Outlook-iOS-Android 应用通过 ActiveSync 进行可疑活动

Outlook-iOS-Android 应用通过 ActiveSync 进行可疑活动

背景: 我的许多用户都使用智能手机(主要是 iPhone)通过 ActiveSync 访问其内部 MS-Exchange 邮件帐户。在 iOS 13.5 之前的版本最近出现安全问题后,我们建议每个人都禁用原生 iPhone 邮件应用程序。作为替代方案,我们建议使用 Microsoft Outlook 应用程序。

iOS 13.5 发布后,我们还建议切换回原生应用并卸载 MS 应用。与此同时,我们观察到 Exchange 的负载显著增加,每日备份(清理日志)之间的事务日志快速增长。几天内,这种情况并没有自行好转,而且危险迫在眉睫,我们的磁盘无法容纳两天的日志量,因此,如果每日备份失败,我们将注定失败。因此,我们采取措施进行更详细的分析。罪魁祸首是大量的 ActiveSync 点击,有时每个用户每天有几千次。但有一个相关性:所有点击次数巨大的用户都以Outlook-iOS-Android/1.0用户代理的身份进入。在我们第一次分析时,当“每个人”都使用该应用时,这并不奇怪。然而,在几个用户切换回来后,情况仍然没有改变。那些再次使用原生 iPhone 应用的人导致显著地(即,按数量级)更少的负载和对数体积。

因此,我们向受影响的用户发送邮件,要求他们尽快切换回原生应用,其中部分用户已经这样做,这让我们感到轻松不少——足以让我们不再担心系统稳定性。显然,并不是所有人都会立即切换,而且少数人肯定会完全无视我们的要求。

但我们很惊讶,有一位用户报告说切换回来,但他仍然以 Outlook-App 用户的身份出现(以及使用本机应用程序的不同设备 ID)。我们特别询问用户是否有另一台(私人)设备处于活动状态。他否认;他从私人电话访问邮件的唯一方式是通过浏览器和 Outlook Web Access 临时访问,而且这种情况很少见,因为他通常随身携带办公电话。根据这些信息,他的帐户下的 Outlook-App 访问负载计为可疑的

我进一步调查后发现,这些访问也来自可疑的 IP 地址。虽然其他 ActiveSync 访问来自区域(此处为德国)电话提供商 IP 范围,但这些 Outlook-App 访问来自 52.97.xx,根据 whois 信息,该 IP 属于微软。虽然这至少不是某个明显的中国/俄罗斯黑客 IP 范围,但这对我来说仍然令人不安。

问题 1:绕过微软的网络范围是正常的吗Outlook-iOS-Android/1.0?如果只有被允许阅读邮件的人才能阅读邮件,而不是(至少可能)被美国控制的某些代理阅读,我会更高兴。那么我甚至可能不得不根据 GDPR 完全禁止使用该应用程序。

问题2:造成如此巨大的负载是正常的吗Outlook-iOS-Android/1.0?据我所知,客户端甚至没有任何配置选项允许用户每 30 秒请求一次同步。

问题3:Outlook-iOS-Android/1.0(或所述代理) 在不再安装在用户的任何设备上后仍然造成负载,这正常吗?

由于部分用户卸载做过减少负荷,Q3 是最让我吃惊的(而 Q1 是忧虑我最喜欢 Q2混淆我最喜欢)。

问题4:我该怎么办?我即将在防火墙上阻止 MS 网络范围对端口 443 的传入请求...

答案1

您的 Exchange 服务器是什么版本的?

根据您的问题,您可以参考微软的文章来开立ticket,这样可以获得更准确的答复。管理和监视组织中的 iOS 和 Android 版 Outlook

另外据我了解,如果想提高移动设备连接的安全性,可以配置移动设备邮箱策略,详情如下:移动设备邮箱策略

相关内容