Public Folder Steuerung

Seit Jahren sagt Microsoft immer wieder, dass öffentliche Ordner am besten abgeschafft werden sollen und es gibt mit Shares Mailboxen, Raum-Mailboxen aber auch SharePoint, Teams, Yammer und vielen anderen Bausteinen ja viel besser Alternativen für bestimmte Aufgaben. Gegen öffentliche Ordner sprechen sowohl technische als auch organisatorische Herausforderungen. Die Art, wie Mitarbeiter mit Daten arbeiten, ändert sich immer wieder und das Design der "öffentlichen Ordner" stammt noch aus den 1990er Jahren. Ende 2018 hat Microsoft aber weitere Möglichkeiten geschaffen, die Nutzung pro Benutzer zu unterbinden. Im Englischen heißt die Funktion "Public Folder Controlled Connections".

Outlook Registry und HasPublicFolders

Der erste Weg den Zugriff auf öffentliche Ordner durch Outlook zu steuern ist ein seit 2012 veröffentlichter Registrierungsschlüssel. Über folgenden Key wird Outlook angewiesen, keine Verbindung zu öffentlichen Ordnern herzustellen.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_User\Software\Microsoft\Exchange\Setup]
"HasPublicFolders"=dword:00000000

Wer keine REG-Datei importieren will, kann das auch per Kommandozeile oder PowerShell tun.

reg add HKCU\Software\Microsoft\Exchange\Setup /f /v HasPublicFolders /t REG_DWORD /d 0

Die Funktion wurde meist dazu genutzt, einen "Fehler" an anderer Stelle zu verbergen. Es gibt durchaus Firmen, die damals die öffentlichen Ordner in Exchange nicht sauber entfernt haben, so dass Outlook immer noch der Annahme war, dass es irgendwo welche geben musste und Fehlermeldungen und Authentifizierungsdialoge den Betrieb störten. Es war aber auch eine Option, so nach und nach bei Benutzern die öffentlichen Ordner zu entfernen, damit diese eben nicht mehr weiter genutzt werden. Ein Rückbau kann ja durchaus ein paar Wochen, Monate oder länger dauern. Und dann wäre es kontraproduktiv, wenn Benutzer weiter neue Ordner anlegen.

Allerdings ist das eine rein clientbasierte Konfiguration und damit nur bedingt flexibel einsetzbar. Es gibt keine Garantie, dass ein Anwender nicht per OWA oder einem Outlook auf einem nicht verwalteten PC weiterhin öffentliche Ordner nutzt.

Lösung auf dem Server mit Autodiscover

Nun wissen wir alle, dass seit Exchange 2007/Outlook 2007 die Konfiguration über Exchange - Autodiscover erfolgt und Outlook sowohl regelmäßig als auch bei Zugriffsfehlern per Autodiscover nach neuen Konfigurationen sucht. Der DNS-Eintrag verweist auf einen beliebigen Exchange Service, der die Anfrage dann zum Postfachserver des Benutzers weitergibt. Dieser Server bildet dann die XML-Antwort.

Im zweiten Halbjahr 2018 hat Exchange Online eine neue Funktion bekommen. Über neue Optionen der PowerShell-Commandlets "Set-OrganisationConfig" und "Set-CASMailbox" kann nun pro Postfach gesteuert werden, ob der Anwender auf öffentliche Ordner zugreifen kann.

Damit die Einstellung pro Mailbox aber aktiv wird, muss erst die globale Konfiguration aktiviert werden. Sie müssen als Administrator also zwei Schritte durchlaufen und auch beim zukünftigem Provisioning von Postfächer daran denken, den Wert zu setzen oder über ein Template den Default anzupassen.

Set-OrganisationConfig `
-PublicFolderShowClientControl: xxx		 Set-CASMailbox `
-publicfolderclientaccess		 Public Folder Zugriff

$False (Default)

$False (Default)

erlaubt

$False (Default)

$True

erlaubt

$True

$True

erlaubt

$True

$False (Default)

unterbunden

Diese Einstellung bewirkt technisch erst einmal nur, dass bei der Autodiscover-Ermittlung für die entsprechenden Benutzer keine öffentliche Ordner Mailbox mehr zurückgeliefert wird. Outlook wird keine öffentlichen Ordner mehr anzeigen.

Dies ist also keine Blockade des Zugriffs auf dem Server sondern nur ein verstecken der Zugriffsmöglichkeit. Theoretisch könnte ein Anwender über eine selbst gestrickte Autodiscover.XML sich den Zugang wieder verschaffen. Das ist aber nicht gerade einfach, wenn er die PublicFolder-Mailbox nicht kennt.

Client, die aber Autodiscover gar nicht nutzen, werden aber weiter auf öffentliche Ordner zugreifen. Dazu gehört aktuell auch noch "Outlook on the Web", also der Zugriff per Browser aus OWA. Auch Outlook Mac ignoriert die fehlende Antwort.

Microsoft hat schon angekündigt, dass diese Funktion irgendwann auch im Rahmen eines CUs für On-Premises-Exchange veröffentlicht wird. Ob dies aber noch für Exchange 2016 erfolgt, ist noch nicht bekannt. Exchange 2013 und früher werden aber die Funktion vermutlich nicht mehr bekommen, da hier keine ProduktUpdates sondern nur noch Security Updates veröffentlicht werden.

Echter Schutz

"Security by Obscurity" ist natürlich keine dauerhafte Lösung sondern eher ein Workaround. Er funktioniert aber und wenn Sie sowieso die öffentlichen Ordner zurückbauen wollen, dann können Sie mit diesem Zwischenschritt sicher leben. Wenn Sie aber auf Dauer nur bestimmten Personen die Nutzung von öffentlichen Ordnern verbieten wollen, dann sollten Sie zusätzlich die Berechtigungen auf den Ordnern entsprechend setzen.

Ich bin aber nicht sicher, ob Microsoft den Zugriff irgendwann auch einmal auf dem Server anhand der Einstellung verhindert. Der Weg über Autodiscover die XML-Rückgabe zu ändern, war sicher einfacher und schneller umzusetzen als die komplette MAPI/HTTP-Funktion um solche Filter zu erweitern.

Weitere Links