Condividi tramite

Configurare i domini di download in Exchange Server

  • Articolo

Panoramica

La Download Domains funzionalità fa sì che gli allegati vengano caricati da un URL diverso da quello usato dall'utente per accedere a Outlook sul Web (OWA). Questa chiamata tra siti impone il cosiddetto SameSite cookiesstandard del browser, che consente una migliore protezione dagli attacchi csrf (Cross-Site Request Forgery). Una vulnerabilità risolta dalla Download Domains funzionalità è, ad esempio, CVE-2021-1730.

Cosa sono i cookie e quando vengono usati

I cookie sono stringhe di testo inviate dai siti Web e archiviate in un computer dal Web browser. Vengono usati per l'autenticazione e la personalizzazione. Ad esempio, i cookie vengono usati per richiamare informazioni con stato, mantenere le impostazioni utente, registrare le attività di esplorazione e visualizzare gli annunci pertinenti. I cookie sono sempre collegati a un determinato dominio e vengono installati da varie parti.

In passato, siti come example.com quelli che effettuano cross-origin richieste ad altri domini, ad contoso.com esempio, hanno causato l'invio example.com di cookie da parte del browser come parte di qualsiasi richiesta.

Nella maggior parte dei casi, l'utente trae vantaggio dalla possibilità di riutilizzare alcuni stati (ad esempio, lo stato di accesso) tra i siti indipendentemente da dove ha avuto origine una richiesta. Tuttavia, questo comportamento può essere abusato negli attacchi CSRF. Il SameSite componente ha ridotto l'esposizione tramite l'implementazione e la gestione nell'intestazione Set-Cookie .

Un SameSite oggetto è definito come un dominio di primo livello (TLD) più un altro nome di dominio.

Esempio:

Schema Nome di dominio TLD
https:// contoso .Com

Viene anche preso in considerazione lo schema URL. Una richiesta proveniente da https://contoso.com e a http://contoso.com cui va (ad esempio, facendo clic su un collegamento) viene considerata come richieste tra siti.

Con lo SameSite cookies standard, i siti o le applicazioni Web possono impostare l'attributo SameSite sui cookie tramite l'intestazione Set-Cookie o tramite la document.cookie proprietà JavaScript per limitare in quali casi viene inviato un cookie.

La SameSite cookies specifica è stata introdotta in Google Chrome versione 51 come attributo facoltativo. È stato introdotto con Windows 10 Build 17672 per Microsoft Edge e Internet Explorer.

Sono supportati tre valori:

  • Strict
    • Il browser non invierà questo cookie in alcuna richiesta cross-site
  • Lax
    • Il browser invia questo cookie nelle richieste cross-site in determinate condizioni (devono essere applicate tutte le condizioni):
      • Viene usato il metodo HTTP GET "safe"
      • La richiesta proviene da una struttura di spostamento di primo livello eseguita dall'utente (ad esempio, è stato fatto clic su un collegamento)
  • None
    • Il browser invia il cookie in qualsiasi richiesta tra siti perché questa impostazione disabilita la SameSite restrizione

Lo SameSite cookies standard è supportato da tutti i principali Web browser e se l'attributo SameSite non è impostato in modo esplicito dal sito Web o dall'applicazione, che rilascia il cookie, viene automaticamente considerato dal Web browser e considerato per impostazione predefinita come SameSite=Lax per migliorare la sicurezza dagli CSRF attacchi.

Esaminando la Download Domains funzionalità, una chiamata a attachments.owa.contoso.com che è stata avviata da owa.contoso.com viene considerata come richiesta tra siti e i cookie vengono inviati solo se le condizioni descritte per il Lax valore sono state soddisfatte.

Abilitare Scarica domini nell'organizzazione

Prima di attivare la funzionalità Scarica dominio per l'organizzazione, è necessario eseguire diversi passaggi. Seguire la procedura per configurare la funzionalità:

  1. Creare un nuovo record DNS di tipo CNAME (Alias). Il record deve puntare al dominio usato per accedere a Outlook sul Web (OWA).

    Esempio:

    Nome Tipo Valore
    attachments.owa.contoso.com CNAME owa.contoso.com

    Nota

    Se si usano spazi dei nomi diversi per l'accesso OWA interno ed esterno, è necessario creare due record CNAME e impostarli di conseguenza tramite il InternalDownloadHostName parametro e ExternalDownloadHostName come descritto nel passaggio 3.

    Importante

    Gli utenti NON devono usare i domini di download per accedere a Outlook sul Web perché ciò eliminerebbe la protezione fornita dalla funzionalità Scarica domini.

  2. Assicurarsi di aggiungere il nuovo sottodominio al certificato, usato da Exchange Server e associato al front-end. Per altre informazioni sulla richiesta di certificato in Exchange Server, vedere l'articolo Procedure del certificato in Exchange Server .

  3. Aggiungere il nuovo sottodominio alla configurazione di Outlook sul Web eseguendo il comando seguente da Exchange Management Shell (EMS) con privilegi elevati:

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"

    Nota

    Assicurarsi di impostare i nomi host corretti se la configurazione di Exchange usa spazi dei nomi diversi per accedere a OWA da reti interne ed esterne. L'uso dello spazio dei nomi errato può causare una riduzione dell'esperienza utente( ad esempio, le immagini inline sono invisibili e così via).

  4. Dopo aver preparato tutte le directory virtuali OWA e aver distribuito il nuovo certificato in tutti i server Exchange, è possibile attivare la funzionalità eseguendo il comando seguente da Exchange Management Shell (EMS) con privilegi elevati:

    Set-OrganizationConfig -EnableDownloadDomains $true

  5. È necessario riavviare World Wide Web Publishing service e Windows Process Activation Service in ogni server Exchange per attivare la funzionalità. Eseguire il comando seguente da una finestra di PowerShell con privilegi elevati o riavviare il server:

    Restart-Service -Name W3SVC, WAS -Force

Verificare che i domini di download siano abilitati

È possibile seguire questa procedura per verificare che la funzionalità Download Domain sia abilitata e funzioni come previsto:

  1. Inviare un messaggio di posta elettronica con un'immagine inline alla cassetta postale. Non importa se il messaggio di posta elettronica è stato inviato da una cassetta postale interna o esterna.
  2. Accedere a OWA e cercare il messaggio di posta elettronica di test inviato alla cassetta postale.
  3. Assicurarsi che l'immagine sia caricata e visualizzata nel riquadro di lettura.
  4. Fare clic con il pulsante destro del mouse sull'immagine inline e scegliere Copy Image link
  5. Incollare il collegamento in Notepad.exe e controllare l'URL. Deve essere il dominio di download configurato, ad esempio attachments.owa.contoso.com. Questo risultato conferma che la funzionalità Scarica dominio è attiva e funziona come previsto.

Disabilitare Il download di domini nell'organizzazione

La funzionalità Scarica dominio viene configurata tramite una configurazione a livello di organizzazione e, di conseguenza, può essere abilitata o disabilitata solo in tutti o nessun server Exchange. Se si vuole disabilitare la funzionalità, è sufficiente eseguire il comando seguente da Exchange Management Shell (EMS) con privilegi elevati:

Set-OrganizationConfig -EnableDownloadDomains $false

Seguire i passaggi descritti nella sezione Verificare che i domini di download siano abilitati di questo articolo per confermare che la funzionalità è disabilitata.