Johan's Web Portal

Vanaf Exchange 2007 worden diverse functionaliteiten aangeboden via web services ook wel bekend als de Exchange Web Services (EWS). Functionaliteiten die door EWS worden aangeboden zijn o.a.  free/busy en Out Of Office.

Diverse clients waaronder Outlook 2007 en hoger, Entourage met EWS  extensie en Outlook 2010 maken gebruik van EWS. Deze laatste twee clients zijn alleen beschikbaar voor de Mac en maken geen gebruik van MAPI voor het verzenden/ontvangen van e-mail maar gebruiken EWS hiervoor. Een ander Mac product wat op deze manier werkt is Apple Mail wat op dezelfde manier werkt als Entourage en Outlook 2011.

Op je lokale netwerk zal dit in de meeste gevallen geen probleem opleveren  maar als je je Exchange omgeving gaat publiceren richting het internet kan dit voor ongewenst verkeer zorgen. Waarom? EWS maakt standaard gebruik van een gebruikersnaam en wachtwoord voor authenticatie. Laten we naar een kort voorbeeld kijken:

Je bedrijf wil het alleen toestaan om gebruikers toegang tot hun mail via ActiveSync en OWA. Outlook Anywhere wordt niet ingeschakeld en volledige Outlook toegang is alleen toegestaan via een VPN.

Nu komt het leukste gedeelte, wanneer je gebruik maakt van Entourage, Outlook 2011 of Apple Mail zullen gebruikers nu ook mail kunnen versturen/ontvangen. Dit omdat deze clients gebruik maken van EWS en EWS direct of veiliger via een reverse proxy wordt gepubliceerd. Met deze laatste methode kun je overigens voorkomen dat EWS dus direct wordt gepubliceerd richting het internet. We gaan echter later in deze blog zien dat dit niet altijd mogelijk is.

Hoe kun je dit oplossen? Dit is afhankelijk van of je wel/geen Entourage en Outlook 2011 clients in je lokale netwerk hebt. Indien je dit niet hebt kun je beide clients blokkeren.

Om dit te configureren voer je het volgende cmdlet uit op je Exchange server:

Set-OrganizationConfig –EWSAllowEntourage $false –EWSAllowMacOutlook $false –EWSAllowApplicationAccessPolicy: EnforceAllowList

Laten we de parameters eens bekijken:

• EWSAllowEntourage: wordt Entourage toegelaten of niet
• EWSAllowMacOutlook: wordt Outlook 2011 toegelaten of niet
• EWSAllowApplicationAccessPolicy:  worden andere applicaties/services toegelaten (EnForceAllowList) om EWS te gebruiken of juist niet (EnForceBlockList)

Deze laatste parameter is natuurlijk gevaarlijk omdat hiermee andere applicaties/services ook kunnen worden geblokkeerd om EWS te gebruiken. Dit omdat de AllowList parameter niet gebruikt is. Een paar voorbeelden van applicaties/services die hiervan gebruik maken zijn: OCS/Lync clients en BlackBerry Server.

Om deze applicaties toe te laten moeten we eerst weten welke user agent sting gebruikt wordt om connectie te maken naar EWS. De user string kan gevonden worden in het IIS log bijvoorbeeld:

2012-08-03 12:07:40 192.168.1.2 POST /EWS/Exchange.asmx – 443 – 192.168.1.10 Microsoft+Office/12.0+(Windows+NT+5.1;+Microsoft+Office+Outlook+12.0.6425;+Pro)

2012-08-03 00:03:14 192.168.1.2 GET /autodiscover/autodiscover.xml – 443– 192.168.1.10 OC/4.0.7577.4051+(Microsoft+Lync+2010) 200 0 0 0

Enkele bekende user strings die gebruikt worden zijn:

• BlackBerry Servers: Mozilla/4.0+
• Microsoft OCS 2007 R2: OC/3.5.*.*
• Microsoft Lync 2010: OC/4.*.*.*
• Microsoft Lync Web App: CWA/4.*.*.*
• Microsoft Lync Phone Edition: OCPhone/4.*.*.*

Stel dat we het eerder genoemde scenario iets aanpassen:

Je bedrijf wil het alleen toestaan om gebruikers toegang tot hun mail via ActiveSync en OWA. Outlook Anywhere wordt niet ingeschakeld en volledige Outlook toegang is alleen toegestaan via een VPN. Het bedrijf besluit Microsoft Lync 2010 te gaan implementeren en wil graag gebruik maken van alle functionaliteiten dus ook de Outlook integratie. Het is toegestaan om Lync ook te gebruiken zonder dat er een VPN sessie is opgezet.

In dit geval zullen we dus moeten voorkomen dat Lync wordt geblokkeerd als het gebruik wil maken van EWS:

Set-OrganizationConfig –EWSAllowEntourage $false –EWSAllowMacOutlook $false –EWSAllowApplicationAccessPolicy: EnforceAllowList –AllowList {“*OC*”}

Door bovenstaande cmdlet te gebruiken staan we het toe om zowel EWS te laten gebruiken door zowel OCS 2007 R2 als Lync 2010.

Een andere manier om EWS toegang te blokkeren vanaf extern is door gebruik te maken van je F5 appliance, uiteraard wanneer je er een hebt. Een goede handleiding kun je vinden op deze pagina geschreven door collega MVP Tom Pacyk.