Det är ytterst få företag som idag inte når sin E-post via en webbläsare, det jag har uppmärksammat är dock att de ser en stor säkerhetsrisk att man från vilken dator som helst kan nå hela sin postlåda. Det är inte alla anställda som tänker sig för utan nu i semestertider loggar in från en dator i hotellets reception eller internet Café i något tropiskt land utan att ha någon som helst koll på vad det finns på dessa datorer.

Ställ krav på klientcertifikat med hjälp av ISA eller en TMG Server

Det här är en guide för dig som publicerat din webmail via en ISA eller en TMG Server

Genom att rulla ut klient (user) certifikat till våra datorer i domänen kan vi enkelt kräva i både ISA och TMG att klienten innehar ett clientcertifikat för att få nå sin webmail.
Kravet på certifikat är att det är utgivet av en CA Server som även vår TMG litar på (utgivande rootcertifikat skall finnas under trusted root både på TMG och klienten). Eftersom jag brukar rekommendera att ha både ISA och TMG som en memberserver är det här inget problem när vi använder vår interna PKI.

Gå sedan in på under Firewall Policy och egenskaper på den lyssnare du har i din publiceringsregel. Under fliken Authentication och knappen Advanced hittar du Require SSL Client Certificate, bocka i denna checkbox. 

Du har nu ställt krav på klient-certifikat. De datorer där det inte finns ett klient certifikat kommer få upp följande fel när de ansluter mot sin webmail:

Direkt efter att ha rullat ut ett klientcertifikat så är resultatet följande:

En enkel lösning för att styra vilka datorer som får nå företagets mailbox via webbläsaren.

VARNING om du har publicerat andra Exchange tjänster så som exempelvis EAS med samma lyssnare, se då till att skapa en ny lyssnare med annan IP/URL just för OWA.