Методология

Ограничения для десктопных почтовых клиентов

alukash.jpgАлексей Лукаш
osenchenko.jpgОлег Сенченко

Помимо настройки основных параметров, необходимо также провести тонкую настройку платформ, через которые пользователи осуществляют работу с электронной почтой.

Отключение доступа через интернет по протоколу MAPI over HTTP

Отключение доступа через интернет по протоколу MAPI over HTTP применяется:

  • если необходима защита от брутфорс-атак;
  • если необходимо предотвратить несанкционированное чтение почты в случае компрометации учетной записи пользователя;
  • если на внешнем периметре включена двухфакторная аутентификация для OWA.

Протокол MAPI over HTTP используется для работы клиента Outlook для Windows или MacOS.

Заблокируйте на внешнем периметре доступ по протоколу MAPI over HTTP. Порт по умолчанию — 443 (TCP). Подключение почтовых клиентов Microsoft Outlook должно быть разрешено только:

  • из локальной проводной сети организации;
  • через VPN-сервис.

Так как просто заблокировать на межсетевом экране конкретный порт невозможно из-за архитектуры работы Microsoft Exchange (подробная информация доступна по ссылке), необходимо подключать серверы Microsoft Exchange через прокси-сервер, который позволяет анализировать протоколы прикладного уровня.

В качестве прокси-сервера и балансировщика нагрузки можно использовать HAProxy. Возможная схема доступа клиентов и приема или отправки почты приведена на рисунке 1.

Рисунок 1. Возможная схема организации почтовой структуры с учетом рекомендаций

Для упрощения понимания на схеме не показаны дублирующие серверы, обеспечивающие отказоустойчивость инфраструктуры.

Пример параметров HAProxy, позволяющих блокировать возможность доступа из внешних сетей, приведен в качестве сопроводительного материала к статье.

Примечание: клиент Microsoft Outlook для Windows не поддерживает аутентификацию по сертификатам, поэтому единственным вариантом является отключение доступа через интернет.

Отключение доступа через интернет по протоколам IMAP4 и POP3

Отключение доступа через интернет по протоколам IMAP4 и POP3 применяется:

  • если необходима защита от брутфорс-атак;
  • если необходимо предотвратить несанкционированное чтение почты в случае компрометации учетной записи пользователя;
  • если на внешнем периметре включена двухфакторная аутентификация для OWA.

Проверьте, включены ли у вас протоколы IMAP4 и POP3 на серверах. По умолчанию эти протоколы выключены (подробная информация доступна по ссылке).

Если протоколы IMAP4 и POP3 включены, отключите их согласно инструкции, доступной по ссылке.

Если протоколы IMAP4 и POP3 необходимо использовать, заблокируйте на внешнем периметре доступ через интернет по этим протоколам и разрешите подключение к ним только:

  • из локальной проводной сети организации;
  • через VPN-сервис.

ВАЖНО! Microsoft Exchange On-premises не поддерживает аутентификацию по сертификатам для протоколов IMAP4 и POP3.