如何在我的 IIS 日志中识别 Blackberry/OWA 用户?

如何在我的 IIS 日志中识别 Blackberry/OWA 用户?

我们刚刚推出了 Blackberry Express Server,并希望确保我们用户拥有的所有 Blackberry 设备都仅通过 BES 服务器进行连接。我们正在运行 Exchange 2010 SP1。

我读过一些讨论在防火墙级别阻止 BIS 的链接。但在这样做之前,我想单独联系所有使用黑莓手机的用户,确保他们有机会切换到 BES 服务器。我已经向全公司发送了一封电子邮件,但人们往往会忽略这些,这并不奇怪,直到他们被迫采取行动。

有没有一种简单的方法可以通过搜索 IIS 日志或使用 Exchange 管理 Shell 来识别黑莓用户?尤其是一些自动化的方法?我尝试搜索黑莓标识符,但它没有出现在任何用户名旁边,因此它没有那么有用。

编辑:澄清一下,我指的是黑莓手机可以使用 OWA 下载邮件到手机。我们不允许 IMAP 或 POP 通过防火墙进行访问,所以不用担心——只有黑莓手机用户使用黑莓的破解程序,允许其在没有 BES 服务器的情况下连接到 Exchange。据我所知,黑莓手机是唯一使用这种方法下载邮件的流行手机。

答案1

不确定您所说的“Blackberry 标识符”是什么意思 - BIS 会为其请求伪造 IE 用户代理字符串。根据我的经验,查找请求的最佳方法是查看 IIS 日志中来自 BIS 服务器的请求(地址范围是这里)。这些请求将在它们发送的请求中包含用户名,类似于https://owa.example.com/exchange/username

至于查找所有请求...如果您没有好的方法来搜索日志,那就太麻烦了。BIS 服务器似乎会将服务器上所有用户的请求分批处理为来自特定服务器的请求,因此一旦找到一个服务器,搜索来自该特定 IP 的其他请求是一种好方法。

至于阻止,我发现直接在反向代理的配置中阻止 BIS 范围非常有效,这样我就可以(从日志中的 403 中)找到哪些用户正在尝试使用 BIS 设置他们的手机并直接设置它们。

答案2

如果有人通过 IIS 访问 OWA,我的 IIS 日志中确实包含 BlackBerry 引用。(请注意黑莓9630

2011-03-16 15:56:29 W3SVC1 10.1.1.11 GET /owa - 80 - 10.1.1.37 BlackBerry9630/5.0.0.484+Profile/MIDP-2.1+Configuration/CLDC-1.1+VendorID/189 301 0 0

我搞不清楚您的具体问题是什么。您是说有人在他们的 BlackBerry 设备上使用 OWA,还是他们使用 IMAP 或 POP 连接到您的 Exchange 服务器?

答案3

好的,我又花了几个小时研究这个问题,以下是我发现的结果:

1) ISA 跟踪 IIS 日志中缺失的客户端 IP,因此我能够找到对 Blackberry Internet Service IP 范围的引用。不幸的是,所有 USER 引用都是匿名的,因为 ISA 服务器不处理身份验证 - 它只是将请求传递给 Exchange 2010 框。因此,ISA 日志本身毫无用处。

2) 将 ISA 日志与 IIS 日志进行匹配看起来需要大量工作,因为我能想到的唯一方法就是匹配时间戳,而无法保证时间同步。

3) 当我再次扫描 IIS 日志时,我注意到几个请求使用了 PROPFIND 方法,而我并不熟悉这种方法。经过研究,我了解到这是访问 OWA 的 Webdav 方法。BIS 使用 Webdav 将 OWA 消息下载到黑莓手机,因此这是一个有用的线索。

4) 我使用 PROPFIND 方法搜索了 IIS 日志中的所有查询。这些查询确实包含用户名。虽然不能保证这些是黑莓用户,但至少比使用 BIS 主要使用的访问方法将其限制为条目的统一电子邮件更有用。弹出的大多数(但不是全部)用户名与我所知道的使用黑莓的用户的用户 ID 相匹配,因此相关性相当高——我猜例外的是使用黑莓的人,只是没有告诉我们。

如果我的推理有误,请纠正我!希望这能帮助其他完成类似任务的人。

相关内容