Freigeben über

Konfigurieren von Downloaddomänen in Exchange Server

  • Artikel

Übersicht

Das Download Domains Feature bewirkt, dass Anlagen von einer anderen URL als der geladen werden, die vom Benutzer für den Zugriff auf Outlook im Web (OWA) verwendet wird. Dieser websiteübergreifende Aufruf erzwingt den sogenannten SameSite cookiesStandard des Browsers, der einen besseren Schutz vor Website-Anforderungsfälschungsangriffen (CSRF) ermöglicht. Ein Sicherheitsrisiko, das durch das Download Domains Feature behoben wird, ist z. B. CVE-2021-1730.

Was sind Cookies und wann werden sie verwendet?

Cookies sind Textzeichenfolgen, die von Websites gesendet und vom Webbrowser auf einem Computer gespeichert werden. Sie werden für die Authentifizierung und Personalisierung verwendet. Cookies werden beispielsweise verwendet, um Statusinformationen abzurufen, Benutzereinstellungen beizubehalten, Browseraktivitäten aufzuzeichnen und relevante Werbeanzeigen einzublenden. Cookies sind immer mit einer bestimmten Domäne verknüpft und werden von verschiedenen Parteien installiert.

In der Vergangenheit haben Websites wie example.com , die Anforderungen an andere Domänen senden cross-origin , wie contoso.com z. B. dazu geführt, dass der Browser Cookies im Rahmen einer Anforderung sendet example.com .

In den meisten Fällen profitiert der Benutzer davon, dass er einen Zustand (z. B. den Anmeldestatus) standortübergreifend wiederverwenden kann, unabhängig davon, woher eine Anforderung stammt. Dieses Verhalten kann jedoch bei CSRF-Angriffen missbraucht werden. Die SameSite Komponente hat die Offenlegung durch ihre Implementierung und Verwaltung im Set-Cookie Header reduziert.

Ein SameSite wird als Domäne der obersten Ebene (TLD) plus einem weiteren Domänennamen definiert.

Beispiel:

Schema Domänenname TLD
https:// contoso .COM

Das URL-Schema wird ebenfalls berücksichtigt. Eine Anforderung, die von https://contoso.com stammt und an http://contoso.com gesendet wird (z. B. durch Klicken auf einen Link), wird als websiteübergreifende Anforderungen betrachtet.

Mit dem SameSite cookies Standard können Websites oder Webanwendungen das SameSite Attribut für Cookies über den Set-Cookie Header oder mithilfe der document.cookie JavaScript-Eigenschaft festlegen, um einzuschränken, in welchen Fällen ein Cookie gesendet wird.

Die SameSite cookies Spezifikation wurde in Google Chrome Version 51 als optionales Attribut eingeführt. Es wurde mit Windows 10 Build 17672 für Microsoft Edge und Internet Explorer eingeführt.

Es gibt drei Werte, die unterstützt werden:

  • Strict
    • Der Browser sendet dieses Cookie in keiner websiteübergreifenden Anforderung.
  • Lax
    • Der Browser sendet dieses Cookie in websiteübergreifenden Anfragen unter bestimmten Bedingungen (es gelten alle Bedingungen):
      • Die "sichere" HTTP-Methode GET wird verwendet.
      • Die Anforderung stammt aus einer Navigation auf oberster Ebene, die vom Benutzer ausgeführt wurde (z. B. wurde auf einen Link geklickt).
  • None
    • Der Browser sendet das Cookie in jeder websiteübergreifenden Anforderung, da diese Einstellung die SameSite Einschränkung deaktiviert.

Der SameSite cookies Standard wird von allen wichtigen Webbrowsern unterstützt. Wenn das SameSite Attribut nicht explizit von der Website oder Anwendung festgelegt wird, die das Cookie ausgibt, wird es automatisch vom Webbrowser angenommen und standardmäßig behandelt SameSite=Lax , um die Sicherheit vor CSRF Angriffen zu verbessern.

Betrachtet man das Download Domains Feature, so wird ein Aufruf von attachments.owa.contoso.com , der von owa.contoso.com initiiert wurde, als websiteübergreifende Anforderung betrachtet, und Cookies werden nur gesendet, wenn die für den Lax Wert beschriebenen Bedingungen erfüllt wurden.

