2013. október 29., kedd

Office 365 (félre)konfigurálva

Nem kis kínszenvedés árán (AD FS, aoutodiscover szívások) a céges levelezés lassan beköltözik az Office 365-ba. Hibrid konfigurációt csináltam, mert nem akartam menekülő út nélkül összerakni az egészet. Mi van ha gáz van, ha valami nem működik, stb.?
Tegnap az egyik főnököm jelzi, hogy egy specifikus embertől nem jött meg egy levél, amit végülis a magán címén megkapott, de a cégesen nem.
Nézem az Event logot és ezt látom:


Ok, akkor nézzük meg az SMTP logot. Na az nincs mert, a Manage Hybrid Configuration Wizard ugyan létrehozta ezt az inbound connectort, csak éppen a logolást nem kapcsolta be rajta.
Megnézek még egy-két beállítást, kicsit tuningolok, hátha.
Bekapcsolom a logolást, hogy lássuk mi van...

Ma reggel. Megnézem az event logot, a fenti bejegyzések változatlanul ott vannak.
Irány az SMTP log (mostmár van):


Itt látszik, hogy a feladó IP-je beleesik az Office 365 által kreált konnektor IP tartományába. Megnézem, hogy ki a feladó: messagelabs.com.
A messagelabs.com a weben a Symantec oldalára irányít.
A MessageLabs egy online levélszűrő. A Symantec felvásárolta őket jó régen:
http://www.symantec.com/about/news/release/article.jsp?prid=20081117_01
Na tehát a következő derül ki számomra:
A MessageLabs IP címei beleesnek az "Inbound from Office 365" konnector tartományába. A MessageLabs kimenő SMTP-in ki van kapcsolva a TLS, Az "Inbound from Office 365" konnektoron kötelező a TLS. Eredmény: A levelek nem jönnek be.
Ez félre van konfigurálva drága Microsoft, de nagyon.
Létrehozok egy bugfix connectort TLS enforcement nélkül és felveszem az IP-t.
Küldök egy service requestet az O365 supportnak.
Gondolkozom, további logturkálás/nslookup. Kiderül, amit sejtettem: A MessageLabs több száz forrás IP-ről küld levelet. Bugfix konnentor elvet, TLS enforcement kikapcsol (adjunk egy pofont a biztonságnak).

Továbbgondolom. Íme az elméletem:
A Manage Hybrid Configuration Wizard a teljes Azure felhő összes IP tartományát felveszi a "Inbound from Office 365" konnektorra. Valaki nem gondolta végig azt, hogy Azure cloud <> Office 365. Natív spekuláció, de el tudom képzelni, hogy a MessageLabs az Azure infrastruktúrán fut.
Tehát, ha valaki Mail szervert üzemeltet az Azure-ban és a kimenő SMTP-n a TLS nincs engedélyezve, az nem tud levelet küldeni egy Hybrid Exchange-nek.
Mi rosszabb, ugyanez valószínüleg a teljes Office 365 infrastruktúrára igaz ezek alapján:
http://community.office365.com/en-us/forums/158/t/156048.aspx
Ezzel csak az a gáz, hogy ha bemigrálom a bejövő levelezésemet is, ott már nem tudom a TLS enforcement-et kikapcsolni.

8 megjegyzés:

  1. Érdekes. Megnéztem nálunk a ReceiveConnector-t, de az a messagelabs-os ip nincs benne egyik tartományban sem.

    Get-ReceiveConnector | ? { $_.Identity -like "*Office 365" } | fl RemoteIpRanges

    VálaszTörlés
    Válaszok
    1. Ez a script nem listázza ki az egészet. Van három pötty a végén.
      Próbáld meg ezt:
      (Get-ReceiveConnector | ? { $_.Identity -like "*Office 365" }).RemoteIpRanges | ft lowerbound,upperbound,netmask -AutoSize

      Törlés
  2. Egyébként meg nem MS címtartomány:

    inetnum: 85.158.143.0 - 85.158.143.255
    netname: MESSAGELABS-HH1-2
    descr: Messagelabs Limited
    descr: Hemel Hempstead Network
    country: GB
    org: ORG-ML31-RIPE
    admin-c: MLAB2-RIPE
    tech-c: MRA48-RIPE
    status: ASSIGNED PA
    mnt-by: MESSAGELABS-MNT
    source: RIPE # Filtered


    Szerintem valami más lesz, hiszen Azure range-k között sincs. http://msdn.microsoft.com/en-us/library/windowsazure/dn175718.aspx

    VálaszTörlés
    Válaszok
    1. Lehet, hogy a végkövetkeztetésem hibás, de sajna a MessageLabs-os címek benne vannak a connector hatókörében, egyébként nem lett volna az alaphiba.

      Törlés
  3. Szerintem kiveheted nyugodtan a rangek közül, ez valami hiba lesz, tuti nem tartozik a Microsofthoz és akkor lesz biztonság is.

    VálaszTörlés
    Válaszok
    1. Sajnos nem csak ebben a range-ben vannak címeik, a többit nem vetettem össze így nem tudom, hogy ütközik-e.
      Ami még történt, hogy jelentkezett az O365 support, holnap megpróbálok zöldágra vergődni velük.
      Az rendben van, hogy én kiveszem, de:
      1. Félek, hogy valami automatikus mechanizmus visszarakja
      2. Mi lesz, ha a mailflow-t áttolom az O365-be. A hivatkozott cikkben látszik, hogy másnak is van baja a MessageLabs-os levelekkel. Ha átállítom a mailflow-t akkor már nem lesz kontrolom se a TLS enforcement se a range-ek felett, ha jól sejtem még a logokat se fogom látni, csak azt, hogy nem jött be a levél.

      Törlés
  4. Elég idióta ez a blogmotor, ha bejelenkezek akkor már minek minden egyes üzenethez captcha ? Mindig elmegy tőle a kedvem, hogy kommenteljek

    VálaszTörlés
    Válaszok
    1. Kinyomtam a captcha szemét. Remélem így jó lesz és talán spammel se leszek tele.

      Törlés