EXchange vs Webmailer

[ScoutX]

Situation eines mir bekannten Administrators mit neuem Job:

Dort läuft ein alter Exchange 2007 mit drum herum sowieso nicht mehr supporteten Serverbetriebssystemen von Microsoft und vielen Missständen.

Es gibt Datenschutzauflagen, die besagen, dass E-Mails "eigentlich" nur intern gelesen werden sollen bzw. E-Mails dürfen nicht auf Rechnern ausserhalb des Arbeitsgebäudes gespeichert werden. Impliziert auch, dass Emails noch nie von aussen abgerufen werden konnten.

Jetzt wollen sie doch von aussen darauf zugreifen.

Ich habe ihm gesagt, dass ist mit dem Exchange 2016 und Outlook 2016 nicht möglich. Da man den Offline Cache nicht mehr unter 2016 deaktivieren kann. Es wird alles zwischengespeichert und dann bleibt eigentlich nur OWA und nur OWA. Davon abgesehen, dass bei jeder Methode durch Copy Paste Daten abfliessen können.

Ich habe ihm gesagt, weg mit dem Exchange Gedanken und nimm eine Groupware, die von allen Geräten ohne Outlook Abhängigkeiten akzeptiert wird z. B. Tine 2.0. wenn es noch im Hintergrund ein AD sein soll. Hier kann man besser kontrollieren, wer wie worauf zugreift, ohne dass Du jedes Smartphone nachher in der Hand hast (es gibt dort keine Regelungen bei Smartphones).

Was würdet ihr tun?. Vorschläge, Gedanken.

 

[HominiLupus]

Sobald du auf etwas zugreifen kannst, kannst du es kopieren, die Daten "abfließen" lassen, ob innerhalb vom Gebäude oder draußen. Oder wird jeder beim Betreten und Verlassen des Gebäudes hochnotpeinlich durchsucht, die Mobiltelefone konfisziert, etc?
Imho sind die Auflagen von vorneherein weltfremd und sinnlos.

Webmail, egal wie, ist wohl noch am wenigsten problematisch, da kann man nicht ein ganzes Mailarchiv direkt runterladen a la Private Manning.

 

[Masamune2]

Von welchen Geräten soll denn von außen zugegriffen werden? Wenns es Firmengeräte sind kann man die ja schon soweit absichern das ein Verlust des Geräts nicht gleich den Verlust aller E-Mails bedeutet (Notebooks verschlüsseln) dann spielt auch der Exchange-Cache Modus keine Rolle.

Sind es fremde Geräte ist natürlich OWA eine Lösung oder man lässt von außen nur den Zugriff auf Terminalserver zu und kann dort Outlook quasi in der Firma starten. Den Zugang zu den Terminalservern kann man sehr gut absichern, wenn gewünscht mit zwei Faktoren z.B. Passwort und Token. Die Zwischenablage könnte man da auch deaktivieren (also das Übertragen auf den Client). Das ist keine wirkliche Sicherheit aber man kann nicht mehr so leicht aus versehen Daten aus der Sitzung holen.
Wer Daten aus der Firma schaffen will wird das immer irgendwie hin bekommen.

 

[RadicalEd]

Das ist nicht korrekt. Man kann bei Outlook 2016 noch immer den Cache deaktivieren. Und deine Lösung wäre dann, für einen Zugriff von extern für ausgesuchte Geräte "Outlook Anywhere" bzw. neuer Name "MAPI over HTTP".

 

[ScoutX]

Der Gedanke mit Terminalservern ist vielleicht gar nicht so abwegig. Dort laufen jetzt einige Windows Desktop XPs nicht mehr, dafür aktuelle Linux Distributionen mit Terminalzugang internes Netz. Gut angenommen wurde dies nicht, obwohl recht einfach zu bedienen, so mein Bekannter. Man muss natürlich auch Übergänge finden die "sanft" sind und auch an die Schulungen/Anweisungen denken. Nicht von ungefähr ist dort eine überaltete Infrastruktur aufrecht erhalten worden.
Das wird für ihn nicht einfach, allein um eine vernünftige Zertifikatslandschaft umzusetzen ohne Direct Access. Denn es sind da draussen eben keine Firmengeräte.

@RadicalEd: Mit dem Cache beziehe ich mich hier drauf: https://support.microsoft.com/en-us/kb/982697
Von Mapi bin ich nicht überzeugt, da im Grunde die Autodiscover DNS Geschichten dann 1a gesichert sein müssen. Intern ist es OK, extern halte ich das für ein Graus, vor allem bei dieser Infrastruktur. Solange man da draussen kein geschlossenes DNSsec System hat. Das kann zwar kein OWA und Webmailer besser leisten. Aber ein proprietäres Outlook überzeugt mich weniger als Vorgaben, die man über ein Webserversystem besser durchsetzen kann. So stürzen auch keine Profile ab.

Eine Zweifaktoraithentifizierung hört sich am Vernünftigsten an.

 

[Evil E-Lex]

@RadicalEd: Mit dem Cache beziehe ich mich hier drauf: https://support.microsoft.com/en-us/kb/982697

Shared Folder sind etwas anderes als User Mailboxen.

 

[RadicalEd]

Autodiscover != MAPI. Das sind zwei Schuhe. Aber ja beide müssen gesichert sein, wir erledigen das über einen Reverse Proxy der nur nach Authentifizierung Kommunikation durchlässt.

Und wie schon Evil E-Lex geschrieben sind Shared Folder etwas grundsätzlich anderes.

Terminalserver mag eine Lösung sein, vom Sicherheitsgedanken aber kein großer Unterschied zu MAPI wenn man Sie nicht über einen VPN absichert. Alternativ kannst du aber generell VPN als mögliche Lösung in betracht ziehen. Sprich Einwahl via Client und anschließende Synchronisation über den Tunnel.

Alternativ auch DirectAccess.