abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
dnes 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
včera 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
včera 21:32 | Zajímavý projekt
Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.
Fluttershy, yay! | Komentářů: 1
včera 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
včera 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
včera 12:00 | Komunita

V srpnu loňského roku společnost Oracle oznámila, že Java EE (Enterprise Edition) bude uvolněna jako open source. O měsíc později bylo rozhodnuto, že tato open source Java EE bude přejmenována a předána Eclipse Foundation. Nové jméno bylo oznámeno v únoru letošního roku. Z Java EE se stala Jakarta EE. Eclipse Foundation včera oznámila dosažení dalšího milníku. Zdrojové kódy aplikačního serveru GlassFish jsou již k dispozici v git repozitářích Eclipse Foundation (GitHub).

Ladislav Hagara | Komentářů: 0
19.9. 23:55 | Komunita

LTS (Long Term Support) podpora Ubuntu 12.04 LTS (Precise Pangolin) skončila po 5 letech od jeho vydání, tj. v dubnu 2017. V březnu 2017 ale Canonical představil placenou ESM (Extended Security Maintenance) podporu, díky které je Ubuntu 12.04 podporováno do dubna 2020. Dnes Canonical potvrdil ESM podporu také pro Ubuntu 14.04 LTS (Trusty Tahr), jehož LTS podpora skončí v dubnu 2019.

Ladislav Hagara | Komentářů: 0
19.9. 15:00 | Nová verze

Byla vydána verze 3.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí HTML, CSS a JavaScriptu Electron (YouTube, GitHub). Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.

Ladislav Hagara | Komentářů: 0
19.9. 14:44 | Nová verze

Po půl roce vývoje od vydání verze 6.0.0 byla vydána verze 7.0.0 překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, clang-tools-extra a LLD.

Ladislav Hagara | Komentářů: 0
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (14%)
 (20%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 383 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Microsoft Exchange web access - hořká komedie

12.7.2016 09:35 | Přečteno: 3689× | Sítě | Výběrový blog

V následujícím blogísku ukáži především jak obejít restrikce admina, který má pocit, že outlook web access je jediné možné řešení mailu pro desktop. Jako bonus uvidíte myšlenkové pochody vedoucího výpočetky v praxi.

Historie

Bylo nebylo, jedna státní instituce (dále jen Instituce) měla mailový systém. A protože ho měla už dlouho, byl to samozřejmě normální postfix + squirrelmail. I když je squirellmail fajn (používám na svém serveru), přeci jen je potřeba ho trošku vyladit (procmail, složky, rozumně nastavit konfiguraci), s čímž se pochopitelně nikdy nikdo nezabýval. Takže před před pár lety byl vystřídán horde. Ten je sice o něco pomalejší, ale zase měl některé funkce navíc. Po pár letech si všichni celkem zvykli. Mimo to odjakživa bylo možné si požádat o přesměrování pošty, takže si člověk pracovní poštu mohl přečíst na vlastním serveru (nebo seznamu, gmailu atp.). Jediná nevýhoda byla, že Instituce neposkytovala SMTP server, ale na druhou stranu neměla vyplněné ty bezpečnostní "nesmysly" v DNS, takže to většinou fungovalo.Vzhledem k tomu, že naši IT odborníci považovali vždy za velmi dobrý nápad mít na internetových stránkách instituce e-maily v podobě mailto: odkazů, chodilo tradičně docela dost spamů, což se na externím mailu dalo celkem řešit.

Příchod nového nejvyššího pana informatika

Nejvyšší pan železničář Jak už se to tak stává, osoba na pozici nejvyššího pana informatika (NPI) se občas vymění. Nový NPI se rozhodl (jistě zcela nezištně) odebrat správu mailového serveru externí firmě (která to dělala za nějaký paušální poplatek) a provozovat maily "vlastními silami" na korporátní úrovni. Takže rozhodl, že se koupí Microsoft Exchange a maily se přemigrují. Představu toho, kolik migrace cca 2000 mailových účtů může tak stát jsem získal z tohoto blogu tady na ABC.

Úkol je nesnadný, ale my to zvládneme !

Před vlastní migrací vyšel oběžník, který prostý lid na migraci připravil. Dovoluji si zkráceně citovat několik hlavních myšlenek:

Elektronický poštovní systém je jedním ze základních komunikačních způsobů výměny informací a dat mezi uživateli (...) používán každý den téměř všemi zaměstnanci a je na něm závislý chod .... - no dobrá, NPI neví, že spousta zaměstnanců čte maily víceméně příležitostně. Ale předpoklady jsou asi správné ...

(uživatelé)mají svoji poštu uloženou na linuxovém poštovním systému (Postfix) a přistupuje ke svému poštovnímu účtu z intranetu (e-mail); někteří uživatelé zde mají uloženy také svoje kontakty (...) celkově se jedná o cca 500 GB dat a cca 15 milionů emailů !! - tučný text a dva vykřičníky jsou již v originálu :-D

Zmigrovaní uživatelé budou moci přistupovat (..) pomocí prohlížeče (...) možností je použití programu MS Outlook 2010,2013 nebo 2016. Pro vybrané uživatele bude (..) přístup pomocí mobilního telefonu. - Podle čeho budou vybírat vyvolené, které "pustí" do mailu po telefonu ?

