Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 1 subscriber
  • Views 42009 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Webserver Protection and EWS :(

ehofstede
UTM (9.1) seems to have issues with EWS. So it's having issues with all the Mac's/Macbooks in combination with an Exchange server...

I'm running an Exchange 2013 server and everything works fine, all kind of devices synchronize the way they should, iphone/ipad, android, windows mobile, outlook on Windows (2010 and 2013). Update 31-05-2013 11:04; This was a bit over enthusiastic... The Android phones stops synchronizing all of a sudden as well. Solution; shut down Webserver protection, enable NAT rule, let phone sync, disable NAT rule, enable Webserver protection and it's working again... For the time being...

But that is not an EWS issue so, back to the original message; I believe that these products all use Activesync, but... 

The email products used on a Mac are using EWS and that is not functioning with the Webserver Protection.
After configuring the account in Outlook 2011 or Entourage (outlook 2008) I get a message like: "Mail could not be received at this time, the server account returned "Login failure: unknown username or bad password."
And it askes if I want to re-enter the password...

But this is BS, because when I turn off Webserver Protection and use a NAT rule, then the error message doesn't appear and Outlook is working fine... That's why I know it has to be something in the Webserver Protection.

Does anybody know what is going on here and how I can solve this, or is this something that Sophos need to look at?

Thanks!
Regards,
Erwin.


This thread was automatically locked due to age.
  • 0
    copied from https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50108 and let's continue about WAF for Mac clients here:

    Finally Outlook Anywhere is supported and it does work indeed here with Outlook 2010 on Exchange 2010 by forwarding https://webmail.ourdomain.com and https://autodiscover.ourdomain.com to the Exchange server.

    There is just one remaining problem which makes it unusable for us:

    Some clients are using Outlook 2011 on Mac and Mail.app on Mac. Both are connecting fine with the Exchange https connector without UTM WAF enabled. As soon as I switch from DNAT to UTM Web Security, both Mac clients cannot connect anymore and are blocked in the authentication stage.

    /var/log/reverseproxy.log shows the following message repeated then:

    [...] method="POST" statuscode="401" reason="-" extra="-" time="34373" url="/ews/exchange.asmx" [...]

    Is anyone using Outlook 2011 on Mac and Mail.app successfully over the the new WAF in UTM 9.1?
  • 0 in reply to isenberg_01
    Same problem here, no connection with Outlook for Mac when using WAF.
  • 0
    Hi,

    I spent already hours to get this solved. No Success. Same behaviour. Outlook 2011 for mac keeps prompting for credentials while waf (with all the waf profile recommendations i found on internet incl. pass outlook anywhere enabled) on astaro (9.1) ist enabled. With DNAT outlook anywhere works. We have Exchange Server 2010. I appreciate this will be solved. I think it's because the ews as well.
  • 0
    Well, I found this thread .. I thought that the problem was my Exchange 2010 configuration but I have to admit that the problem is the WAF.

    I have exactly the same problem with users trying to connect with Outlook for Mac ...

    If you have any idea / update ...
  • 0
    Similar here, couldn't make Outlook Anywhere on Exchange 2013 work. As well I have problems with SharePoint and NTLM authentication. After successful login it takes up to 5 minutes before I need to re-login again. This is the only part I am not satisfied with UTM product. WAF doesn't work at all, useful only for simple sites.
  • 0
    Did anyone find a solution for this? We are having the same issue.
  • 0
    My guess about the reason for the problem with Mac Outlook is the Exchange offering NTLM authentication to the clients, though NTLM cannot be used via any non-Microsoft reverse proxy (WAF). As the client does not know about these limitiations of the reverse proxy, it tries the most secure authentication method and consists on it, which is Negotiate (Kerberos/NTLM) or NTLM as given by the http response header "WWW-Authenticate". The client fails to fall back to http Basic-Auth.

    This week I saw the same effect on a current Android phone using the Exchange Client App "Touchdown" which does not fail generally with Webmail but does not authenticate to our autodiscover URL which uses the same UTM proxy configuration.

    Maybe some can try to disable NTLM and Negotiate authentication on his Exchange for the Internet facing connector and try again with Outlook for Mac over UTM WAF?

    You can check, if NTLM and Negotiate is activated, with requesting your Exchange URL via wget:

    $ wget -S https://webmail.domain.com/ews/Services.wsdl
    --2014-01-21 09:49:02--  https://webmail.domain.com/ews/Services.wsdl
    Connecting to webmail.domain.com ... connected.
    HTTP request sent, awaiting response... 
      HTTP/1.1 401 Unauthorized
      Date: Tue, 21 Jan 2014 08:49:02 GMT
      Server: Microsoft-IIS/7.5
      WWW-Authenticate: Negotiate
      WWW-Authenticate: NTLM
      WWW-Authenticate: Basic realm="webmail.domain.com"
      X-Powered-By: ASP.NET
      Content-Length: 0
      Keep-Alive: timeout=15, max=100
      Connection: Keep-Alive
      Content-Type: application/x-wsdl
    Authorization failed.
  • 0 in reply to isenberg_01
    I am having exactly the same issue but with Lync 2013 clients.  It uses the external EWS URL to collect calendar information and message history.  If I use WAF, the client constantly prompts for credentials which do not work despite them being correct.  If I switch to DNAT, the clients are happy as pigs.

    I have opened a support ticket but not heard anything yet.  Am hopeing this can be resolved soon as we have a large deployment to start and we bought the Sophos UTM as a replacement for the EOL MS TMG.
  • 0 in reply to occadmin
    We have the same issue with our UTM 9.1

    Our MAC users have problems with our Exchange (Exchange 2010) through the reverse proxy of the UTM (MAC Mail and Outlook 2011)


    Furthermore emails are send in behalf of another person. Those send emails can also be found in the mail account of the other person.


    I found a similar post in the forum:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50162

    From the support I got the following answer:
    We are working on a fix.
    Mantis 27287: Outlook anywhere connection with WAF didn't work for Mac Clients

    At the moment, we do not support Outlook Anywhere connections for Mac clients


    kind regards Marco
  • 0 in reply to occadmin
    I am having exactly the same issue but with Lync 2013 clients.  It uses the external EWS URL to collect calendar information and message history.  If I use WAF, the client constantly prompts for credentials which do not work despite them being correct.  If I switch to DNAT, the clients are happy as pigs.


    I have the exact issue on site as well. OWA, ActiveSync and Outlook Anywhere work as expected. Lync 2013 just keeps asking for credentials as you've outlined. If i open a browser to the EWS site and enter my creds, its fine.Going to log a support case today.
Unfiltered HTML