Desabilitando o Outlook em Qualquer Lugar para usuários externos no Exchange 2013

1

Eu estive pesquisando o assunto de forma exaustiva no Google, e estou no ponto em que a cotação de suporte da Microsoft no valor de US $ 2000 parece razoável, mas eu esperava que talvez alguém aqui tivesse uma ideia.

PROBLEMA: gostaríamos de desabilitar o acesso ao Exchange para qualquer pessoa que não esteja em nossa LAN corporativa. A localização é uma pequena ramificação do ramo principal e seu e-mail é hospedado localmente por motivos de segurança. Não queremos que ninguém fora do prédio possa adicionar sua conta do Exchange a um dispositivo móvel ou de instalação do Outlook ou qualquer coisa desse tipo. Estamos executando o Exchange 2013 no servidor 2012R2, IIS 8.

Enfrentamos a questão do dispositivo móvel com a função de quarentena do Exchange, mas isso não existe para usuários de computadores. Eu tentei :

  • indo para o EPC, servidores - > Outlook Anywhere e anulando o nome do host externo do Outlook em Qualquer Lugar / substituindo-o por algo que não resolve - isso não fez absolutamente nada, tanto quanto eu posso dizer
  • executando o comando Get-Mailbox -MAPIBlockOutlookRpcHttp nas caixas de correio Eu não quero ter acesso ao Outlook fora da rede. Enquanto isso costumava funcionar no Exchange 2007, em 2013 ele desabilita o acesso para usuários internos também
  • configurar restrições de domínio e endereço IP no site do RPC no IIS para proibir tudo o que não é um IP local - também não fez absolutamente nada, mesmo quando definido para negar todos os intervalos de IP
  • magia do sangue

Eu sinto que isso não deveria ser tão difícil. Não estamos preocupados com o acesso externo ao OWA, já que temos um appliance de dois fatores na frente dele. A desativação da descoberta automática também não acontece; quaisquer solicitações para autenticar no Exchange de um IP público devem ser canceladas, ponto final.

Eu sei que esse problema é bem específico (já que encontrei apenas alguns incidentes semelhantes no Google), mas espero que alguém possa descobrir o que estou fazendo de errado. Obrigado antecipadamente!

    
por Tarus 29.01.2016 / 16:53

2 respostas

0

Você precisa de um proxy reverso. A equipe de produtos do Exchange descreveu como fazer isso em um blog de 2013.

link

Isso permitirá que você controle o acesso ao 443, para que você possa permitir o OWA, o ActiveSync, mas bloquear o Outlook em Qualquer Lugar.

Embora as restrições de endereço IP devam ter funcionado. Você rodou o IISRESET depois, então entrou em vigor?

    
por 29.01.2016 / 17:25
0

A maneira mais fácil é simplesmente não expor o seu servidor de e-mail nas portas 80/443 ao mundo externo se você não quiser que QUALQUER OUTRO externo possa acessá-lo. Ainda permite a comunicação interna. Se você tiver regras de firewall permitindo isso, desative-as.

    
por 29.01.2016 / 16:56