none
Inibire utilizzo smtp exchange 2010 agli utenti autenticati RRS feed

  • Domanda

  • Buongiorno,

    in un server windows 2008 con exchange 2010 vorrei che gli utenti non possano utilizzare il server per l'invio di mail tramite l'smtp con i client di posta tradizionali ma solo tramite Outlook in modalità exchange o owa.

    Come posso fare ad implementare queste restrizioni?

    Grazie.

    mercoledì 19 febbraio 2014 21:28

Risposte

  • Aggiungo una variazione sul tema.

    Si possono modificare i permessi sul receive connector (con un minimo di testa però)

    Vedi http://technet.microsoft.com/en-us/library/aa996395(v=exchg.140).aspx

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    • Proposto come risposta Net Expert IT giovedì 20 febbraio 2014 15:31
    • Contrassegnato come risposta Anca Popa mercoledì 26 febbraio 2014 15:50
    giovedì 20 febbraio 2014 13:41
  • Aggiungo una variante sul tema proposto da Gabriele, si potrebbe creare un nuovo receive connector, di tipo custom, con le impostazioni di default, disattivando tutti i criteri di autenticazione e impostando negli ip sorgente il range di ip dei client (occhio a non includere altro). In questo modo le connessioni smtp dei client si attestano su questo connettore, che non avendo definiti metodi di autenticazione, non fa spedire nessuno.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Proposto come risposta Net Expert IT giovedì 20 febbraio 2014 17:46
    • Contrassegnato come risposta Anca Popa mercoledì 26 febbraio 2014 15:50
    giovedì 20 febbraio 2014 14:29
    Moderatore

Tutte le risposte

  • Fabio IK6NPA ha pensato forte :

    Buongiorno,

    in un server windows 2008 con exchange 2010 vorrei che gli utenti non possano utilizzare il server per l'invio di mail tramite l'smtp con i client di posta tradizionali ma solo tramite Outlook in modalità exchange o owa.

    Come posso fare ad implementare queste restrizioni?

    Grazie.

    Il modo più pulito è chiudere la prta 25 in uscita per tutti tranne che per il server

    mercoledì 19 febbraio 2014 22:37
  • Aggiungo un modo alternativo anche se concordo con Sky che il modo migliore è quello da lui suggerito. Esiste una chiave di registro che distribuita via group policy toglie da outlook la possibilità si aggiungere poi account di qualsiasi tipo tranne quelli exchange. Questa è la versione office 2013, basta cambiare il 15.0 con la versione che si ha. Per riabilitarla basta mettere lo 0 al posto dell'1 sulla fine della dword. La uso in alcuni casi ed è molto funzionale, l'utente non prova nemmeno più a smanettare sugli account. 

    [HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Options]
    "disablepop3"=dword:00000001
    "disableimap"=dword:00000001
    "disablehttp"=dword:00000001

    Ciao!

    A.

    giovedì 20 febbraio 2014 10:42
    Moderatore
  • Aggiungo una variazione sul tema.

    Si possono modificare i permessi sul receive connector (con un minimo di testa però)

    Vedi http://technet.microsoft.com/en-us/library/aa996395(v=exchg.140).aspx

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    • Proposto come risposta Net Expert IT giovedì 20 febbraio 2014 15:31
    • Contrassegnato come risposta Anca Popa mercoledì 26 febbraio 2014 15:50
    giovedì 20 febbraio 2014 13:41
  • Aggiungo una variante sul tema proposto da Gabriele, si potrebbe creare un nuovo receive connector, di tipo custom, con le impostazioni di default, disattivando tutti i criteri di autenticazione e impostando negli ip sorgente il range di ip dei client (occhio a non includere altro). In questo modo le connessioni smtp dei client si attestano su questo connettore, che non avendo definiti metodi di autenticazione, non fa spedire nessuno.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Proposto come risposta Net Expert IT giovedì 20 febbraio 2014 17:46
    • Contrassegnato come risposta Anca Popa mercoledì 26 febbraio 2014 15:50
    giovedì 20 febbraio 2014 14:29
    Moderatore
  • Scriveva Alessandro-Vannini [MVP] giovedì, 20/02/2014:

    Esiste una chiave di registro che distribuita via group policy toglie da outlook la possibilità si aggiungere poi account di qualsiasi tipo tranne quelli exchange.

