Vraag


  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 07:23
Lang voordat ik mijn huidige werkgever vervoegde is er beslist geweest om enkel specifieke mail apps toe te staan op mobiele platformen en enkel op gekende toestellen. Om dit te bewerkstelligen heeft men destijds besloten gehad om ActiveSync zo in te stellen dat elke nieuwe client/toestel combo in quarantaine komt en enkel na controle mag vrijgegeven worden. Men ging er dan ook van uit dat elke mobiele app zich netjes aan de standaard houdt dat men gebruik zou moeten maken van ActiveSync.

Niet dus.

Recent kwamen we er achter dat er enkele andere clients in omloop zijn die, voor zover ik kan zien, gebruik maken van EWS. De app die mij als eerst ter oren kwam was BlueMail. Ik installeer deze op mijn telefoon en inderdaad: mail zonder dat ik eerst door de quarantaine moet en na wat onderzoek zie ik dat die client zowel EAS als EWS ondersteund en dan denk ik ook: daar valt iets mee te doen.

Na te kijken wat de mogelijkheden zijn, EWS gewoon dichtgooien is dat niet daar we applicaties hebben die er gebruik van moeten kunnen maken, besloten om te gaan beginnen met een blocklist.

Ik voer even volgend commando uit:
code:
1
Set-OrganizationConfig -EwsApplicationAccessPolicy EnforceBlockList -EwsBlockList @{add='BlueMail*'}

En verwacht dat daarmee de mail wel zal stoppen in die client. Dit is een blokkering op useragent niveau, met wildcard, van de app. En ja, de setting EwsEnabled in de orgconfig staat op null zodat het overgelaten wordt aan individuele instellingen zoals deze policy en list.

Maar je raadt het al, de app blijft gewoon verbonden. Ik probeer dezelfde instelling ook op het gebruikersaccount zelf toe te passen met set-casmailbox, maar opnieuw blijft de mail gewoon doorlopen. Het blijkt een bijna onmogelijkheid te zijn om de verbinding van deze app stil te leggen.

Als ik in de access logs van IIS ga kijken, dan zie ik dat de app wel degelijk gebruikmaakt van BlueMail/12-EAS-2.0 als user agent string en blijkbaar toch de EAS subdirectory aanspreekt.

Iemand enig idee hoe een app als deze overal doorheen lijkt te komen zonder tegengehouden te worden? Dat deze EAS kan gebruiken zonder eerst langs quarantaine te passeren (ik krijg hem wel in de quarantaine als ik bij setup ActiveSync als protocol specifieer) en iemand enig idee hoe je een app als deze uiteindelijk kunt blokkeren?

Relevante software en hardware die ik gebruik
Exchange 2016 CU23 en Exchange Online

No keyboard detected. Press F1 to continue.

Alle reacties


  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 09-05 19:07

MAX3400

XBL: OctagonQontrol

specifieke mail apps
Ik zal wel niet je specifieke vraag beantwoorden maar waarom is er dan noodzaak om "random" de logging na te lopen en dan weeeer app V of app R te blokkeren? Is het niet slimmer om EnforceAllowList op te zetten en daarmee basta?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Yup. Ook: weet dat https://learn.microsoft.c...ntication-exchange-online er aan zit te komen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 07:23
MAX3400 schreef op donderdag 29 september 2022 @ 17:31:
[...]

Ik zal wel niet je specifieke vraag beantwoorden maar waarom is er dan noodzaak om "random" de logging na te lopen en dan weeeer app V of app R te blokkeren? Is het niet slimmer om EnforceAllowList op te zetten en daarmee basta?
If only it were that simple. Er zijn op dit moment toegestane applicaties waarvan dan weer niet geweten is onder welke UA die weer gewhitelist moeten worden, dus is de vraag gekomen om de overduidelijk niet toegestane apps als eerste en zo snel mogelijk te blokkeren terwijl er verder onderzocht wordt wat er op een uiteindelijke whitelist kan komen 8)7

No keyboard detected. Press F1 to continue.


  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 07:23
I am fully aware of that one. Heeft natuurlijk geen invloed op de huidige on-prem setup. On-prem hebben we recent wel HMA aangezet, maar heb nog geen goedkeuring om basic auth uit te zetten.

Op het einde van de dag is dit trouwens een strijd die ik volgens mij niet kan winnen. Want de volgende stap, als je eenmaal op EXO zit, wordt dan weer graph daar MS dat als opvolger van EWS ziet.

No keyboard detected. Press F1 to continue.