ActiveSync è il protocollo di Microsoft per la sincronizzazione di dispositivi mobile, sviluppato per la prima volta nel 1996. È in grado di comunicare con diversi software, tra i quali la suite Microsoft. Abilitandolo ad esempio su Outlook, permette di sincronizzare email, calendari e contatti, permettendo ai dispositivi mobile connessi di inviare e ricevere email.

Si è notato però che, anche disabilitando il protocollo, alcuni dispositivi mobile erano ancora in grado di connettersi alla mailbox aggiornata, ed effettuare diverse operazioni.

La motivazione

La causa è da ricercarsi nell’architettura dell’applicazione Outlook e dell’infrastruttura a cui si connette. L’app per dispositivi mobile, infatti, utilizza un protocol translator che è sviluppato ed eseguito in Azure. Il componente translator effettua il routing dei dati e traduce i comandi, ma non mantiene in cache i dati degli utenti.

L’applicazione utilizza delle API proprietarie chiamate “Outlook device API” che si occupano della sincronizzazione di dati e istruzioni da e verso l’applicazione. I dati della mailbox sono mantenuti su Exchange Online, che è una piattaforma di scambio di messaggi pensata per le aziende, che può essere ottenuto come servizio standalone, o tramite una sottoscrizione a Office365. Le suddette API, che comunicano con la piattaforma, sono disponibili pubblicamente.

outlook-rest-architecture
Credits: TechNet

Per questo motivo, anche se ActiveSync è disabilitato, le API sono accessibili da Outlook, e per questo motivo la sincronizzazione rimane comunque attiva.

Come disabilitarlo?

Esistono 3 possibili approcci per bloccare questo comportamento.

  • Inserire una device access rule per bloccare Outlook su Android e iOS. Effettuata spesso anche per motivi di sicurezza, questa soluzione implica un blocco a livello dell’intera azienda, e non è quindi adatta se il blocco è necessario per uno solo o per pochi utenti. Nel caso in cui si potesse applicare “globalmente”, è comunque possibile indicare l’eventuale presenza utenti esclusi dal blocco;
  • Inserire una client access rule per bloccare l’accesso alle API. In questo caso, il target è il singolo client (dispositivo). Il blocco, però, non si riflette solo sull’applicazione Outlook, ma sugli accessi a qualsiasi API.
  • Bloccare l’app di Outlook utilizzando una block list EWS (Exchange Web Services). Il protocollo permette infatti di definire un’access policy, sia per una singola mailbox sia per l’intera organizzazione. L’access policy viene definita tramite una block-list.
EWSBlock
La rule per il blocco di uno specifico utente in EWS. Credits: practical365.com
X