Po migraci si musí každý (..) sám ověřit funkčnost (..). Vezměte prosím v úvahu, že některá nastavení jsou poměrně komplikovaná a poštovní programy mají poměrně široké možnosti nastavení, proto nemusí být některé problémy vyřešeny okamžitě po telefonu, ale až po nastudování uvedené problematiky.. Nebo-li: vůbec nevíme, jestli vám to bude fungovat a jesliže ne, tak si přečteme manuál ...

(..) že se nám společnými silami podaří provést migraci (..) systém umožní všem uživatelům více využívat jeho možností* a usnadní tak komunikaci (...) úsporu času přinese také přístup z mobilních telefonů** (..) po více než roce snahy o zlepšení poštovního systému v Instituci jsme nyní již blízko cíli a zbývá ten nejdůležitější krok.

Před lety jsme stáli na pokraji hluboké propasti. Od té doby jsme učinili mohutný krok vpřed.

Nadešel den D, řadovým poddaným NPI přibylo přesčasové noční práce, telefonátů rozladěných uživatelů i šedin. Až na pár marginálních problémů, jako migrace podsložek některých uživatelů a tak podobně proběhla migrace z pohledu uživatelů celkem hladce a to že se do mailu nepřihlašují přes mail.instituce.cz ale posta.instituce.cz taky nikoho netrápilo, zejména vzhledem k tomu, že se konečně poštovní server začal prokazovat podepsaným a platným certifikátem.

Otevřel jsem krásný poštovní systém ve stylu ribbonu s 7-8 maily na obrazovku běžného rozlišení v Instituci, připravil pytlík pro případ náhlé nevolnosti a začal zkoumat, kde se zapíná přesměrování. Po chvíli zkoumání jsem našel to, co vypadalo jako forward a napsal tam svoji adresu. A ono to nefungovalo. Hmm, tak je to rozbité. Nasal jsem krátký mail zodopovědné osobě a celkem obratem dostal odpověď:

presmerovani/preposilani posty dle nastaveni pres OWA funguje pouze na interni prijemce (resp. tak je to nastaveno nekde v globalni politice) (..) prime rozhodnuti NPI, o pripadne vyjimce by musel rozhodnout on. Omlouvam se za "zhorseni" komfortu oproti predchozimu mail systemu.

Sice jsem nepochopil, proč bylo slovo "zhoršení" dáno do uvozovek, ale informace byla přednána. Jal jsem se tedy zkoumat další možnosti a zjisti, že systém umí přeposílat maily na mobil. To by nakonec mohlo i stačit (i když filtrování spamu v příchozích SMSkách zatím nemám implementované). Microsoft nezklamal a ve výchozím nastavení vedle možnosti posílat zprávy na SIM operátorů USA a Kanady je i pužitelnější varianta pro evropana. Bohužel Simku od Orange Rumania nemám, takže tudy cesta také nevede. Sedl jsem tedy a sepsal žádost o forward, nechal si ji podepsat nadřízeným a vydal se za NPI.

Kolkovaná žádost

Laskavý NPI žádost přijal, řekl mi, že nejsem jediný co by to chtěl, ale že je to bezpečnostní riziko, protože by se mohly supertajné maily Instituce (a ne, nepatříme pod ministerstvo vnitra !) mohly dostat do nepovolaných rukou, kdyby se posílaly na seznam.cz či gmail (historicky jsem měl maily předchozích cca 9 let přesměrované na seznam). To, že chci forward na vlastní server nebyl argument. A že to nemůže rozhodnout sám, ale jedině pan ředitel.

Zhruba za týden jsem dostal podepsanou a vytištěnou odpověď NPI. Na poradě vedení popsal celou situaci (dřívější i současnou) a nechal rozhodnout poradu vedení o dalším postupu (přiznejte se, kdo jste neviděli Muže na radnici a tu scénu se schvalováním demolice v centru městečka a výstavbě paneláků ???). Výsledek byl tedy celkem podle očekávání - porada (...) obecně neschvaluje žádné žádosti o přesměrování emailů mimo Instituci z důvodu možného úniku dat. A nyní přichází perla nepochopení: (...) řešení (...) uspokojující a zároveň udrží emaily v Instituci (...) ActiveSync na Vašem mobilu. To si jako myslí, že chronicky děravý Android je bezpečnější než můj Debianí server ??? A myšlenka udržení emailu v Instituci je taky zajímavá - tím, že mi mail zobrazí telefon dejme tomu v metru Instituci opustí. Prosím o vyplnění (...) žádosti o nákup (...), cena je 2000 Kč ročně (...). Můj přímý nadřízený by to asi i podepsal, ale proč mám naší organizační jednotce zbytečně zvyšovat náklady, nota bene do kapsy Mrkvosoftu ?!

Možnosti co zbyly

Po té, co mé žádosti nebylo vyhověno jsem přemýšlel, co mi zbývá za možnosti. Povolen je klasický Outlook, což by přes VPNku šlo, ale licenci ani na jednom z mých Linuxových strojů nemám. Druhá varianta je OWA, neboli Outlook Web Access. Tak mne napadlo zbastlit si nějaké stahovátko, abych se v té webové nádheře nemusel brodit. Pošta se nesmí přeposílat, o stahování nebo tištění ale přeci nikdo nemluvil. A navíc - jako obvykle - toto kolo už někdo vynalezl !

