Remove From My Forums

Exchange 2010 - Smartphone App kann unbemerkt Emails abgreifen?!

Frage
0

Anmelden
Moin moin,

Ich brauch mal eine Idee von Leidensgenossen :-)

In unserer Umgebung setzen wir sowohl Blackberry's als auch Smartphones ein um Mails via BES & Activesync zu empfangen. Beides über Produkte abgesichert.

Die Lücke die es zu schließen gilt, sind die haufen Apps die man auf allen möglichen Plattformen bekommt um via OWA wirklich an die Mails zu kommen. Ähnlich wie das auch mit Blackberrys und BIS geht.

Nach viel googeln hab ich mal was von ISAPI rewrite gehört aber nie etwas spezifisches.

Habt ihr vielleicht eine Idee ohne das OWA komplett für alle Leute abzuschalten?

Auch kostenpflichtige Produkte sind interessant.

Vielen Dank & Gruß

Flat
- Bearbeitet Flatronic Donnerstag, 14. März 2013 09:52 Neues Topic
Donnerstag, 14. März 2013 07:48

Antworten

|

Zitieren

Antworten

0

Anmelden
Moin,

Und es läuft über EWS.

laut Herstelle soll es EAS sein, aber es kann ja sein, dass das nicht stimmt.

Theoretisch könntest Du einfach die EWS-Url blocken.

Aber das würde dann auch Outlook Aynwhere und eventuell MAC-Clients betreffen.

Also bleibt nur eine Verbindung mit dem UA.

Grüße aus Berlin schickt Robert
MVP Exchange Server
- Als Antwort markiert Flatronic Donnerstag, 14. März 2013 15:01
Donnerstag, 14. März 2013 14:21

Antworten

|

Zitieren
0

Anmelden
set-CASMailbox "test.user" -EwsApplicationAccessPolicy:EnforceBlockList -EwsBlockList:"Outlook/13*" -EwsEnabled:$true

So hab ich es geschafft. Hab noch ein interessanten blog Artikel im Technet gefunden. Gibt natürlich noch mehr möglichkeiten auf Organisationsweit zu arbeiten. Denke damit sollte alles geklärt sein. Vielen Dank für deinen Einsatz Robert.

blog.technet.com

Gruß
Flat
- Als Antwort markiert Flatronic Donnerstag, 14. März 2013 14:51
Donnerstag, 14. März 2013 14:51

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Ok das Problem ist doch gravierender als gedacht ... Trotz blockens des OWA Zugriff und Activesync kommt unserer Testuser mit einem Iphone mit der mail+ app einfach so unbemerkt an die Mails.

Das muss doch schon jemanden anders aufgefallen sein ?!
- Bearbeitet Flatronic Donnerstag, 14. März 2013 09:41
Donnerstag, 14. März 2013 09:33

Antworten

|

Zitieren
0

Anmelden

Moin,

Du könntest hier mit einem sog. Request Filtering im IIS arbeiten:
http://www.iis.net/configreference/system.webserver/security/requestfiltering

Und dann mit einer FilteringRule z.B. den User-Agent filtern:
http://www.iis.net/configreference/system.webserver/security/requestfiltering/filteringrules

Aber ACHTUNG: Der IIS ist ein sehr sensibles Thema und Exchange ist auf ihn angewiesen. Teste das also gut, nicht das danach gar nichts mehr auf dem Server läuft.

Sollte es nur externe Zugriff bedeuten, würde ich das eher über den Proxy oder die Firewall regeln.

Und Du musst Dir bewusst sein, dass es da keine 100% Sicherheit gibt. Im Browser meines iPads kann ich den User-Agent beliebig umstellen. Ein Klick und ich bin kein iPad/Safari mehr, sondern ein Windows7/Firefox.

Grüße aus Berlin schickt Robert
MVP Exchange Server

Donnerstag, 14. März 2013 09:35

Antworten

|

Zitieren
0

Anmelden
Danke erstmal für deine Antwort.

In dem Sinne sind ja alle Smartphones "externe" da sie ja über z.B. 3G connecten. In unserem Fall haben wir an erster Front natürlich eine Firewall. Direkt dahinter ein TMG / EDGE.

Ich kann das verbundene Gerät auch im TMG sehen. Ich frag mich nur, wie die App durch kommt. Nutzt diese App dann Outlook Anywhere und emuliert ein Outlook auf einem Notebook was sich über Anywhere(RPC over HTTPS) verbindet?

Und wenn man per Firewall anfängt zu blocken trifft man ja warscheinlich gleich mehrere Exchange Services da die meisten ja über 443 laufen oder?
- Bearbeitet Flatronic Donnerstag, 14. März 2013 09:51
Donnerstag, 14. März 2013 09:51

Antworten

|

Zitieren
0

Anmelden

Moin,

ich finde leider keine App "mail+" im App-Store von Apple. Wie heißt die genau oder wie heißt der Hersteller?

