Outlook RPC

Eigentlich müsst es diese Seite schon seit 2000 geben und mit Exchange 2013 wird genau diese Beschreibung schon wieder obsolet, da Outlook mit Exchange 2013 gar kein RPC/TCP mehr nutzt, sondern nur noch RPC/HTTP, also Outlook Anywhere nutzt. Aber noch gibt es sicher viele Exchange 2010 und älter und auch sonst ist das "Verständnis" um RPC durchaus wichtig. Auch wenn Outlook es nicht mehr "sichtbar" nutzt, so wird im Hintergrund immer noch viel RPC gesprochen, z.B. zwischen Domänencontrollern etc. Nur die Windows Dateidienste (SMB) haben schon länger den RPC-Pfad verlassen und nutzen möglichst Port 445 direkt.

Selbst Outlook hat seit Version 2007 seine Verbindungen ausgedehnt und damit meine ich nicht nur die Anfrage per Autodiscover sondern natürlich auch die Exchange Webserivces (EWS), mit denen Outlook 2007 seit Exchange 2007 z.B. Abwesenheitsnachrichten, Frei/Belegt-Zeiten, Unified Messaging und Offline Addressbücher bezieht.

Outlook Traffic im Netzwerkmonitor

Es ist relativ einfach den Verkehr von Outlook auf dem Netzwerkkabel zu identifizieren, zumindest wenn Sie die Pakete nicht per HTTPS oder IPSec verschlüsseln oder tunneln. Hier ein Mitschnitt eines einfachen Outlook Start im gleichen Subnetz. Ich habe die Exchange Ports über eine Farbregel entsprechend gekennzeichnet:

Hier ist gut zu sehen, dass Paket 5-7 der 3-Wege Handshake zum Port 135 ist, der dann in einer Anfrage nach dem RFR Port mündet. In Blau sind dann die Anfragen zum Verzeichnisdienst von Exchange.

Weiter unten sieht man dann in Gelb die Verbindungen des Outlook Clients zum Information Store

RPC Ablaufdiagram

Einfacher verständlich wird dies durch ein Ablaufdiagramm:

Die Ports müssen in ihrer Umgebung nicht mit den hier gezeigten Beispielen übereinstimmen.

Blick in RPC ?

Sie können gerne versuchen die Datenpakete im NETMON zu betrachten. Aber weit kommen Sie nicht. die NSPI-Aufrufe sind an sich schon "verschlüsselt", die auch Netmon anzeigt:

Und auch die Pakete, die Outlook mit dem Information Store austauscht sind zumindest auf den ersten Blick nicht "lesbar". möglich werden diese Zugriffe erst, wenn Sie die MAPIEncryption abschalten, diese was lange zeit per Default sogar "erfordert". Seit Exchange 2010 SP1 ist dieser Zwang aber wieder abgeschaltet worden, weil Outlook 2003 den Wechsel von "unencrypted" auf "Encrypted" nicht alleine vollzogen hat.

Aber nur weil der Server es nicht mehr erzwingt, ist des dem Client ja nicht verboten

Weitere Links