Dank aan Anoniem gisteren 19:56 en NedFox; ik heb beide suggesties gevolgd, zeer leerzaam. Ook dank voor alle andere antwoorden die ik zojuist zie, ik was even bang dat er nauwelijks nog serieuze bezoekers waren op deze site!
Uit
https://blog.jamesbayley.com/2015/12/01/registry-hack-to-enable-outlook-2016-to-connect-to-office-365/:
DWORD: ExcludeHttpRedirect //I DON’T EXCLUDE THIS ONE BECAUSE I USE IT
Dat vind ik nou
juist een security risico!
In
https://johnyassa.com/tag/excludehttpredirect/ vond ik dat je door deze de (DWORD) waarde 1 te geven, http voorkomt en dat blijkt prima te werken (in de situatie bij ons).
Voor de mensen die AutoDiscover helemaal willen uitschakelen leek
http://blog.aocsol.com/2015/03/28/cannot-turn-off-outlook-autodiscover-yes-you-can/ mij een interessante pagina.
In de pagina waar NedFox naar verwijst staat een link naar o.a.
https://technet.microsoft.com/en-us/library/jj591328%28v=exchg.141%29.aspx met zeer veel informatie. Alleen is deze pagina voor Office 2010 en Microsoft wijzigt vaak veel tussen versies. Er wordt ook verwezen naar een pagina voor Office 2013 maar die bevat niet veel tekst. Die Office 2010 pagina beschrijft globaal welke informatie in autodiscover.xml wordt uitgewisseld:
- The user’s display name
- Separate connection settings for internal and external connectivity
- The location of the user’s Mailbox server
- The URLs for various features that govern such functionality as Availability (free/busy) information, the Out of Office Assistant, Unified Messaging, and the web-based offline address book
- Outlook Anywhere server settings
Dat klinkt
echt niet als informatie die je clients wil laten opdringen vanaf een potentieel kwaadaardige server via http.
Anoniem vandaag 08:33: "Er staan instellingen voor IMAP, POP3 en SMTP in"
Dus als een client een vervalst antwoord krijgt, met bijv. IMAP en POP3 URLs naar een kwaadaardige server, dan zal die client daar braaf username en password naartoe sturen. Totaal onacceptabel!
Ik kan alleen maar hopen dat bij https het servercertificaat goed gevalideerd wordt, maar de volgende "feature" uit
https://technet.microsoft.com/en-us/library/jj591328%28v=exchg.141%29.aspx doet mij daar wel aan twijfelen:
For this communication to occur without failing, you must have a valid SSL certificate installed. For a certificate to be considered valid, it must meet the following criteria for the Autodiscover service:
- The client can follow the certificate chain up to the trusted root.
- The name matches the URL that the client is trying to communicate with.
- The certificate is current and has not expired.
Tip:
For domain-connected clients, Outlook 2007 and Outlook 2010 are designed to ignore the first validity check in the previous list. This design enables Outlook 2007 and Outlook 2010 to function without any certificate warnings when Outlook uses the self-signed certificate that is installed by Exchange Setup.
Als dat nog waar is voor actuele Outlook versies, lopen domain-enabled clients die zich buiten dat domain begeven ook risico's als ze slechts https gebruiken.
Anoniem 08:57: ik ben me niet bewust van iets dat je met de hosts file zou kunnen doen om https ipv http te forceren.
Uiteindelijk heb ik nu als test de volgende instellingen gemaakt:
Key: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover\
Values (allen DWORD, 32bit dus):
ExcludeHttpRedirect = 1
ExcludeScpLookup = 1
ExcludeSrvRecord = 1
En dit lijkt tot zover prima te werken (nogmaals voor non-domain notebooks met Office365 die vooral buiten het pand worden gebruikt): nadat de DNS query "autodiscover.<bedrijf>.nl" als CNAME o.a. teruggeeft "autodiscover-emeacenter2.outlook.com" wordt met die laatste site meteen een https verbinding opgezet (dus geen http meer).
Als ik eens wat meer tijd heb zal ik eens kijken wat er gebeurt als ik "127.0.0.1 autodiscover-emeacenter2.outlook.com" in m'n hosts file opneem en deze een self-signed certificaat laat teruggeven.
Nogmaals dank voor de reacties!