz

  • Firma má Exchange 2016, externě jsou jeho služby publikované přes WAF (Fortiweb). Nyní mají požadavek zakázat vzdálené připojení z Outlooku pro všechny uživatele s výjimkou několika vyjmenovaných. Takže zavřít spojení na firewallu/WAF není možné.

    Díval jsem se, že Exchange umí nastavit Mapi over HTTP "per user". Nicméně i když jsem to testoval, vzdálené připojení z Outlooku stále funguje.

    Postupoval jsem podle https://docs.microsoft.com/en-us/exchange/clients/mapi-over-http/configure-mapi-over-http?view=exchserver-2019

    Co jsem zkusil:

    - Zakázat pro uživatele Test: "Set-CasMailbox test -MapiHttpEnabled $false". Nezabralo, uživatel Test se stále připojí Outlookem z Internetu

    - Zakázat pro celou organizaci: "Set-OrganizationConfig -MapiHttpEnabled $false". Nezabralo, stále jsem schopen se Outlookem připojit z internetu

    - Zakázat Outlook anywhere a Mapi over HTTP pro uživatrele Test: "Set-CasMailbox test -MapiBlockOutlookExternalConnectivity $true". Nezabralo, uživatel Test se stále připojí Outlookem z internetu

    Jsem nějak schopen na Exchange serveru docílit požadovaného nastavení? Nebo v případě, že komunikace jde přes reversní proxy, tak Exchange vyhodnocuje všechna připojení jako interní a výše uvedená nastavení nemohou fungovat?

    Případně nějaké další nápady? :o)

    Děkuji


    BB


    úterý 16. června 2020 9:18

Všechny reakce

  • https://docs.microsoft.com/en-us/powershell/module/exchange/set-casmailbox?view=exchange-ps
    parametr MAPIBlockOutlookRpcHttp

    Set-CASMailbox tony@contoso.com -DisplayName "Tony Smith" -MAPIBlockOutlookRpcHttp $true

    This example sets the display name and disables Outlook Anywhere access for the user tony@contoso.com.

    EDIT: a k tomu asi i zakaz OWA parametrem -OWAEnabled $false a zakaz Activesync pres -ActiveSyncEnabled $false

    Jinak to nema smysl, kdyz se muzu dostat k mailu jinak nez pres outlook.

    Ale obecne teto snaze nerozumim. Pokud se nonVIP uzivatel dostavi do firmy, preposle si cokoliv kamkoliv. Tj stejne ty maily ma. Jenom se spozdenim.

    A pokud je to Outlook v NTB, tak mam schranku v cache = sice mi nefunguje OutlookAnywhere, ale maily mam a mohu s nimi pracovat.


    úterý 16. června 2020 10:53
  • Díky, našel jsem pár sekund před tím, než jsi napsal. :o)

    Ale bohužel nefunguje. Navíc tohle je, jestli to správně chápu, zakázání RPC over HTTP. Já v logu MapiHttp vidím, že se připojil tímto protokolem. 


    BB

    úterý 16. června 2020 11:02
  • Já se možná zeptám obecně, ať v tom nemám guláš:

    1. Chápu to správně, že Outlooky 2016 a 2019 se standardně (i v LAN) připojují protokolem MAPI over HTTP?

    2. Jestli ano, co se stane, když tento protokol zakážu? Použijí MAPI nebo RPC over HTTP?

    3. Jaká je best practise u on-premise Exchange? Publikovat MAPI over HTTP do internetu nebo z bezpečnostních důvodů ne?


    BB

    úterý 16. června 2020 11:05
  • Tak zkus zakazat oboje: -MapiHttpEnabled $false -MAPIBlockOutlookRpcHttp $true

    Ano, preferovany je MAPIoverHTTP. Treba O365 uz nic jineho nepodporuje. RPCoverHTTP je zastarale.

    Pravdepodobne, pokud nejde MAPI, zkusi RPC. Otazkou je, co se dozvi z Autodiscoveru. Zkus si u pripojeneho Outlooku kliknout na ikonu v tray spolecne se stisknutym CTRL - dostanes connection status , podivej se na sloupec protocol. Pokud je RPC/HTTP neni to MAPI :)

    Ad bezpecnost: Kolik mas penez a jak velka je to firma... Standardne mala firma vypublikuje (prosta dira v NATu) HTTPS port Exchange a je to. Vetsi firma si do DMZ postavi Edge server.

    Hezke (a asi spravne) reseni je WAP v DMZ, ADFS, Exchange v LAN. Chce se ti to aplikovat pro 30 lidi? Zaplati to?

    RPCoverHTTP je na svete desitky let (E2003) a nikdy jsem neslysel, ze by to nekdo zneuzil a naboural se pres to dovnitr. Obdobne asi i MAPIoverHTTP. MS zde rika, proc je to lepsi protokol https://docs.microsoft.com/en-us/exchange/clients/mapi-over-http/mapi-over-http?view=exchserver-2019
    úterý 16. června 2020 11:50
  • Pokud mám vše v defaultním nastavení, je na testovacích klientech v LAN i v Internetu vidět protokol HTTP. Takže jede přes MapiOverHTTP.

