Existe um erro em todas as versões do Microsoft Internet Explorer, no qual o esquema de autenticação NTLM deve ser declarado primeiro ou ele não será selecionado. Isso vai contra a RFC 2616, que recita “O agente do usuário deve optar por usar o esquema de autenticação mais forte que ele entende”.
E se você tiver uma politica onde bloqueia tudo e libera as exceções, e precisar liberar o MSN Messenger para um usuário específico, provavelmente encontrará o seguinte problema:
192.168.0.XX TCP_DENIED/407 1828 CONNECT local-bay.contacts.msn.com:443 – NONE/- text/html
192.168.0.XX TCP_DENIED/407 1834 CONNECT byrdr.omega.contacts.msn.com:443 - NONE/- text/html
O problema pode ser resolvido da seguinte forma:
acl users proxy_auth user1 user2 acl msn urlpath_regex -i gateway.dll acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com acl msn_server rep_mime_type ^application/x-msn-messenger$ acl msncontact dstdomain .contacts.msn.com http_access allow msncontact http_access allow msn users http_access allow msnd users http_reply_access deny msn_server !users
O detalhe é que a acl msncontact não pode estar associada a autenticação dos usuários.
Fonte: Wiki Squid