Aktivieren von Downloaddomänen in Ihrer Organisation

Es müssen mehrere Schritte ausgeführt werden, bevor das Feature Domäne herunterladen für Ihre Organisation aktiviert werden kann. Führen Sie die Schritte zum Konfigurieren des Features aus:

  1. Erstellen Sie einen neuen DNS-Eintrag vom Typ CNAME (Alias). Der Datensatz muss auf die Domäne verweisen, die Sie für den Zugriff auf Outlook im Web (OWA) verwenden.

    Beispiel:

    Name Typ Wert
    attachments.owa.contoso.com CNAME owa.contoso.com

    Hinweis

    Wenn Sie unterschiedliche Namespaces für den internen und externen OWA-Zugriff verwenden, müssen Sie zwei CNAME-Einträge erstellen und entsprechend über die InternalDownloadHostName Parameter und ExternalDownloadHostName festlegen, wie in Schritt 3 beschrieben.

    Wichtig

    Benutzer dürfen die Downloaddomänen NICHT verwenden , um auf Outlook im Web zuzugreifen, da dadurch der Schutz durch das Feature "Domänen herunterladen" wegfällt.

  2. Stellen Sie sicher, dass Sie die neue Unterdomäne dem Zertifikat hinzufügen, das von Exchange Server verwendet und an das Front-End gebunden wird. Weitere Informationen zur Zertifikatanforderung auf Exchange Server finden Sie im Artikel Zertifikatprozeduren in Exchange Server .

  3. Fügen Sie die neue Unterdomäne der Outlook im Web-Konfiguration hinzu, indem Sie den folgenden Befehl über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen:

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"

    Hinweis

    Stellen Sie sicher, dass Sie die richtigen Hostnamen festlegen, wenn Ihre Exchange-Konfiguration unterschiedliche Namespaces für den Zugriff auf OWA aus internen und externen Netzwerken verwendet. Die Verwendung des falschen Namespaces kann dazu führen, dass die Benutzererfahrung beeinträchtigt wird (z. B. sind Inlinebilder unsichtbar usw.).

  4. Nachdem alle virtuellen OWA-Verzeichnisse vorbereitet wurden und das neue Zertifikat auf allen Exchange-Servern bereitgestellt wurde, kann das Feature aktiviert werden, indem Sie den folgenden Befehl über eine Exchange Management Shell (EMS) mit erhöhten Rechten ausführen:

    Set-OrganizationConfig -EnableDownloadDomains $true

  5. Es ist erforderlich, die World Wide Web Publishing service und auf Windows Process Activation Service jedem Exchange-Server neu zu starten, um das Feature zu aktivieren. Führen Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten aus, oder starten Sie den Server neu:

    Restart-Service -Name W3SVC, WAS -Force

Vergewissern Sie sich, dass Downloaddomänen aktiviert sind.

Sie können die folgenden Schritte ausführen, um zu bestätigen, dass das Feature Domäne herunterladen aktiviert ist und wie erwartet funktioniert:

  1. Senden Sie eine E-Mail mit einem Inlinebild an Ihr Postfach. Es spielt keine Rolle, ob die E-Mail aus einem internen oder externen Postfach gesendet wurde.
  2. Melden Sie sich bei OWA an, und suchen Sie nach der Test-E-Mail, die an Ihr Postfach gesendet wurde.
  3. Stellen Sie sicher, dass das Bild geladen und im Lesebereich angezeigt wird.
  4. Klicken Sie mit der rechten Maustaste auf das Inlinebild, und wählen Sie Copy Image link
  5. Fügen Sie den Link in Notepad.exe ein, und überprüfen Sie die URL. Dies sollte die konfigurierte Downloaddomäne sein (z. B. attachments.owa.contoso.com). Dieses Ergebnis bestätigt, dass das Feature Domäne herunterladen aktiv ist und wie erwartet funktioniert.

Deaktivieren von Downloaddomänen in Ihrer Organisation

Das Feature Domäne herunterladen wird über eine organisationsweite Konfiguration konfiguriert und kann daher nur auf allen oder keinen Exchange-Servern aktiviert oder deaktiviert werden. Wenn Sie das Feature deaktivieren möchten, reicht es aus, den folgenden Befehl über eine Exchange Management Shell (EMS) mit erhöhten Rechten auszuführen:

Set-OrganizationConfig -EnableDownloadDomains $false

Führen Sie die im Abschnitt Bestätigen, dass Downloaddomänen aktiviert sind in diesem Artikel beschriebenen Schritte aus, um zu bestätigen, dass das Feature deaktiviert ist.