блокировка Apple Mail.app и EWS без нарушения работы AutoDiscover

Проблема с занесением в черный список или в белый список для пользовательского агента заключается в том, что строку пользовательского агента можно легко подделать.

Я сделал это в своей собственной среде, чтобы убедиться, что белый список не подходит для нас, используя расширение ExQuilla для Thunderbird. Инструкции на https://exquilla.zendesk.com/entries/41164327-Custom-User-Agent-string

К сожалению, лучшего ответа на этот вопрос у меня нет. Нам пришлось заблокировать EWS на обратном прокси-сервере, чтобы внешние клиенты не могли загружать электронную почту без 2FA. В OWA легко использовать двухфакторную аутентификацию, а EAS поддерживает условный доступ или карантин устройств, но EWS просто широко открыт с использованием только имени пользователя и пароля. Для нас это огромная боль.

Если клиент действительно подключается к Exchange через EWS, есть способ обнаружить агент UserAgent, используемый для этого клиента. Пока он идентифицируется (кстати, это не элемент размещенной службы), вы можете заблокировать его через Set-OrganizationConfig.

Используйте синтаксический анализатор журналов, чтобы просмотреть журналы IIS на сервере Exchange, чтобы обнаружить строку агента пользователя приложения. Вооружившись этой информацией, вы можете использовать следующее в Exchange 2010 и выше:

Set-OrganizationConfig -EwsApplicationAccessPolicy EnforceBlockList -EwsBlockList @{Add="UserAgent/*"}

Подстановочные знаки могут быть вашим другом в списке блокировки User Agent, это действительно зависит от того, что вы найдете в своих журналах IIS.

Вы также можете заблокировать этого пользователя, используя Set-CasMailbox вместо общеорганизационного 'Set-OrganizationConfig`

Ссылка: https://blogs.technet.microsoft.com/matabra/2012/08/23/block-mobile-apps-that-use-exchange-web-services/

Я также писал здесь о блокировке определенного приложения: http://blaughwtech.blogspot.com/2015/07/block-microsoft-send-app-in-ews-policy.html