Exchange Autodiscover Extern

Mitglied: redhorse
Guten Morgen,

bei Heise wird aktuell über eine Problematik berichtet, bei der es bei einem nicht nach Microsoft-Vorgaben konfiguriertem Autodiscover zu einem Sicherheitsproblem kommt:

https://www.heise.de/news/Autodiscover-Exchange-Protokoll-leakt-Windows- ...

Konkret werden Outlook-Anmeldedaten ungewollt an externe Server (z.B. autodiscover.tld) gesendet, wenn das eigene Autodiscover nicht korrekt konfiguriert ist.

Frage: Wie sollte ich Autodiscover extern konfigurieren, wenn der Exchange nicht von Extern erreichbar ist? Für die Funktionalität wird Autodiscover extern nicht benötigt, sollte ich dennoch vorsorglich die interne Autodiscover-Konfiguration extern bereitstellen?

Content-Key: 1304440815

Url: https://administrator.de/contentid/1304440815

Ausgedruckt am: 19.10.2021 um 17:10 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 25.09.2021 um 08:07:30 Uhr
Goto Top
Moin,

bitte lies den Artikel erneut. Es geht darum, das bei dem Autodiscover Prozess ein Mechanismus angestoßen wird, der unter Umständen auch "autodiscover.tdl" zusammen baut.

Deine Clients sollen auf diese Adressen im besten Fall nicht zugreifen können. Daher sollst du diese Adressen als workaround sperren. Im Artikel war glaub ich auch ein link zu einer github Liste mit den Adressen.

Gruß
Spirit
Mitglied: manuel-r
manuel-r 25.09.2021 um 09:59:22 Uhr
Goto Top
Guten Morgen

Das Problem wird hier und da missverständlich beschrieben.
Der Fehler liegt nämlich nicht beim Exchange sondern beim Client. Einige davon (bspw. wohl Outlook) bauen sich verschiedene Domains zusammen wenn die Standard-Autodiscover-URL nicht erreichbar ist. Mit diesen - von weit her geholten - Autodiscover-URLs versuchen sie dann dort die gewünschten Informationen zu laden.

Wenn du jetzt an so eine Domain kommst und dort auf die verirrten Anfragen antwortest kommst du an allerlei Zugangsdaten. Vielleicht sogar ganz ohne Antwort sondern einfach mit einem Blick ins Log des Webservers.

Wie man auf die Idee kommen kann sowas zu programmieren ist mir allerdings schleierhaft.

Manuel
Mitglied: redhorse
redhorse 25.09.2021 um 10:05:17 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
bitte lies den Artikel erneut. Es geht darum, das bei dem Autodiscover Prozess ein Mechanismus angestoßen wird, der unter Umständen auch "autodiscover.tdl" zusammen baut.

Deine Clients sollen auf diese Adressen im besten Fall nicht zugreifen können. Daher sollst du diese Adressen als workaround sperren. Im Artikel war glaub ich auch ein link zu einer github Liste mit den Adressen.

Einen Workaround brauche ich nur, wenn ich mich nicht an die Microsoft-Vorgaben halte und ein entsprechendes Autodiscover veröffentliche. Wenn Autodiscover erreichbar ist (z.B. autodiscover.domain.tld), dann wird der Client keine anderweitigen Versuche unternehmen.

Das führt mich wieder zu meiner Ausgangsfrage, inwieweit es sinnvoll ist, einen internen Exchange per externem Autodiscover zu konfigurieren. Was macht der Client, wenn er den per Autodiscover konfigurierten Exchange nicht erreicht, weil dieser extern nicht erreichbar ist?

Alle anderen Ansätze sind Workaround, hier könnte ich Outlook entsprechend per Registry verbieten HTTP-Authentifizierung zu nutzen oder den Zugriff auf die Domains auf den Clients verbieten.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.09.2021 um 11:37:47 Uhr
Goto Top
Da gibt es eigentlich nur eine Konsequenz: MS-Produkte rauswerfen. :-) face-smile

lks
Mitglied: Dani
Dani 25.09.2021 aktualisiert um 14:11:07 Uhr
Goto Top
Moin,
Das führt mich wieder zu meiner Ausgangsfrage, inwieweit es sinnvoll ist, einen internen Exchange per externem Autodiscover zu konfigurieren. Was macht der Client, wenn er den per Autodiscover konfigurierten Exchange nicht erreicht, weil dieser extern nicht erreichbar ist?
reicht es, wenn Microsoft Outlook den Pfad erreichen kann oder muss auch die Authentifizierung erfolgreich sein?#

Bei Ersterem würde ich einfach den FQDN auf einem Webserver zeigen lassen. Dort muss natürlich die entsprechende Struktur und die Datei autodiscover.xml vorhanden sein.

