我需要阻止Apple的Mail.app电子邮件客户端连接到我们的Exchange 2010和2013服务器。 Mail.appu的EWS连接到Exchange服务器,所以我阻止EWS与IPfilter。 这停止了Mail.app的工作,但它也停止了AutoDiscover。
有没有更好的方法来阻止Mail.app? 或者我可以启用自动发现,同时阻止其余的EWSfunction?
用户代理列入黑名单或白名单的问题是用户代理string是可欺骗的。
我已经在自己的环境中完成了这项工作,以确认白名单对我们来说不够好,使用Thunderbird的ExQuilla扩展。 说明在https://exquilla.zendesk.com/entries/41164327-Custom-User-Agent-string
不幸的是我对这个问题没有更好的答案。 我们必须阻止反向代理中的EWS,以防止外部客户端无法使用2FA下载邮件。 OWA很容易2FA和EAS支持条件访问或设备隔离,但EWS只是开放只有用户名和密码。 这对我们来说是一个巨大的痛苦。
如果客户端确实通过EWS连接到Exchange,则有一种方法可以发现用于此客户端的UserAgent。 只要它是可识别的(不是托pipe服务中的东西,顺便说一下),你可以通过Set-OrganizationConfig来阻止它。
使用日志parsing器查看Exchange服务器上的IIS日志,以发现应用程序的用户代理string。 有了这些信息,您可以在Exchange 2010及更高版本上使用以下内容:
Set-OrganizationConfig -EwsApplicationAccessPolicy EnforceBlockList -EwsBlockList @{Add="UserAgent/*"}
通配符可以是用户代理块列表中的朋友,这实际上取决于您在IIS日志中find的内容。
您还可以通过使用Set-CasMailbox而不是整个组织范围的“Set-OrganizationConfig”来阻止每个用户
参考: https : //blogs.technet.microsoft.com/matabra/2012/08/23/block-mobile-apps-that-use-exchange-web-services/
我也写了关于在这里阻止一个特定的应用程序: http : //blaughwtech.blogspot.com/2015/07/block-microsoft-send-app-in-ews-policy.html