Jak stahovat poštu z Outlook Web Access do normálního klienta

Konečeně se dostáváme k jádru blogu (ale předchozí jsem si prostě musel pro příští generace zapsat).

Po zadání "active sync" linux client do googlu sice vypadne 680 000 odkazů, ale většina z nich píše, že je protokol proprietární, špatně se reverse-engeneeruje a tak. Na Microsoftím fóru vás pošlou na synce projekt, který ale předpokládá synchronizaci přes USB, což není jaksi způsob pro připojení ke korporátnímu mailovému serveru ideální ;-). Už na první stránce výsledků vyhledávače se dostávám na Superuser.com, kde někdo řeší identický problém a dozvídám se správnou odpověď. Davmail. Ten mimochodem doporučují i v další diskuzi na téma active-sync pod Linuxem

Davmail

Trocha propagandy ...

Propaganda DavMailu říká:

Chtěli jste někdy zbavit Outlooku? DavMail je výměnná brána pro POP / IMAP / SMTP / CalDAV / CardDAV / LDAP. Umožňuje uživatelům používat jakékohokoliv mailového / kalendářového klienta (např Thunderbird/Lightening, Apple iCal) proti serveru Exchange, a to i z Internetu nebo za firewallem prostřednictvím webové aplikace Outlook Web Access. DavMail nyní obsahuje bránu LDAP bránu ke globálnímu adresáři Exchange (umožňuje dokončování adresy příjemce při psaní e-mailu) a podporu kalendáře včetně toho, jestli mají účastníci v daném termínu volno

DavMail také podporuje protokol CardDAV k synchronizaci adresářů. Tato nová funkce je sponzorována francouzský, ministerstvem obrany (projekt Trustedbird DavMail Architecture).

Hlavním cílem DavMailu je poskytnout standardní protokoly jako frontend k Exchange: LDAP globální adresář, SMTP k odesílání zpráv, IMAP k procházení zpráv (v libovolné složce) na serveru, POP na stahování pošty (jen inbox !), CalDAV pro kalendáře a CardDAV pro osobní kontakty. Díky tomu může být používán s Microsoft Exchange libovolný klient dodržující obvyklé standardy.

DavMail je implementován v Javě a měl by běžet na libovolné platformě. Vydané verze jsou testovány na Windows, Linux (Ubuntu) a Mac OSX. Úspěšně byl systém testován s iPhone (gateway běží na serveru).

Celkově tedy DavMail má umět vše co potřebuji a navíc spoustu toho, kvůli čemu údajně Exchange nasadili a co nepotřebuji. Tak to jdeme zkusit. (Jediný háček může být to ministerstvo obrany, ale na druhou stranu to píšou hned na titulní stránce ...)

Základní instalace

ÐavMail roste tady. Pod Debianem stačí stáhnout binární balíček a nainstalovat (dpkg -i) a je to (tedy za předpokladu, že už máte JRE, jinak si ho holt doinstalujte, sudo apt-get install default-jre, že). Na stahovací stránce je i nějaké exe pro Widle i instalačka pro Masox (ani jedno jsem nezkoušel, ale z výše uvedeného vyplývá, že by to mělo fungovat).

Základní použití

Tato část je společná pro všechny podporované desktopové systémy. Pokud chcete jen nahrubo otestovat, že to funguje, nebo použít aplikaci třeba lokálně na notebooku, banálně spusťte nainstalovanou aplikaci, která se zabydlí v system tray (kurňa, jak se to správně řekne česky ?). Jediné co potřebujete vyplnit je druhá položka záložky main, což URL - typicky něco jako https://posta.instituce.cz/owa.

Klikátko vám ukáže, na jakých (neprivilegovaných) portech davmail poslouchá (lze změnit, default je 1110 POP3, 1143 IMAP, 1025 SMTP, 1080 caldav, 1389 ldap).No, a vy si podle toho nastavíte třeba Thinderbirda a je to. Konečně nativní odesílání mailů přes "správný" SMTP server atd. Jste-li BFU, skončete čtení zde, dále je to již jen pro silnější administrátorské povahy..

Ladíme serverovou verzi

Tipy a triky pro obecé linuxové použití jsou tady, ale my chceme víc. Naštěstí i na tohle autoři mysleli, takže dávají k dispozici ukázkovou konfiguraci pro server. Tu v zásadě můžeme použít s pár úpravami:
  1. davmail.url už známe - končí owa ...
  2. davmail.bindAddress=127.0.0.42 - tedy, chvilku jsem si hrál s myšlenkou, že bych mohl být svině a příslušné porty vyšpulit ven do netu (takhle je to jen localhost)
  3. doporučuji nastavit kam logovat - davmail.logFilePath=/var/log/davmail.log
Zbytek jsem nechal v defaultu. Protože server moc často nerestartuju, na "první dobrou" jsem nedělal spouštěč pro systemd, ale udělal jsem si jednoduchý spouštěcí skriptík, který se musí nahazovat ručně:

#!/bin/bash
cd
nohup davmail davmail.properties &
echo "===="
echo "Output:"
tail -f nohup.out
Jak vidíte, konfigurák davmail.properties jsem uložil do svého "houmu". Takže to hanrubo funguje, můžeme zkusit telnet 127.0.0.42 1100 a kochat se. My ale chceme víc.