Bei letzerem bleibt wohl nichts anders übrig als
a) Autodiscover entsprechend sicher zu veröffentlichen
b) per GPO die möglichen Domains in der Windows Defender Firewall zu sperren.


Gruß,
Dani
Mitglied: ukulele-7
ukulele-7 27.09.2021 aktualisiert um 09:40:43 Uhr
Goto Top
Zitat von @Dani:

reicht es, wenn Microsoft Outlook den Pfad erreichen kann oder muss auch die Authentifizierung erfolgreich sein
Ähnliches habe ich mich auch gefragt:
1) Erfolgreiche DNS-Auflösung
2) Erfolgreiche Kommunikation
3) Erfolgreiche Authentifizierung

Bei mir läuft nämlich DNS noch weil der Exchange bis HAFNIUM extern erreichbar war. Jetzt nur noch durch VPN und das kann natürlich auch einfach mal aus sein. Also wäre meine Frage was passiert wenn autodiscover.domain.tld durch Outlook aufgelöst werden kann aber keine Kommunikation zu Stande kommt. Wird weiter probiert?

Ich habe zum Glück keinen externen Client mit Outlook aber das wäre dann doppelt dämlich.
Mitglied: Dani
Dani 27.09.2021 um 10:16:42 Uhr
Goto Top
Moin,
soweit wir es inzwischen überblicken, ist es weder ein Problem von Microsoft Exchange Server noch von Microsoft Office Outlook. Letzteres deckt sich auch mit unseren Tests. Nämlich dass wir die Problematik mit Outlook 2019 nicht nachstellen konnten. Daher trifft es womöglich die alternativen E-Mail-Clients am Markt.


Gruß,
Dani
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.09.2021 aktualisiert um 10:18:46 Uhr
Goto Top
Zitat von @Dani:

Moin,
soweit wir es inzwischen überblicken, ist es weder ein Problem von Microsoft Exchange Server noch von Microsoft Office Outlook. Letzteres deckt sich auch mit unseren Tests. Nämlich dass wir die Problematik mit Outlook 2019 nicht nachstellen konnten. Daher trifft es womöglich die alternativen E-Mail-Clients am Markt.

Es ist das Problem des Autodiscover-Protokolls. :-) face-smile

lks

PS: Habe gerade keine Zeit, sonst würde ich das man mit diversen Clients ausprobieren.
Mitglied: Dani
Dani 27.09.2021 um 11:08:16 Uhr
Goto Top
Es ist das Problem des Autodiscover-Protokolls. :-) face-smile face-smile
Hm. Scheint wohl eher an dessen Implementierung zu liegen. Sonst würde Outlook das selbe Verhalten aufzeigen wie überall beschrieben.

FYI: TLDs vulnerable to autodiscover leaks
Mitglied: redhorse
redhorse 28.09.2021 um 15:03:31 Uhr
Goto Top
Hallo,

Zitat von @Dani:
Bei letzerem bleibt wohl nichts anders übrig als
b) per GPO die möglichen Domains in der Windows Defender Firewall zu sperren.

ich habe zu meiner Überraschung festgestellt, dass die Windows Defender Firewall ausschließlich mit IP-Adressen und nicht mit DNS-Namen umgehen kann. Oder habe ich etwas übersehen?
Mitglied: redhorse
redhorse 28.09.2021 um 15:27:13 Uhr
Goto Top
Noch ein Update:
Ich habe gerade versucht das mit einem Outlook 2016 Client nachzustellen und habe die Pakete im Wireshark mitgeschnitten, hier konnte ich das Verhalten nicht nachvollziehen, obwohl der autodiscover.domain.tld nicht existiert.
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Neuinstallation NetzwerkBurQueVor 14 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 23 StundenFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 8 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 23 StundenFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...