Алексей Лукаш
Олег СенченкоОграничения для десктопных почтовых клиентов
Алексей ЛукашОлег СенченкоАлексей ЛукашОлег СенченкоАлексей ЛукашОлег СенченкоПомимо настройки основных параметров, необходимо также провести тонкую настройку платформ, через которые пользователи осуществляют работу с электронной почтой.
Отключение доступа через интернет по протоколу MAPI over HTTP применяется:
Протокол MAPI over HTTP используется для работы клиента Outlook для Windows или MacOS.
Заблокируйте на внешнем периметре доступ по протоколу MAPI over HTTP. Порт по умолчанию — 443 (TCP). Подключение почтовых клиентов Microsoft Outlook должно быть разрешено только:
Так как просто заблокировать на межсетевом экране конкретный порт невозможно из-за архитектуры работы Microsoft Exchange (подробная информация доступна по ссылке), необходимо подключать серверы Microsoft Exchange через прокси-сервер, который позволяет анализировать протоколы прикладного уровня.
В качестве прокси-сервера и балансировщика нагрузки можно использовать HAProxy. Возможная схема доступа клиентов и приема или отправки почты приведена на рисунке 1.
Рисунок 1. Возможная схема организации почтовой структуры с учетом рекомендаций
Для упрощения понимания на схеме не показаны дублирующие серверы, обеспечивающие отказоустойчивость инфраструктуры.
Пример параметров HAProxy, позволяющих блокировать возможность доступа из внешних сетей, приведен в качестве сопроводительного материала к статье.
Примечание: клиент Microsoft Outlook для Windows не поддерживает аутентификацию по сертификатам, поэтому единственным вариантом является отключение доступа через интернет.
Отключение доступа через интернет по протоколам IMAP4 и POP3 применяется:
Проверьте, включены ли у вас протоколы IMAP4 и POP3 на серверах. По умолчанию эти протоколы выключены (подробная информация доступна по ссылке).
Если протоколы IMAP4 и POP3 включены, отключите их согласно инструкции, доступной по ссылке.
Если протоколы IMAP4 и POP3 необходимо использовать, заблокируйте на внешнем периметре доступ через интернет по этим протоколам и разрешите подключение к ним только:
ВАЖНО! Microsoft Exchange On-premises не поддерживает аутентификацию по сертификатам для протоколов IMAP4 и POP3.