Office 365 Firewall/Proxy exception host list

don't go by ip go by dns names.  use quickregex to add the TLD that is being used then you'll have maybe 5 entires not hundreds..[[:)]]  I tihnk o365 uses exchange.com live.com are there two most widely used ones.

if those are not coming up in the live log but only ip addies then start excepting CIDR ranges.  Two of the most common i see are for O365 are:
134.170.0.0/16 i got this by doing a whois lookup on 134.170.48.20.  it will probably take one or two CIDR exceptions like this to cover O365.

so get the flow control window going on your wan interface and look for office365 in the far left.  click that once and if it says no data give things a few minutes.  It will give you either a dns name(for which you can use quickregex) or an ip.  do a whois on the ip addies..and then except either the TLD or the CIDR range...[[:)]]  If you need help with this let me know via pm and we can discuss how i can help further.

Hello,

don't go by ip go by dns names.  use quickregex to add the TLD that is being used then you'll have maybe 5 entires not hundreds..[[:)]]  I tihnk o365 uses exchange.com live.com are there two most widely used ones.

The TLD will only work with proxy exceptions, but not with firewall exceptions, correct? Because I always need to create a host definition for my O365 firewall rule.

if those are not coming up in the live log but only ip addies then start excepting CIDR ranges.  Two of the most common i see are for O365 are:
134.170.0.0/16 i got this by doing a whois lookup on 134.170.48.20.  it will probably take one or two CIDR exceptions like this to cover O365.

I did use the live log in addition to the Microsoft supplied list in TechNet - the problem is: as soon as one of the Outlook clients can't reach this IP or it becomes slow (we have a very poor internet uplink here), some kind of hard-coded round-robin algorithm starts, and the clients use whatever IP works first. But as you've suggested we are using the CIDR ranges; for the whole O365 package this is still a huge list.

so get the flow control window going on your wan interface and look for office365 in the far left.  click that once and if it says no data give things a few minutes.  It will give you either a dns name(for which you can use quickregex) or an ip.  do a whois on the ip addies..and then except either the TLD or the CIDR range...[[:)]]  If you need help with this let me know via pm and we can discuss how i can help further.

Again, it would be gread if we could use wildcards, but that doesn't work with the firewall exceptions?

Thanks,
SM

you can use cidr with firewall exceptions.  do you have your firewall on absolute lockdown? (aka strictly block everything but only allow a little bit?)  keep in mine if you are running the https proxy it bypasses the firewall so does the http proxy.

you can use cidr with firewall exceptions.  do you have your firewall on absolute lockdown? (aka strictly block everything but only allow a little bit?)  keep in mine if you are running the https proxy it bypasses the firewall so does the http proxy.

Yep, block all, allow only http/s through the forced proxy (non-transparent mode).

Since all Office 365 apps don't respect the system-wide proxy setting in Windows, you have to create firewall exceptions, else nothing works.

i would highly suggest you switch to the transparent proxy..this then removes the proxying from the network and puts it only on the utm.  then you have total control over http/s traffic AND you do not have to wait or depend on windows apps and programs obeying the settings.  Then you don't have to biuld all of those exceptions and any exceptions you have to build will be in the http area which is much easier to manage.

i would highly suggest you switch to the transparent proxy..this then removes the proxying from the network and puts it only on the utm.  then you have total control over http/s traffic AND you do not have to wait or depend on windows apps and programs obeying the settings.  Then you don't have to biuld all of those exceptions and any exceptions you have to build will be in the http area which is much easier to manage.

We have tested the transparent proxy before deployment, because on other installs this is the only configuration I'm using.
But maybe this is the only way to make this easier! Thanks for the hint!
Am I able to completely block certain clients (without authentication enabled) from http/s access with the transparent proxy? Because there are some programmers workstations with full admin priviledges which must be isolated. Separate proxy profile per IP address maybe?

You could block their access to http/s by setting all of the machines you want to have access to the proxy in a new network group inside of the utm..then instead of blanket allowing all of your internal networks only allow that one group.  Since the other machines that must not have access won't be in the allowed networks of the proxy they are blocked....then you can firewall the rest of their traffic into the bitbucket.

You could block their access to http/s by setting all of the machines you want to have access to the proxy in a new network group inside of the utm..then instead of blanket allowing all of your internal networks only allow that one group.  Since the other machines that must not have access won't be in the allowed networks of the proxy they are blocked....then you can firewall the rest of their traffic into the bitbucket.

Thanks, I'm going to try that!

Maybe we are also additionally affected by the 9.3 vs. Office 365 problems. 

Best regards,
SM

Alternately, you can add the "no internet" systems to the transparent proxy skiplist, then you can block their access via firewall rule.