    Když zadám příkaz Set-CasMailbox test@xxx.yy -MapiBlockOutlookRpcHttp $true -MapiHttpEnable $false, stav je stále stejný. Připojím se Outlookem z LAN i z internetu, protokol je opět HTTP.

    Ještě jsem našel parametr -MAPIBlockOutlookExternalConnectivity, ten ovšem dle popisu nefunguje, když je nastavena stejná Autodiscover URL pro interní i externí klienty. Což je tento případ.

    Ono ta firma zase není tak maličká, je tam lehce přes sto uživatelů. Není DMZ, je tam WAF. Tu spravuje partner, právě zjišťuje, jestli půjde připojení externích klientů zakázat tady.

    Já už se v tom hrabu spíše jen ze zvědavosti, nějak nechápu, proč ty parametry nefungují.

    Co se týká bezpečnosti: zákazníkovi nemá strach z toho, že by přes RPS/MAPI over HTTP někdo proniknul dále (možná jen proto, že ho to nenapadlo), ale má strach z možného prolomení hesla (i přes neustálé upozorňování a občasné kontroly někteří uživatelé používají dost zoufalé hesla) a přečtení firemních mailů útočníkem.


    BB


    středa 17. června 2020 10:36
  • hmmm... Ja to nikdy nepotreboval, tak verim dokumentaci :) Je mozne, ze se musi restartnout transport sluzba, nebo frontend transport, nebo rpc client access...

    Predpokladam, ze get-casmailbox test@xxx.yy | fl vypise parametry MapiBlockOutlookRpcHttp a MapiHttpEnable po prenastaveni zmenene podle zadani.

    AD hesla - proste zapnout komplexitu hesel v AD. Nebo pouzivat finegrained password policy a nastavit slozite heslo alespon tem, kteri maji mail. Typicky skoly, kde deti muzou mit jednoducha hesla, ale ucitele ne. Stejne takzapnout  lockdown politiku, ktera metodu hadani hesla znacne prodlouzi/skoro zablokuje.

    K tomu ve firewallu blokovat pristup k OWA z exotickych/podezrelych destinaci. Pokud zamestnanci sluzebne necestuji, asi nemusi jit OWA z Ruska, Ciny, Indie...
    středa 17. června 2020 12:39
  • Dobrý den, doporučil bych na to jít úplně od lesa. Pořídit pro uživatele licenci Azure AD Premium (a třeba jednu Exchange Online).

    Následně propojit Exchange Server v rámci hybridního nasazení s Azure AD. A zde využít funkcí právě Azure AD Premium (plán 1):

    • MFA - Ověření přihlášení druhým faktorem kromě jména a hesla.
    • Conditional Access - Podmíněný přístup povolí přístup jen z firemní IP adresy nebo lokality Česká republika.
    • V plánu 2 můžete využít i ochranu hesla ve formátu kontroly na nebezpečné přihlášení, slabá či uniklá hesla, nebo blokaci nebezpečných hesel (název firmy, jednatele, produktu, ...) viz Identity Protection nebo Password Protection.

    Případně ve spojení se synchronizací lokální AD nastavit pravidlo, že se mohou připojit jen firemní počítače v lokální AD.

    středa 1. července 2020 18:53
    Vlastník
  • Díky za tip,

    nicméně už jsem se v řešení posunul kousek dále. Teoreticky to mám vyřešené, prakticky to bude za dva týdny (jedu na dovolenou a nechci dělat zásadní změnu v konfiguraci Exchange těsně před odjezdem).

    Jak to tedy je a bude:

    1. Zakázání MAPI over HTTP na WAF se nezdařilo. Proč nevím, dělá to externí firma. Přístup k OWA řídit umí, přístup k MAPI over HTTP ne.

    2. Udělám to na úrovni Exchange dle dokumentu https://docs.microsoft.com/en-us/exchange/clients/mapi-over-http/configure-mapi-over-http?view=exchserver-2019

    Podstatný je parametr -MapiBlockOutlookExternalConnectivity příkazu Set-CASMailbox, který zakáže jakýkoliv externí přístup k danému mailboxu. Dělá to tak, že z autodiscover response odebere položku ExternalURL pro všechny služby (úspěšně otestováno pomocí https://testconnectivity.microsoft.com/tests/exchange). Podmínkou ovšem je, že služby musí mít rozdílné ExternalURL a InternalURL, což momentálně nemám.

    Takže postup bude:

    - vytvořit v lokálním DNS novou doménu pro interní URL Exchange

    - změnit InternalURL pro všechny služby na tuto novou doménu

    - Příkazem Set-CasMailbox - -MapiBlockOutlookExternalConnectivity $true zakázat externí přístup všem mailboxům, kromě několika, které mají mít povoleno

    Všem děkuji za odpovědi. :o)


    BB

    čtvrtek 2. července 2020 5:38