Aplikacja przeglądarkowa OWA, łącząc się z Exchange 2007, nie obsługuje opcji zakazującej odnośników do zawartości zewnętrznej (zazwyczaj grafiki), która jest sytuowana na stronach WWW lub innych źródłach internetowych. Brak możliwości zakazania takich zawartości jest niepokojący, ponieważ pomija środek bezpieczeństwa obsługiwany przez aplikacje dostawców niezależnych.

Outlook 2007 zapewnia automatyczne konfigurowanie. Tradycyjnie już dodanie nazwy konta użytkownika, domeny i informacji związanych z hasłem jest konfigurowane automatycznie. Testy wykazały, że taka autokonfiguracja pracuje w sposób prosty w połączeniach LAN i VPN.

Aczkolwiek, jeżeli ktoś początkowo łączy Outlook 2007 przez połączenie webowe (a nie przez LAN czy VPN), to używany jest odmienny mechanizm uwierzytelniania. Takie początkowe połączenie zewnętrzne wymaga, aby organizacja wydawała certyfikaty dla użytkowników, a użytkownik musi instalować te certyfikaty w celu ustanowienia bezpiecznych połączeń bezpośrednio pomiędzy Outlook 2007 i Exchange Server 2007, co można w sposób łatwy zawrzeć w skryptach wraz z dostarczaniem certyfikatów, by zapobiec błędnej instalacji przez użytkownika.

W czasie testów używano metody ustawiającej pośrednie powiązanie usługi Outlook 2007, która wykonywana jest za pośrednictwem portu 80 (HTTP) i translowana w Exchange Server, z referencjami uwierzytelniania generowanymi przez certyfikat zainstalowany przez użytkownika.

Używano także mechanizmu IMAP telefonu Motorola Q (na którym pracuje system operacyjny Windows Mobile 5) do czytania poczty i łatwej synchronizacji informacji poprzez połączenia komórkowe z serwerem pierwotnym. Outlook Mobile także może wykonywać takie połączenia, ale z rozszerzoną synchronizacją kontaktów, poczty elektronicznej i kalendarzy. Takie procedury okazały się proste do wykonania - z instrukcją w ręku, ale proces prosi się o metodę opartą na skryptach, która mogłaby być używana do usprawnienia zadań konfiguracyjnych dla użytkowników urządzeń na platformie Windows Mobile 5.

Ocena bezpieczeństwa na obrzeżu sieci Exchange 2007

Wraz z Exchange 2007 Microsoft wprowadził koncepcję serwera Edge Transport, który jest komponentem systemu wymiany wiadomości obsługującym ruch sieciowy SMTP.

Serwer Exchange 2007 pracujący w takiej roli może wysyłać i odbierać pocztę internetową dla sieci Exchange (oraz wykonywać takie funkcje, jak blokowanie wirusów i spamu), ale nie jest włączony do domeny Active Directory. W ten sposób, według Microsoftu, minimalizuje się ryzyko narażenia bezpieczeństwa.

Podczas testów wykonywano wstępną ocenę bezpieczeństwa Exchange pracującego w trybie Edge Transport w sposób, w jaki powinno się to robić na początkowym etapie projektowania wdrażania i ochrony Exchange 2007.

Należy mieć jednak na uwadze, że Edge Transport nie jest jedynym elementem działającym na obrzeżu sieci. Outlook Web Access oraz bezpośrednie połączenia klientów Outlook i urządzeń mobilnych nadal "rozmawiają" bezpośrednio z serwerami Exchange, które są w pełni częścią zaufanego kręgu wewnętrznego. Serwer Edge Transport obsługuje wyłącznie komunikację opartą na SMTP, co jest jedynie częścią obszaru potencjalnego ataku.

Bieżąca strategia ataku często skupia się na mechanizmach RPC Microsoftu, transakcjach serwera webowego IIS i potencjalnie niebezpiecznych zachowaniach klienta poczty, takiego jak Outlook. Ataki SMTP są dzisiaj mniej popularne. Edge Transport jest rodzajem fortyfikacji, w którą Microsoft włożył wiele pracy i wysiłku, ale też broni rubież, na której niekoniecznie musi nastąpić atak.

Edge Transport wykorzystuje do łączenia się z większą siecią Exchange 2007 lekki interfejs do Active Directory - ADAM (Active Directory Application Mode). Ogranicza to rozmiary informacji katalogowych prezentowanych w pobliżu obrzeża sieci do niezbędnego minimum, koniecznego do akceptowania adresów poczty elektronicznej.

Edge Transport wymusza politykę bezpieczeństwa poprzez inspekcję nagłówków wiadomości, inspekcję treści i zarządzanie czarnymi i białymi listami dla całego ruchu pocztowego. Microsoft umieszcza na serwerze Edge Transport produkt antyspamowy i antywirusowy Forefront Security, który blokuje niewłaściwe wiadomości pocztowe. Microsoft oferuje też pewną ochronę pomiędzy serwerem Edge Transport i resztą sieci Exchange, aby werdykt w sprawie spamu czy wirusów nie mógł być sfałszowany przez napastnika.

Kolejnym problemem jest to, że praktycznie nie ma dokumentacji Exchange 2007 w zakresie bezpieczeństwa wewnętrznego i na etapie wdrażania systemu.

Istnieją pliki pomocy online oraz bardzo dużo stron na witrynie i blogach producenta. Brak jednak konkretnego podręcznika oznaczonego numerem i wersją, który zapewniałby komplet informacji.

Nie jest to specyfika Exchange 2007. Strategia dokumentacji Microsoftu nigdy nie skupiała się na dostarczaniu kompletnych podręczników opisujących operacje i zarządzanie jego produktami.