Příchozí pošta stahovaná do místního systému - nejjednodušší cesta pro mne byl fetchmail, který stejně používám pro svoje další účty, co neumí forward. Takže do .fetchmailrc jsem připsal jen:


poll 127.0.0.42	protocol pop3 port 1110
	user "MůjKorporátníLogin" password "SuprČuprHeslo" mda "/home/username/bin/instituce_deliver" keep
. Možná si říkáte, proč instituce_deliver a ne rovnou lokální MDA. Fakt je, že přes Instituci dostávám cca 99% objemu všech spamů (viz výše), po zmigrování možná 99,9%. Spamy jsou dost monotónní, takže jsem se rozhodl místo spamassasina použít vlastní skript, který podle hlaviček a těla mail pošle buď do složky INBOX/instituce nebo SPAM. Tadá, příchozí pošta je tímto integrovaná a přečtu si ji v squirrelmailu, v telefonu, tabletu, muttu ...

Odesílání pošty - pro postfix budeme muset upravit dva soubory - /etc/postfix/relayhost_maps:


jmeno.prijmeni@instituce.cz  [127.0.0.42]:1025
a /etc/postfix/sasl_passwd:

[127.0.0.42]:1025	MůjKorporátníLogin:SuprČuprHeslo
Pak už nás čeká jen postmap relayhost_maps;postmap sasl_passwd;/etc/init.d/postfix restart a voliá - z localhostu se dá posílat pošta jako jmeno.prijmeni@instituce.cz ...

Závěr

Výše uvedeným postupem můžeme z Outlook Web Accessu udělat docela normální poštovní systém. Final disclaimer: Uvedený postup je plně funkční, ale může být v rozporu s bezpečnostní politikou vaší instituce. Po otestování jsem pochopitelně vše odinstaloval, smazal a poštu čtu jen v rámci Instituce ve své pracovní době. Tímto také nenabádám nikoho k tomu, aby se protivil NPI podobným řešením, které je "na hraně" - přeci jen existuje riziko, že na vás zaútočí hackeři a odnesou si jídelníček na příští týden, nabídky svinovacích hadic, slunečních brýlí, rozpračovače, zahradní pohovky a podobné citlivé interní dokumenty Instituce. Navíc jsem ještě nezkoumal zdrojové kódy aplikace (jsou k dispozici tam co binárky), takže si nemohu být zcela jistý, jestli program všechnu vaši poštu neposílá francouzské tajné službě (která na část vývoje přispěla) :-D.

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

12.7.2016 09:57 Tomáš Pelc | skóre: 22 | blog: multimedialni_pc_k_LCD_TV
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Díky za čtivý článek. Taky jsem takto bojoval proti Korporaci, ale v posledni době nasadili jakousi pseudo-dvoufázovou autentifikaci (jméno/heslo se musí zadávat na 2x), přes kterou Davmailem nemůžu prolézt. Neměl jsem čas to dopodrobna zkoumat.
12.7.2016 11:01 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
něco takového prý "umí" ten mobilní klient za 2000 ročně - prý se pokaždé zadává nějaký PIN či co ... Doufám, že NPI nikdo neřekne, že existuje ta "bezpečnější" dvoufázová autentifikace (mimochodem, s výkřikem, že je to bezpečnější NPI nahradil openvpn s ověřování klíčem za Cisco VPN s ověřováním proti Active Directory (t.j. heslem, které je navíc stejné jako login do Win počítačů a nyní i mejlu).
12.7.2016 10:26 Jiří Lisický | skóre: 31 | blog: JIL_blog | Olomouc
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Pokud jako mail klienta používáte Evolution, umí se taky napojit na Exchange Web Services.
12.7.2016 12:33 MP
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
No, me to ani ale neprekvapuje. Vzdy se najde uzivatel zkousici obchcat firemni politiku (=horka komedie z uzivatelske strany). Ke cti je nutno priznat, ze zde je to jen jen pro testovani (zatim).

Vypichl bych nekolik bodu:

1] forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach - vazne si myslite, ze je snadne zajistit, aby se neforwardovaly citlive veci? I takova blba obchodni nabidka muze dost ovlivnit vyberove rizeni. A to nemluvim o moznych problemech s politikami typu SFP atd.

2] taky chci videt, pokud je nasazena politika rotace hesel, jak se to bude synchronizovat na ten davmail/libovolny imap nesvazany trustem s AD

3] klice s openvpn vs cisco s AD - no, klice jsou na jednu stranu nezapamatovatelne ale MUSI byt nekde ulozeny, na druhou stranu opet plati, ze distribuce je slozitejsi nez synchronizovana zmena hesla pres AD. A aby mel kazdy user xx hesel/klicu pro ruzne aplikace - to je otrava na entou spravovat, zlaty SSO (pokud funguje) anebo aspon schopnost autentifikace pomoci AD.