    Mi piace anche questa soluzione, anche se non mette al riparo dagli "smanettoni" che magari arrivano con programmi portable.

    giovedì 20 febbraio 2014 14:58
  • o vanno via webmail su gmail...ed a quel punto tutto il discorso decade in ogni caso. :-) 
    giovedì 20 febbraio 2014 15:01
    Moderatore
  • Nel suo scritto precedente, Alessandro-Vannini [MVP] ha sostenuto :

    o vanno via webmail su gmail...ed a quel punto tutto il discorso decade in ogni caso. :-) 

    Beh si, ma lì si entra in un altro ramo... :-)

    giovedì 20 febbraio 2014 15:04
  • vero, ma il discorso del thread per me ha 2 intenti:

    - non far spedire roba sensibile fuori alla gente con account diversi da quelli aziendali

    - avere un monitoraggio di quello che esce perchè passa tutto dallo stesso posto

    per bypassare il tutto basta andare in webmail personale ed allegare qualsiasi cosa alla propria mail, se non hai quindi un content filtering\proxy che secchi le webmail o controllo contenuti non serve a molto la cosa...no? ;) quindi metterei un usb locker che pialla tutte le chiavette\dischi esterni\cd rom per il portable e proxerei tutto tramite un bel firewall UTM, a quel punto puoi anche lasciare configurare le caselle agli utenti, tanto la posta non esce se non da exchange. :-)

    Ciao!!

    A.

    giovedì 20 febbraio 2014 15:19
    Moderatore
  • [HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Options]
    "disablepop3"=dword:00000001
    "disableimap"=dword:00000001
    "disablehttp"=dword:00000000


    @A. Mi chiedo ma non bisogna lasciare attivo il protocollo http  (rpcoverhttp) e come la mettiamo con la 25 di exchange?

    @Sky Chiudendo la 25 non risolvi nulla, potranno comunque usare qualsiasi client di posta usando come smtp exchange, giusto?


    giovedì 20 febbraio 2014 15:28
  • scusa se lasci attiva la http la gente si configura gli account hotmail. Cosa c'entra l'rpc over http dell'outlook anywhere? la modifca della regkey blocca il menu di aggiunta account mica la porta tcp del pc! la 25 cosa c'entra? come fa uno a spedire con exchange, mica avrai un open relay no?? spedirà solo chi ha una cassetta postale valida, quindi ti ho risposto anche al quesito a Sky. Ciao!
    giovedì 20 febbraio 2014 16:21
    Moderatore
  • scusa se lasci attiva la http la gente si configura gli account hotmail. Cosa c'entra l'rpc over http dell'outlook anywhere? la modifca della regkey blocca il menu di aggiunta account mica la porta tcp del pc! la 25 cosa c'entra? come fa uno a spedire con exchange, mica avrai un open relay no?? spedirà solo chi ha una cassetta postale valida, quindi ti ho risposto anche al quesito a Sky. Ciao!

    Abbiamo fatto un po' di confusione e non hai capito la  domanda che Fabio ha fatto:

    "Inibire utilizzo smtp exchange 2010 agli utenti autenticati
    in un server windows 2008 con exchange 2010 vorrei che gli utenti non possano utilizzare il server per l'invio di mail tramite l'smtp con i client di posta tradizionali ma solo tramite Outlook in modalità exchange o owa."

    Fabio, non ha mica detto che non devono usare webmail esterne o libero.it/gmail.com... vuole impedire ai suoi utenti AUTENTICATI di usare l'smtp di exchange(xchè nn lo capisco); poi ti sei confuso,  un open relay dove serve l'autenticazione non è OPEN, e con outlook express puoi fare l'autenticazione smtp e spedire usando exchange anche dopo che skywalker ha chiuso la 25 :)  

    Il protocollo HTTP ti serve per configurare outlook2013 senza usare mapi ma rpcoverhttp, così ti connetterai all'exchange dove in precedenza hai chiuso il connettore (sulla 25/465/587... )per tutti i clients e spento i servizi pop e imap (aquesto punto le 2chiavi rimanenti non servono)... vedi risposte Tansini/Ferrazzi. Ora gli utenti potranno usare solo Outlook  o programmi che parlino mapi/rpcoverhttp  (non dovrei dirlo, possono usare qualsiasi programma di mail + freepops http://www.freepops.org/it/ :)

    Ciao





    giovedì 20 febbraio 2014 16:55
  • Alessandro-Vannini [MVP] ha detto questo giovedì :

    vero, ma il discorso del thread per me ha 2 intenti:

    - non far spedire roba sensibile fuori alla gente con account diversi da quelli aziendali

