ActiveSync Inside

Achtung
Die Ausgaben beziehen sich auf Exchange 2007 mit Windows Mobile 6.0. Offensichtlich überträgt EAS die Nutzdaten nun nicht mehr als XML-Daten sondern irgendwie binär und nutzt auch nicht mehr die OPTIONS-Befehle.

Wer einen ActiveSync Server im Internet bereit stellt, stellt natürlich auch die Frage, wie er diesen HTTPS-Zugang gut absichern kann. Nur kleine Firmen werden den IIS mit Exchange direkt aus dem Internet per Reverse NAT auf Port 443 erreichbar machen. Die meisten Firmen haben einen Reverse Proxy davor, der den SSL-Tunnel aufbricht und in die URLs und den Content hinein schaut. Leider gibt es dazu aber fast keine öffentliche Dokumentation so dass ich selbst einfach mal meine ActiveSync-Verbindung mit NetMon ohne SSL mitgeschnitten habe.

Sicherheit:
Ein solcher Mitschnitt ist nicht möglich, wenn die Verbindung vom Mobilgerät zum Exchange Server per HTTPS durchgehend verschlüsselt ist. Sie können aber über einen Reverse Proxy natürlich die SSL-Verschlüsselung als Betreiber aufbrechen und dann auch die Inhalte ohne SSL an den Exchange weiter geben. Diese Konfiguration ist aber nicht ratsam.

ActiveSync unterstützt mehrere Befehle und ich habe mich hier auf eine Auswahl beschränkt.

Foldersync

Wenn mein Gerät bereits "Synchron" ist und ich manuell eine weitere Synchronisation anstoße, dann sehen Sie im Mitschnitt genau den angeforderten "FolderSync" mit den Anmeldedaten und den allerdings binären Nutzdaten.

In Blau ist dann die Antwort ersichtlich, auf die eine weitere rote Anfrage folgt, die wohl mit "GetItemEstimate" Informationen über die Menge abruft um vermutlich eine Basis für die Anzeige des Fortschritts zu haben.

Inhalte wurden mit diesem Paket aber nicht synchronisiert.

Synchronisation einer Mail

Um eine kleine Mail abzugleichen, habe ich per SMTP eine rudimentäre Mail an mein Postfach zugestellt und die Pakete dazu mitgeschnitten. Die Mail hatte nur folgenden Inhalt:

Diese Mail habe ich per ActiveSync manuell auf meinen Client synchronisiert. Sie erkennen die "POST" Anfrage mit dem Befehl "Sync" und weiteren Daten, die ich mal als "bis hier bin ich gekommen" interpretiere. Der Exchange Server schaut dann nach den Änderungen und sendet die Ergebnisse in einer binären Antwort an den Client.

Sie können auch so in der Antwort zumindest den Absender, den Betreff, einen Zeitstempel, den "Body" und die Nachrichtenklasse erkennen. Weitere Details zum Aufbau einer "vnd.ms-sync.wbxml"-Antwort habe nicht aber auch nicht

Hier mal ein Detail der binären Daten.

Nur ein "PING" bitte

Nach dem Abschluss der Synchronisation sendet der Client wieder ein "PING" an den Server, so dass der Server sich mit seiner Antwort Zeit lassen kann.

Die Antwort habe ich aber nun nicht mehr abgewartet, sondern umgehend die SSL-Verschlüsselung wieder aktiviert.

Weitere Links

Keywords: EAS ActiveSync