none
Set-CasMailbox的MapiBlockOutlookExternalConnectivity参数真的有用吗? RRS feed

  • 问题

  • Exchange 2016的环境,要屏蔽外部网络电脑的Outlook收发邮件。于是研究了一下Set-CasMailbox的MapiBlockOutlookExternalConnectivity参数。

    参照文档,我执行了下面这条命令:

    Set-CASMailbox -Identity 'testuser02' -MAPIBlockOutlookExternalConnectivity $true

    然后测试testuser02这个邮箱帐户:在内部局域网电脑上收发邮件正常;换到外部Internet网络上尝试收邮件,提示服务器无法连接。一切看来很好!

    然而,仔细看文档,发现这个参数的机制是,通过删除Autodiscover响应内容中的external URL(removing the external URLs from the Autodiscover response),使得外部的Outlook无法接入。

    我用Outlook的“测试邮件自动配置”功能验证了一下,确实Autodiscover获取到的内容中,只有MAPI的内部URL(比如我这里的内部URL是https://testex01.ad.test/mapi)。看到这里我突然想到,难道这只是利用在公网上无法解析内网的FQDN来阻止Outlook的接入吗?

    于是,我在外网电脑的hosts文件里加上内网域名的一条解析记录,指向我们的公网IP地址:

    140.xxx.xxx.xxx    testex01.ad.test

    然后再次测试这台外网电脑Outlook,结果真的能正常收发邮件,除了会跳出两次证书不符的报警。

    我有点不太敢相信,MapiBlockOutlookExternalConnectivity这个参数所谓的阻止外部Outlook接入的功能,就这么轻而易举地被绕过了吗?还是我哪里做错了?







    2019年3月22日 6:57

答案

  • 您好,

    很感谢您提出的这个问题和对此进行的严谨的研究,这是一个很有用的技术点。

    如您所说,这个参数是通过删除 Autodiscover 响应中的外部 URL 来工作的。它能在一定程度上限制 Outlook 的外部连接。对于管理员来说,由于您了解内网域名或公网 IP 等具体的网络配置,可以通过在 host 文件中添加记录来绕过这个参数。但对于一般用户而言,这个参数的确可以限制 Outlook 的外网连接。

    再次感谢您提出这个案例。如果您有任何 Exchange 相关的问题或新的发现,欢迎您继续在论坛里提问,与论坛成员一起进行技术讨论。 

    此致,

    Dawn Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月25日 8:33
    版主

全部回复

  • 您好,

    很感谢您提出的这个问题和对此进行的严谨的研究,这是一个很有用的技术点。

    如您所说,这个参数是通过删除 Autodiscover 响应中的外部 URL 来工作的。它能在一定程度上限制 Outlook 的外部连接。对于管理员来说,由于您了解内网域名或公网 IP 等具体的网络配置,可以通过在 host 文件中添加记录来绕过这个参数。但对于一般用户而言,这个参数的确可以限制 Outlook 的外网连接。

    再次感谢您提出这个案例。如果您有任何 Exchange 相关的问题或新的发现,欢迎您继续在论坛里提问,与论坛成员一起进行技术讨论。 

    此致,

    Dawn Zhou


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月25日 8:33
    版主
  • Hi Dawn,

    感谢你的答复。

    看来这个“功能”实在有点搞笑,甚至可以说对管理员是个危险的误导。如果真用上了,到某一天被用户发现这个漏洞,那就很尴尬了。

    2019年3月26日 0:47