Outlook-iOS-Android 应用通过 ActiveSync 进行可疑活动

背景： 我的许多用户都使用智能手机（主要是 iPhone）通过 ActiveSync 访问其内部 MS-Exchange 邮件帐户。在 iOS 13.5 之前的版本最近出现安全问题后，我们建议每个人都禁用原生 iPhone 邮件应用程序。作为替代方案，我们建议使用 Microsoft Outlook 应用程序。

iOS 13.5 发布后，我们还建议切换回原生应用并卸载 MS 应用。与此同时，我们观察到 Exchange 的负载显著增加，每日备份（清理日志）之间的事务日志快速增长。几天内，这种情况并没有自行好转，而且危险迫在眉睫，我们的磁盘无法容纳两天的日志量，因此，如果每日备份失败，我们将注定失败。因此，我们采取措施进行更详细的分析。罪魁祸首是大量的 ActiveSync 点击，有时每个用户每天有几千次。但有一个相关性：所有点击次数巨大的用户都以Outlook-iOS-Android/1.0用户代理的身份进入。在我们第一次分析时，当“每个人”都使用该应用时，这并不奇怪。然而，在几个用户切换回来后，情况仍然没有改变。那些再次使用原生 iPhone 应用的人导致显著地（即，按数量级）更少的负载和对数体积。

因此，我们向受影响的用户发送邮件，要求他们尽快切换回原生应用，其中部分用户已经这样做，这让我们感到轻松不少——足以让我们不再担心系统稳定性。显然，并不是所有人都会立即切换，而且少数人肯定会完全无视我们的要求。

但我们很惊讶，有一位用户报告说有切换回来，但他仍然以 Outlook-App 用户的身份出现（以及使用本机应用程序的不同设备 ID）。我们特别询问用户是否有另一台（私人）设备处于活动状态。他否认；他从私人电话访问邮件的唯一方式是通过浏览器和 Outlook Web Access 临时访问，而且这种情况很少见，因为他通常随身携带办公电话。根据这些信息，他的帐户下的 Outlook-App 访问负载计为可疑的。

我进一步调查后发现，这些访问也来自可疑的 IP 地址。虽然其他 ActiveSync 访问来自区域（此处为德国）电话提供商 IP 范围，但这些 Outlook-App 访问来自 52.97.xx，根据 whois 信息，该 IP 属于微软。虽然这至少不是某个明显的中国/俄罗斯黑客 IP 范围，但这对我来说仍然令人不安。

问题 1：绕过微软的网络范围是正常的吗Outlook-iOS-Android/1.0？如果只有被允许阅读邮件的人才能阅读邮件，而不是（至少可能）被美国控制的某些代理阅读，我会更高兴。那么我甚至可能不得不根据 GDPR 完全禁止使用该应用程序。

问题2：造成如此巨大的负载是正常的吗Outlook-iOS-Android/1.0？据我所知，客户端甚至没有任何配置选项允许用户每 30 秒请求一次同步。

问题3：Outlook-iOS-Android/1.0(或所述代理) 在不再安装在用户的任何设备上后仍然造成负载，这正常吗？

由于部分用户卸载做过减少负荷，Q3 是最让我吃惊的（而 Q1 是忧虑我最喜欢 Q2混淆我最喜欢）。

问题4：我该怎么办？我即将在防火墙上阻止 MS 网络范围对端口 443 的传入请求...