我已经在 Google 上彻底搜索过这个问题,但没有结果,而且我认为微软 2000 美元的支持报价实际上看起来是合理的,但我希望也许有人能有个想法。
问题:我们希望禁用不在我们公司局域网上的任何人的 Exchange 访问权限。该位置是主分支的一个小分支,出于安全原因,其电子邮件托管在本地。我们不希望大楼外的任何人能够将他们的 Exchange 帐户添加到 Outlook 安装或移动设备或类似的东西中。我们在 Server 2012R2、IIS 8 上运行 Exchange 2013。
我们利用 Exchange 的隔离功能解决了移动设备问题,但对于桌面用户来说不存在这样的问题。我努力了:
- 进入 EPC,服务器 -> Outlook Anywhere,将 Outlook Anywhere 外部主机名清空/用无法解析的名称替换它 - 据我所知,这完全没有起到什么作用
- 在邮箱上运行 Get-Mailbox -MAPIBlockOutlookRpcHttp 命令我不想在网络外访问 Outlook。虽然这曾经在 Exchange 2007 上有效,但在 2013 年,它也会禁用内部用户的访问
- 在 IIS 中的 RPC 网站上设置 IP 地址和域限制,以禁止所有非本地 IP 的内容 - 也没有任何效果,即使设置为拒绝每个 IP 范围
- 血魔法
我觉得这应该没那么难。我们并不担心外部访问 OWA,因为我们在它前面有一个双因素设备。禁用自动发现也无济于事;任何从公共 IP 向 Exchange 进行身份验证的请求都应被拒绝,就是这样。
我知道这个问题很小众(因为我在 Google 上只发现了几个类似的事件),但我希望这里有人能找出我做错的地方。提前谢谢!
答案1
您需要反向代理。Exchange 产品团队在 2013 年的一篇博客文章中概述了如何做到这一点。
这将允许您控制对 443 的访问,因此您可以允许 OWA、ActiveSync,但阻止 Outlook Anywhere。
虽然 IP 地址限制应该有效。你之后运行了 IISRESET 吗,以便它生效?
答案2
如果您不希望任何外部人员能够访问您的邮件服务器,最简单的方法就是不要将其端口 80/443 暴露给外部世界。仍然允许内部通信。如果您的防火墙规则允许,请将其关闭。