    - avere un monitoraggio di quello che esce perchè passa tutto dallo stesso posto

    per bypassare il tutto basta andare in webmail personale ed allegare qualsiasi cosa alla propria mail, se non hai quindi un content filtering\proxy che secchi le webmail o controllo contenuti non serve a molto la cosa...no? ;) quindi metterei un usb locker che pialla tutte le chiavette\dischi esterni\cd rom per il portable e proxerei tutto tramite un bel firewall UTM, a quel punto puoi anche lasciare configurare le caselle agli utenti, tanto la posta non esce se non da exchange. :-)

    Purtroppo per evitare i furti di dati bisognerebbe mettere una guardia giurata dietro ad ogni impiegato... niente gli impedirebbe, infatti, di stamparsi una copia (o un print screen, o fare una bella foto col cellulare allo schermo...) dei dati che vuole portarsi via.
    Ho un cliente che è in causa praticamente con tutti gli ex dipendenti per cose del genere nonostante tutta una serie di precauzioni (99,9% paranoia).

    giovedì 20 febbraio 2014 20:29
  • Net Expert IT ti ringrazio tantissimo di avermi spiegato come funziona la posta, ma io non ho affatto confusione in testa ed ho capito la domanda. Il discorso è diverso: sono solo andato oltre, perchè l'unica ragione per bloccare gli utenti autenticati alla spedizione è per questione di sicurezza, non credo che lasci poi aperta la porta per i guests. Di qui ho pensato che dopo aver letto la risposta di Sky l'utente domani sarebbe arrivato chiedendo "ma ora che ho bloccato la 25 gli utenti si configurano una casella http di hotmail in outlook e vanno fuori lo stesso!" Quindi ho dato una semplice modifica al registro che toglie i menu del programma mettendoli in grigetto. Era solo un'integrazione tutto qui. Se poi l'utente può installare quello che vuole non ha senso bloccare gli utenti con exchange bypassa quando vuole. Non mi pare nemmeno di essermi confuso sull'open relay, era solo una constatazione nel senso "perchè mi chiedi della 25? Mica hai un open relay se hai gli utenti autenticati". Fabio probabilmente non ha capito che la regkey toglie solo il menu, credeva che bloccasse le porte, cosa che non fa, non tocca il protocollo, quindi anche l'rpcoverhttp resta naturalmente aperto, alla fine dopo che hai configurato l'account all'utente cambi la chiave aggiungendo anche l'exchange alla lista e lo user standard non può più aggiungere account di alcun tipo da outlook. Per l'ultima parte della tua risposta è corretta ma quella ammetto, non l'ho capita, certo che se chiudi tutte le porte non servono le regkey ma la 80 la lascierai aperta? A quel punto basta un programma che inoltri tutto sulla 80 e non blocchi più nulla. La mia era quindi solo una cosa in più per l'utente medio che apre e chiude i programmi e non sa modificare nulla più associata la blocco della 25, se andiamo sul sistemista o lo smanettone puoi chiudere quello che vuoi può uscire col cellulare in hotspot e non hai fermato nulla. Ciao Net Expert. A.
    giovedì 20 febbraio 2014 21:35
    Moderatore
  • io volevo semplicemente dire:

    • La soluzione di Skywalker, chiudere la 25 ai clients, non risponde alla richiesta di Fabio (anche se concordo che rimane una buona pratica)
    • la Tua modifica della chiave inibiva l'aggiunta account con protocollo http con le ovvie conseguenze
    • Tolti i post Tansini/Ferrazzi tutto il resto mi sembra un pourparler

    PS ho corretto il post precedente con FREEPOPS


    giovedì 20 febbraio 2014 22:37
  • Nessun problema, ma puntializziamo: la mia modifica toglie un menu di scelta aggiunta account ad outlook, non tocca nessuna porta sulla macchina e non inibisce nulla di nulla a nessuno, elimina solo la possibilità all'utente di aggiungere account di ogni tipo. magari provala così te ne rendi conto a volte torna utile. ciao.
    venerdì 21 febbraio 2014 06:51
    Moderatore
  • Ciao Fabio,

    Ad oggi il tuo quesito nel Forum di Exchange Server e' ancora aperto per noi.

    Per chiuderlo, puoi segnare come risposta gli interventi che hanno risposto alla tua domanda iniziale, così anche gli altri utenti del forum possono sapere che si tratta di uno scenario risolto e riescono ad individuare la soluzione piu' velocemente (senza leggere tutta la discussione).

    Grazie a tutti della partecipazione nel Forum di Exchange Server :-)


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 24 febbraio 2014 15:04