EWS Zugriff beschränken

1. offizieller Beitrag

    Wir haben einen Exchange Server 2013, der über eine Sophos UTM OWA und ActiveSync zur Verfügung stellt.
    Nun habe gerade festgestellt, dass auf unseren Server von extern auch über ews auf die Postfächer zugegriffen werden kann.
    Auf der UTM sind die Verzeichnisse /ews/* auch freigegeben. Sind diese für OWA und ActiveSync notwendig oder kann ich die EinstiegsURL aus der Konfiguration der UTM entfernen?
    Ich will auf jeden Fall vermeiden, das Apps über ews auf meinen Exchange Server zugreifen können.

    • Offizieller Beitrag

    Probiers doch aus. FÜrs EAS nicht, aber für Outlook Anywhere werden afair die Freebusy und Abwesenheitseinstellungen darüber vorgenommen. Auch Outlook for Mac nutzt EWS. Bei OWA bin ich mir nicht ganz sicher. Der Zugriff auf die Settings im OWA wurde in früheren Versionen zumindest über /EWS abgefackelt. Ob das derzeit bei 2013 noch zutrifft kann ich grad nicht testen. Wo siehst du jetzt ein Problem mit EWS?

    Wir stellen nur einigen Personen mit Firmenhandys ActiveSync zur Verfügung und allen weiteren Mitarbeitern dürfen über OWA auf ihr Postfach zugreifen.
    Jetzt gibt es aber Smartphone Apps, wie z.B. CloudMagic, die stellen eine Verbindung über EWS her und werben damit, die E-Mail überall hin zu Speichern/synchronisieren.
    Das würde ich gerne unterbinden.

    • Offizieller Beitrag

    Hi Robert,
    ah ja stimmt. Das ist per ECP. Aber selbst das hat sich afair geändert. Hatte das neulich glaub ich mal getestet.


    Peterz: Cloudmagic klingt ein wenig wie Outlook for iOS and Android. Also ein Account der cloudseitig die Verbindung zum Exchange herstellt und dann das Gerät zu Cloudmagic verbunden ist. Quasi die selben Vor- und Nachteile die bei MS Outlook for iOS and Android vorkommen.
    http://exchangeserverpro.com/outlook-for-ios-and-android/


    Und selbst wenn du EWS blockst, kommen diese Geräte per EAS ja trotzdem ran.


    Bye
    Norbert

    Nicht ganz. Man benötigt nicht zwingen einen Account. Die App fragt bei der Einrichtung, ob du über ActiveSync, EWS oder IMAP mit deinem Exchange angebunden werden willst. Und dann ist das ganze ein schwarzes Loch...


    Ich habe testweise mal versucht die EWSBlacklist zu füllen, hat leider keine Erfolg gebracht.


    Set-CASMailbox -Identity Test –EwsApplicationAccessPolicy:EnforceBlockList –EwsBlockList:"CloudMagic"



    In der EWSBlockList des Users steht CloudMagic drinnen, geblockt wird aber nichts :(



    Ich werde "ews" mal von der UTM entfernen.

    • Offizieller Beitrag

    Der Name kommt wohl nicht "umsonst". It works by Magic. ;)
    https://cloudmagic.com/k/privacypolicy


    Zitat von CloudMagic

    We use OAuth (wherever possible) which gives us access to your data without letting us know your password. Your data and credentials are absolutely safe with us.

    Also ich tendiere weiterhin zu meinem Gedanken weiter oben. Das Ding ist quasi ein Stellvertreter-Dienst für den Exchange bzw. sonstige Zugänge. Und damit connected eben nicht dein Handy/deine App zu deinem Exchange, sondern der Cloudservice.
    Auch lesenswert: https://community.spiceworks.c…dmagic-from-exchange-2010

    Ich habe /ews/ jetzt von der UTM verbannt uns schon ist keine Verbindung möglich. ActiveSync und OWA scheinen ohne Probleme zu funktionieren, soweit ich es testen konnte.
    Jetzt habe ich dieses Magic Hole erst mal gestopft.

    Ein neues Konto kann man noch einrichten, dann will sich CloudMagic über EWS mit dem Postfach verbinden und spuckt einen Fehlermeldung (The server encountered an error. ...) aus.
    Ich nehme alles zurück, mit einem neuen Konto funktioniert die Anmeldung doch :(

    2 Mal editiert, zuletzt von Peterz ()