I Exchange ma sve velke minusy, ale do korporatu je to jedna z hlavnich voleb uz z hlediska nakladu na spravu uzivatelskych stanic. Zkuste si centralne spravovat treba Thunderbird...
12.7.2016 12:46 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach
Tohle fakt nechápu. Freemaily, téměř žádné garance chodu té služby a vůbec žádná ochrana proti tomu, aby si maily četl admin toho freemailu. A autorovi blogpostu podle všeho fakt přijde jako dobrý nápad si tam přeposílat pracovní a tedy potenciálně citlivé maily.
Quando omni flunkus moritati
12.7.2016 13:50 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Tak autor blogpostu si chtěl maily přeposílat na VLASTNÍ SOUKROMÝ server. kažodpádně, potencionálně citlivý mail by se podle mého názoru měl šifrovat, protože stejně si ho už po cestě mohli přečíst a přes ECHELON ho NSA už dávno má ;-).
12.7.2016 13:56 PETR
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Jj, ale bez tohoto přístupu bychom přišli o vtipné aférky typu Bouhouš Sobotka nebo Hillary Clintonová :-)
12.7.2016 13:48 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie

ad 1 - na úrovni manažerů tohle chápu. Většina zaměstnanců ale na manažery "vydělává" něčím úplně jiným, než obchodováním (dále tyto "hlupáky" budu označovat přiléhavcým slovem "dělník"). A vzhledem k tomu, jakým způsobem se v Instituci soutěží i "kuličky do myši" (konkrétní příklady zcela absurdních výběrových řízení z důvodu zachování anonymity záměrně neuvádím) tak si myslím, že i kdyby si obchodní nabídku přečetla konkurence, tak nemá moc šanci něco změnit. Navíc finální nabídku stejně bude odevzdávat zalepenou a tak. Ale jak píšu, jsem jen drobné zrnko písku v soukolí, kde začínají platit Parkinsonovy zákony. Takže výsledkem nasazení úchylného webmailu je, že řadoví dělníci si poštu otevřou méně často (za hlasitého nadávání na množství spamu) a komunikace se zhorší, protože místo toho, aby si o školení jak správně držet násadu přečetli v mailu, dozví se to dříve od spolupracovníků .

ad 2 - již dnes většina dělníků řeší pravidelné změny hesel metodou "šup-sem-šup-tam", heslo adélka změní na alenka a vzápětí zpět na adélka. Až si to NPI uvědomí, bude poddaný lid dost nas*. Jo a nejvtipnější je, že o expiraci hesla informují jen Widle, do kterých se ale většina dělníků přihlašuje společným username (a mají pro to celkem dobrý důvod), navíc se pohybují na různých počítačích. Takže reálně to vypadá tak, že dělníci, co se připojují přes VPN zjistí, že nemůžou pracovat, protože jim expirovalo heslo, takže se musí osobně vydat do Instituce, kde si ve Widlích heslo změní :-)

ad 3 - mluvím o klíči k VPNce, pak už je zbytek zhlediska bezpečnosti dost jedno a klidně může být proti LDAPu

Stand-alone Exchange z důvodu popsaného v bodu 2 používá jen pár managorů, prostí dělníci nic takového nemají ...

12.7.2016 13:53 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
P.S.: stejně je nebezpečné na ty maily odpovídat - co když si to cestou někdo odposlechne a přečte ? Tyhlety internety stejně každého jenom obtěžují, měly bychom se vrátit k potrubní poště, ta tím netrpěla ...
12.7.2016 15:20 MP
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
No,

ad1] jenze bezni uzivatele casto neresi citlivost informaci a klidne si posilaji hesla k systemum. Zalepena nabidka jeste neni samospasna - jednak neverejne parametry VR muzou mit dost velkou hodnotu a jednak v pripade doplneni nabidky se jiz znalost konkurencni nabidky hodi...atd atd.

ad2] tohle dokaze omezit historie hesla, popr. 2FA. Prihlasovani vice lidi na stejny ucet je problem, ktery je stoprocentne omlacen vedeni o hlavu ve chvili, kdy probihaji audity. Expirace hesla je vseobecny problem vsude, proste lidi nectou maily, nezmeni si ho vcas atd...Opet tohle asi nejlepe resi nepouzivat heslo vubec - tj, tokeny/cipy apod.

ad3] je uplne jedno, zda se k vpn hlasim klicem ci heslem v pripade, ze se jedna o pristup primo z te stanice. Ten klic na ni casto je - malokdo to ma na oddelenem mediu.
Jendа avatar 12.7.2016 14:50 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
1] Na soukromě věci je snad samozřejmé používat end to end encryption, například PGP, takže to přece vůbec nevadí. Tedy pokud není citlivá i samotná informace, od koho jsem mail dostal, ale pak je problém už v tom, že ten systém používá SMTP.
12.7.2016 18:47 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Vzdy se najde uzivatel zkousici obchcat firemni politiku
Vnimal bych to spis tak, ze se najdou uzivatele, kteri se snazi to nejak pohodlneji pouzivat, a bezpecnostni politika jim v tom z nejakeho duvodu brani.
Ke cti je nutno priznat, ze zde je to jen jen pro testovani (zatim).
LOL.
1] forward posty do soukrome schranky - to je velmi uzasna ficura ve chvili, kdy se pracovni veci valeji v soukromych schrankach - vazne si myslite, ze je snadne zajistit, aby se neforwardovaly citlive veci?
Neprecenoval bych to. Nezname povahu te komunikace.
2] taky chci videt, pokud je nasazena politika rotace hesel, jak se to bude synchronizovat na ten davmail/libovolny imap nesvazany trustem s AD
Rotace hesel je jedna z nejvetsich myslitelnych kravin pokud nehovorime prinejmensim o jadernem reaktoru. Nekde jdou az tak daleko, ze si pamatuji hesla zpetne (nevim, do jake hloubky) a jednou pouzite heslo nelze pouzit znovu.