Es sind einige Wege denkbar:
- RPC (via HTTPS) -> möglich, aber unwahrscheinlich, da technisch extrem aufwendig
- EAS (via HTTPS) -> möglich, aber unwahrscheinlich, da Lizenzkosten anfallen
- EWS (via HTTPS) -> denkbar, da gut protokolliert und keine Lizenzkosten; aber eigene Entwicklung notwendig
- IMAP4 -> einfach möglich, da genügd Quellen verfügbar
- POP3 -> einfach möglich, da genügend Quellen verfügbar
- OWA -> hat keine Schnittstelle und "Screenscraping" ist extren aufwendig und fehlerträchtig

Ich kann das verbundene Gerät auch im TMG sehen. Ich frag mich nur, wie die App durch kommt. Nutzt diese App dann Outlook Anywhere und emuliert ein Outlook auf einem Notebook was sich über Anywhere(RPC over HTTPS) verbindet?

Dann kannst Du doch aber auch das Protokoll sehen, wenn Du das Gerät im TMG siehst. Und Du könntest die Verschlüsselung unterbrechen und auch in den entschlüsselten Text reinschauen.

Und wenn man per Firewall anfängt zu blocken trifft man ja warscheinlich gleich mehrere Exchange Services da die meisten ja über 443 laufen oder?

Darum brauchst Du ja auch genaue Regeln.

Grüße aus Berlin schickt Robert
MVP Exchange Server

Donnerstag, 14. März 2013 11:54

Antworten

|

Zitieren
0

Anmelden
Anbei der App Link . Ich geh aber stark davon aus, dass es nicht die einzige App ist.

Anbei einmal der aktuelle Stand:

RPC (via HTTPS) per MAPIBlockOutlookRpcHttp auf True geblockt
IMAP4 / POP3 nicht von außen erreichbar
OWA per OWAEnabled auf False

Bleibt also EWS und EAS als mögliche Option denn aktuell funktioniert es noch.

Fakt ist auf dem TMG ist es eine SSL Session über Port 443. Leider bin ich nicht so tief im TMG drin und wüsste daher nicht wie ich den Traffic aufbrechen könnte für das Gerät. Da müsste ich mal schauen ob ich da ein Tutorial oder etwas in der Art finde.

Danke & Gruß
Flat
Donnerstag, 14. März 2013 13:05

Antworten

|

Zitieren
0

Anmelden

Noch ein Nachtrag:

Ich hab im TMG mal alles mitgeloggt soweit ich das konnte.

Client agent: Outlook/1303061348 CFNetwork/609.1.4 Darwin/13.0.0

Und es läuft über EWS.

Jetzt muss ich mal schauen wie ich das geblockt bekomme.

Gruß
Flat

Donnerstag, 14. März 2013 14:14

Antworten

|

Zitieren
0

Anmelden
Moin,

Und es läuft über EWS.

laut Herstelle soll es EAS sein, aber es kann ja sein, dass das nicht stimmt.

Theoretisch könntest Du einfach die EWS-Url blocken.

Aber das würde dann auch Outlook Aynwhere und eventuell MAC-Clients betreffen.

Also bleibt nur eine Verbindung mit dem UA.

Grüße aus Berlin schickt Robert
MVP Exchange Server
- Als Antwort markiert Flatronic Donnerstag, 14. März 2013 15:01
Donnerstag, 14. März 2013 14:21

Antworten

|

Zitieren
0

Anmelden

>laut Herstelle soll es EAS sein, aber es kann ja sein, dass das nicht stimmt.

Ach ne, es scheint wohl mehre Versione zu geben, Mail+ for Outlook und Mail+ for ActiveSync

Grüße aus Berlin schickt Robert
MVP Exchange Server

Donnerstag, 14. März 2013 14:23

Antworten

|

Zitieren
0

Anmelden
set-CASMailbox "test.user" -EwsApplicationAccessPolicy:EnforceBlockList -EwsBlockList:"Outlook/13*" -EwsEnabled:$true

So hab ich es geschafft. Hab noch ein interessanten blog Artikel im Technet gefunden. Gibt natürlich noch mehr möglichkeiten auf Organisationsweit zu arbeiten. Denke damit sollte alles geklärt sein. Vielen Dank für deinen Einsatz Robert.

blog.technet.com

Gruß
Flat
- Als Antwort markiert Flatronic Donnerstag, 14. März 2013 14:51
Donnerstag, 14. März 2013 14:51

Antworten

|

Zitieren
0

Anmelden

Danke für das Feedback!

Grüße aus Berlin schickt Robert
MVP Exchange Server

Donnerstag, 14. März 2013 15:03

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Exchange 2010 - Smartphone App kann unbemerkt Emails abgreifen?!

Frage

Antworten

Alle Antworten