Ich habe mich mal wieder etwas aufs Glatteis führen lassen. Ich hatte ein Update für Exchange installiert, als kurze Zeit später die Outlook App für iOS und Android den Dienst einstellte. Die App synchronisierte keine Daten mehr, Fehlermeldungen gab es keine. Da ich kurz vorher ein Update vorgenommen habe, hatte ich dieses zuerst in Verdacht. Nach einigem Gewühle in den Exchange Logs, ist mir dann allerdings aufgefallen, dass überhaupt keine Verbindung der Outlook App am Exchange Server ankommt.
Daraufhin habe ich die Logs der Webserver Protection der Sophos UTM kontrolliert. Hier wurde ich dann fündig.
Wie man hier sehen kann, stellt die Outlook App die Verbindung zu Exchange nicht direkt her, sondern geht den Umweg über Server im Internet (srcip=“23.101.75.158″). Hier der entsprechende Auszug aus dem Log der UTM:
2018:05:12-22:45:51 utm httpd: id=“0299″ srcip=“23.101.75.158“ localip=“192.168.10.106″ size=“236″ user=“-“ host=“23.101.75.158″ method=“POST“ statuscode=“403″ reason=“dnsrbl“ extra=“Client is listed on DNSRBL black.rbl.ctipd.astaro.local“ exceptions=“SkipURLHardening“ time=“1029″ url=“/Microsoft-Server-ActiveSync“ server=“mail.frankysweb.de“ port=“443″
Die IP 23.101.75.158 gehört Microsoft und im ganz speziellen wohl zum “Outlook cloud service”:
Leider steht genau diese IP auf Cyren Blacklist, welche auch von der Sophos UTM verwendet wird:
Hier gibt es nähere Informationen zum “Outlook cloud service” und wie die Authentifizierung abläuft:
Nun wird Microsoft sicher nicht nur diese einzige IP für den Verbindungsaufbau nutzen, daher musste ich die Option “Clients mit schlechtem Ruf blockieren” im Firewall Profil der UTM abschalten:
Die Blacklisten werden somit nicht mehr geprüft und die Outlook App funktioniert wieder. Soweit mir bekannt ist, gibt es keine Möglichkeit eine Whitelist für IPs an der UTM zu pflegen.
Persönlich wäre es mir lieber, wenn die App die Verbindung direkt zu Exchange herstellen würde, ohne Umwege. Lieder gibt es aber keine Option dies zu unterbinden, bei der Benutzung der Outlook App muss man also weiterhin darauf vertrauen, dass Microsoft keinen Mist mit den Login Daten baut.