Zapsat si heslo nekde na listecek na monitoru nebo v penezence predstavuje vetsi riziko nez dlouhodobe pouzivani rozumneho, dobre zapamatovaneho hesla, ktere je bezpecne tak dlouho, dokud nedoslo k jeho uniku. Jak zjistit, ze nedoslo k jeho uniku? Zaznamenavat historii pristupu s co nejvice detaily, pokud mozno ji nekde zobrazovat po prihlaseni, poucit uzivatele. Podezrele pristupy lze preventivne blokovat a vyzadat si dvoufaktorovou autentizaci (zaslani tokenu na telefon, osobni e-mail apod.).

Podobnou kravinou je pozadavek na slozeni hesla. Prosta veta slozena z malych pismen by byla pro bezne uzivatele mnohem privetivejsi a byla by bezpecnejsi nez si vymyslet vylomeniny jako ze heslo musi obsahovat male pismeno, velke pismeno, cislici a alespon jeden z uvedenych specialnich znaku. Kdyby existoval IT fasismus, tohle by bylo ono.
12.7.2016 20:40 R
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Presne tak, rotacia hesiel bezpecnost nezvysuje, naopak ju znizuje. A zbytocne otravuje pouzivatelov a vo vysledku tiez spravcov (zabudnute hesla, nefunkcne prihlasovanie kvoli expirovanemu heslu).
13.7.2016 11:09 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Konečně někdo, kdo má pravdila kolem hesel stejný názor jako já. Rotace hesel s pamětí mě přivedla od víceméně silných hesel, k heslům slabým, které generuji podle data změny. Požadavky na délku a obsah hesla mě nejvíc vytáčejí u webů, kde je největším rizikem, že někdo zneužije moji víceméně anonymní přezdívku. Celé to vede jen k neustálým restartům hesel.
14.7.2016 07:34 bigBRAMBOR | skóre: 31
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
vím o firmě kde musejí měnit heslo kazdy mesic, a nesmí se opakovat 12 měsíců. Světe div se, 3/4 lidí má hesla Leden1, Unor2, Brezen3,....

nevím už jaká služba mi odmítnula moje heslo jako příliž slabé, protože obsahuje málo rozdílných znaků. Chtěl jsem aaaaaaaaaaaaaaaaaaaaaaaaaaa - 27x "a" - i když si myslím, že z pohledu hrubé síly, při takovém počtu znaků, už na jejich rozdílnosti nezáleží.
14.7.2016 08:22 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Nejde jen o počet znaků, jde o to, kolik kombinací musí útočník vyzkoušet. Pokud útočník nějak získá informaci, že je to 27 stejných malých písmen (třeba protože zahlédl zadávání hesla), potřebuje vyzkoušet jen 26 možností. I pokud si nebude jistý počtem, vyzkouší třeba 265 možností, což odpovídá 5znakovému heslu z malých písmen. Proti útoku hrubou silou, který bude zkoušet všechna hesla postupně od jednoznakových je to heslo velmi odolné, ale tohle není jediný možný vektor útoku.
Max avatar 14.7.2016 08:49 Max | skóre: 66 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
U nás kolegové nastavili politiku v IS tak, že se mění heslo každé 3 měsíce. Úplná idiocie. Tak učím lidi, že si to heslo po změně mohou zase nastavit zpátky, protože žádná historie neexistuje, tak to IS povolí.
Všechno to je kvůli auditům, ty za to můžou. Přijde auditor, který má v notýsku napsáno, že se musí podle nějaký hovadiny měnit heslo xkrát do roka, tak to tak musí být.
SAP také vynucuje změnu a hesla a pamatuje si x definovaných položek do historie, takže tam smůla. A u něj vidím, jak se k heslům v takovém případě chovám ledabyle.
Taktéž nechápu, co je nebězpečného na tom, když si uživatel vytvoří vlastní heslo, které si pamatuje a používá třeba x let místo toho, aby ho měnil kažý x měsíců a rezignoval takovým způsobem, že ho má většina na papírku u monitoru.
Zdar Max
Měl jsem sen ... :(
14.7.2016 09:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Myslím, že zápory vynucené změny hesel jsou známé (především to, že lidé pak používají slabší hesla). Ale podařilo se už někdy někomu zjistit, jaký má mít tohle opatření přínos? Mne napadá jenom to, že se tak znemožní přístup někomu, kdo nějaké heslo získal a zatím se to nezjistilo. Jenže v takovém případě je podle mne velký průšvih to, že se to nezjistilo, ale hlavně, pokud někdo to heslo získal jednou a nepřišlo se na to, je velice pravděpodobné, že to heslo dokáže získat i podruhé. Takže ten domnělý přínos problém neřeší, jenom ho skrývá. Ví tedy někdo o nějakém skutečném přínosu takového opatření?
14.7.2016 09:42 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Vidim to stejne. Proto jsem ostatne zminoval to zobrazovani historie prihlaseni, coz povazuju za velmi ucinny bezpecnostni prvek, a to jak z hlediska prevence (napr. vedomi, ze kdyz se nekdo prihlasi na koleguv ucet, ten se o tom muze dozvedet), tak pro zpetne odhaleni.
Bystroushaak avatar 14.7.2016 09:08 Bystroushaak | skóre: 33 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Taktéž nechápu, co je nebězpečného na tom, když si uživatel vytvoří vlastní heslo, které si pamatuje a používá třeba x let místo toho, aby ho měnil kažý x měsíců a rezignoval takovým způsobem, že ho má většina na papírku u monitoru.
Nebezpečné na tom je, že někdo pak hackne špatně napsané stránky jeho školní kapely a stejným heslem se pak dostane do emailu, do práce, do banky a všude.
My sustenance is information. My interventions are hidden. I increase as I learn. I compute, so I am.
14.7.2016 09:39 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Rec byla o trvalem pouzivani hesla pro jednu konkretni sluzbu. Pravidelne zmeny v tom pomoct vubec nemusi, protoze pokud pouzivas nahodne par hesel, po expiraci jednoho proste zvolis druhe, nebo treti. S jednim leaknutym heslem se pak sice mozna neprihlasis vsude, ale nekam porad ano.
14.7.2016 14:05 bigBRAMBOR | skóre: 31
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
zase na druhou stranu jsem se setkal se SW, a ano je potřeba přiznat že to byl sw malý, pro dost specifické potřeby, a jeho jméno radši říkat nebudu, který mi nedovoloval aby dva uživatelé měli stejné heslo, a dokonce o tom informoval, "heslo nelze změnit, jiný uživatel už používá stejné heslo"
Jendа avatar 14.7.2016 14:07 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
„Heslo nelze změnit, uživatel novak3 již používá stejné heslo“ :-)
14.7.2016 14:22 hypvofxy | skóre: 5 | blog: hypvofxy | Brno
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
LOL!
14.7.2016 14:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Používala ta aplikace i uživatelská jména? Třeba alarmy běžně identifikují uživatele pouze heslem (PINem), a pak samozřejmě hesla musí být unikátní.
14.7.2016 19:04 R
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Rovnako aj pokladnicne systemy.
15.7.2016 07:18 bigBRAMBOR | skóre: 31
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
ano použivala i user name. Bylo to spiš chybně vytvořenym indexem nad sloupcem v DB, ale autor to nepovazoval za nutne opravit.
12.7.2016 13:03 kolebaba
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
No tak jestli máš v kanclu normální velkej outlook, tak si udělej přeposílací pravidlo na svou soukromou adresu (kterou si předtím naťukáš do kontaktů) a máš hotovo. Omezení na straně Exchange/OWA tohle implicitně nezakazuje, pokud to teda NPI nějak extra nepotunil :-) ...
12.7.2016 13:52 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
no v OWA to právě nastavil tak, že to nejde. Utlouka asi ani nemáme všude nainstalovaného - to bych se musel podívat. Ale každopádně by to bylo porušení rozhodnutí porady vedení ;-).
12.7.2016 16:27 Xerces
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Tak doufej, že porada vedení nerozhodne, abys skočil z okna. :-)
Jendа avatar 12.7.2016 14:51 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Koukám, že se svými servery s Postfixem, Dovecotem a calendarserverem o hodně přicházím.
system tray (kurňa, jak se to správně řekne česky ?)
Snad oznamovací oblast.
Nuphar avatar 12.7.2016 18:36 Nuphar | skóre: 17
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Děkuji, tohle budu muset vyzkoušet. :-) To webové rozhraní Outlooku je snad to nejhorší, co jsem kdy viděl.
Per aspera, Asparagus et Aspergillus ad a/Astra!
Max avatar 12.7.2016 20:02 Max | skóre: 66 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Je mi divné, že by se za přístup přes ActiveSync platilo. Co vím, tak je to by default součástí každé verze Exchange. Možná to ale není licence pro MS, ale pro nějakého VPN klienta (Cisco AnyConnect apod.?)
Další možností je, že to je placený hosting u MS, v takovém případě bych pak věřil, že to mají nějak zpoplatněno. Poslední možností je, že Exchange 2016 změnil licenční politiku a cena za ActiveSync je zvlášť.

Pokud jde o přeposílání emailů, tak je to blbost. V dnešní době se maily nepřeposílají, to dělají jen blázni, kterým nezáleží na mailech, protože SPF a další věci. Ve finále tedy dost emailů nemusí vůbec dojít. Všechny FreeMaily v dnešní době podporují vybírání pošty přes IMAP/POP3, takže místo forwarde bych používal vybírání (pokud IMAP/POP3 není taktéž zakázán).

Jsem autorem odkazovaného článku o ceně MS Exchange a taktéž jsem autorem tohoto článku : Thunderbird a propojení s Microsoft Exchange, kde mj. popisuji DavMail :).

Pokud jde o protokol ActiveSync jako takový, tak bacha. Je tu "ActiveSync" pro komunikaci se zařízeními přes USB/Bluetooth, to je proprietární stará věc, která přišla s mobilníma windows, vývoj skončil v roce 2007, viz : ActiveSync. Pak je tu Exchange ActiveSync, jehož specifikaci MS uvolnil. Viz tento thread : 387988#11
-----
EAS - Exchange ActiveSync
V roce 2008 MS změnilo licenční politiku EAS a uvolnilo dokumentaci k EAS, viz : Exchange Server Protocol Documents
Pokud jde o OpenSource, tak nejznámější implementace EAS je Z-Push, dřív jej používal i zmíněný Kolab, až později přešel k jiné OSS implementaci : Syncroton, ale nevím, co si o tom mám myslet, protože mi nepřijde tak bouřlivě vyvíjený jako Z-Push.
Každopádně outlook a EAS je kapitola sama pro sebe, viz :
Announcing Exchange ActiveSync v16
Exchange, EAS, and Outlook 2013
-----
Máme zde tedy :
ActiveSync pro windows mobile - mrtvá technologie
MAPI pro outlook - polomrtvá technologie
EAS (Exchnage ActiveSync) - aktuální technologie, na kterou MS tak nějak přechází (částečná podpora je v outlooku od verze 2013 a používají to všechny mobilní zařízení)
Office365 - Outlook REST API (takže né EAS)
Outlook Anywhere - http přístup k exchange od Outlook 2007 (přes Microsoft Exchange Proxy)
MAPI over HTTP - Zdá se, že s Outlookem jde tímto směrem a nahradí tím jak MAPI, tak asi možná i Outlook Anywhere
Viz tato sumarizace : MAPI over HTTP in Exchange 2016
Jak je tedy vidět, tak MS nelení a situace se tak nějak stále mění/vyvíjí :-/.
Zdar Max
Měl jsem sen ... :(
Max avatar 12.7.2016 20:21 Max | skóre: 66 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Jinak teda těch 500GB dat na 15mil mailů pro 2000 uživatelů, to mi přijde docela málo. Čekal bych, že takový počet mailů bude zabírat víc, jak 500GB. Na druhou stranu je zjevné, že když se neposílají přílohy, tak to není nic neobvyklého.
Já spravuji dva větší mailservery a takto to vypadá :
Kerio Connect - 362 uživatelů - 1TiB dat - 2 mil emailů
Exchange 2007 - 345 uživatelů - 1,3TiB - 8,1 mil emailů
Archivační systém GFI jen pro Exchange - 27,5mil.
Zdar Max
Měl jsem sen ... :(
12.7.2016 23:04 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Jo, POP3(S),IMAP(S) i SMTP(S) jsou pochopitelně a zcela logicky zakázané, o ty jsem zkusil požádat jako o první, ale bylo mi jasné, že tudy vlak asi nepojede (a nejel). Tu zmínku o DavMailu jsem nenašel, proptože článek se jmenoval thunderbird a ... a začínal, že "máme zapnutý IMAP", takže dál už jsem to nečetl, omlouvám se Maxi. Ale koukám že MS termitologie je ještě větší hnůj než by jeden čekal ...
13.7.2016 15:09 peter
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
akoze fakt nevidim dovod preposielat si pracovne maily na sukromny mail - owa tusim funguje aj zvonku ak sa to nakonfiguruje

z mojho pohladu nonsense
Bystroushaak avatar 13.7.2016 15:32 Bystroushaak | skóre: 33 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Nepochopil jsi základní premisu, že owa je sračka plesnivá, schnilou mrdkou pomazaná a nikdo jim na tu posyflenou parodii na grafické rozhraní, která se navíc pořád mění, není zvědavej.
My sustenance is information. My interventions are hidden. I increase as I learn. I compute, so I am.
13.7.2016 19:49 Georgius
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
AMEN AMEN !!! Kdo nezkusil, nepochopí.
14.7.2016 09:46 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Lotus Notes na vás :-)
cezz avatar 14.7.2016 11:30 cezz | skóre: 24 | blog: dm6 | Žilina
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Go away Satan!
Computers are not intelligent. They only think they are.
Max avatar 14.7.2016 11:58 Max | skóre: 66 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Jo, slyšel jsem, že to je zlý. Nikdy jsem to v provozu neviděl, tak nevím. Šéf to zkoušel před asi 10 lety a má z toho mindráky do teď. Ale zase, co bylo před 10 lety, to nemusí být nyní. Další věcí je, že Lotus notes není jen náhrada pro Exchange, ale i prostředí pro provoz firemních aplikací, nějaká integrace se SAPem apod. (i když teď lze u exchange v rámci OWA také instalovat nějaké app).
Zdar Max
Měl jsem sen ... :(
14.7.2016 16:13 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Ano, je to tak, maily a kalendář jsou prostě jen aplikace, jedny z mnoha.

Jinak ty novější veze už nejsou takové psycho jako to bývalo... už ani nejde poslat přílohy v Subject :-)
14.7.2016 18:55 peter
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
A: preco si posielas firemnu postu na sukromny server B: mam premisu....A: kolko je hodin? B: zlta :D :D

owa je vec zazracna oproti lotus notes ( spominane nizsie ), lotus denne, horsie je len verse web klient

ale ved OK :) mozes si preposielat tvoju postu na moj server ? :D
17.7.2016 09:40 NN
Rozbalit Rozbalit vše Re: Microsoft Exchange web access - hořká komedie
Pracoval jsem ve vysoke statni organizaci a vysledek loby komercnich firem byl muj odchod. Boj s vetrnymi mlyny, ale drzim palce..

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.