Exchange Server에서 도메인 다운로드 구성
개요
이 Download Domains 기능을 사용하면 사용자가 OWA(Outlook on the Web)에 액세스하는 데 사용하는 것과 다른 URL에서 첨부 파일이 로드됩니다. 이 사이트 간 호출은 소위 SameSite cookies 브라우저 표준을 적용하여 CSRF(교차 사이트 요청 위조) 공격에 대해 더 나은 보호를 가능하게 합니다.
이 기능으로 해결되는 Download Domains 취약성은 CVE-2021-1730과 같습니다.
쿠키란 무엇이며 언제 사용되나요?
쿠키는 웹 사이트에서 보내고 웹 브라우저에서 컴퓨터에 저장된 텍스트 문자열입니다. 인증 및 개인 설정에 사용됩니다. 예를 들어 쿠키는 상태 저장 정보를 회수하고, 사용자 설정을 유지하고, 검색 활동을 기록하고, 관련 광고를 표시하는 데 사용됩니다. 쿠키는 항상 특정 도메인에 연결되며 다양한 당사자가 설치합니다.
지금까지 같은 다른 도메인에 요청을 하는 cross-origin 사이트 example.com 와 같은 contoso.com 사이트에서는 브라우저가 모든 요청의 일부로 쿠키를 보내 example.com 도록 했습니다.
대부분의 경우 사용자는 요청이 시작된 위치에 관계없이 사이트 간에 일부 상태(예: 로그인 상태)를 다시 사용할 수 있으므로 이점을 얻을 수 있습니다. 그러나 이 동작은 CSRF 공격에서 남용될 수 있습니다.
SameSite 구성 요소는 헤더의 구현 및 관리를 통해 노출을 줄입니다Set-Cookie.
SameSite 쿠키 표준은 어떻게 작동하나요?
SameSite 은 최상위 도메인(TLD)과 도메인 이름이 하나 더 있는 것으로 정의됩니다.
예:
| 구성표 | Domain Name | TLD |
|---|---|---|
| https:// | contoso | .com |
URL 체계도 고려됩니다. 에서 들어오 https://contoso.com 고 가는 http://contoso.com 요청(예: 링크를 클릭하여)은 교차 사이트 요청으로 간주됩니다.
표준으로 SameSite cookies 사이트 또는 웹 애플리케이션은 헤더를 통해 Set-Cookie 또는 JavaScript 속성을 사용하여 document.cookie 쿠키가 전송되는 경우를 제한하여 쿠키에 대한 특성을 설정할 SameSite 수 있습니다.
이 사양은 SameSite cookies Google Chrome 버전 51에서 선택적 특성으로 도입되었습니다. Microsoft Edge 및 Internet Explorer용 Windows 10 빌드 17672 에서 도입되었습니다.
지원되는 세 가지 값이 있습니다.
Strict- 브라우저는 사이트 간 요청에서 이 쿠키를 보내지 않습니다.
Lax- 브라우저는 특정 조건에서 사이트 간 요청으로 이 쿠키를 보냅니다(모든 조건이 적용되어야 합니다).
- "안전한" HTTP
GET메서드가 사용됩니다. - 요청은 사용자가 수행한 최상위 탐색에서 제공됩니다(예: 링크를 클릭).
- "안전한" HTTP
- 브라우저는 특정 조건에서 사이트 간 요청으로 이 쿠키를 보냅니다(모든 조건이 적용되어야 합니다).
None- 브라우저는 이 설정이 제한을 사용하지 않도록 설정하기 때문에 사이트 간 요청에서 쿠키를
SameSite보냅니다.
- 브라우저는 이 설정이 제한을 사용하지 않도록 설정하기 때문에 사이트 간 요청에서 쿠키를
표준은 SameSite cookies 모든 주요 웹 브라우저에서 지원되며 쿠키를 발급하는 웹 사이트 또는 애플리케이션에서 특성을 명시적으로 설정하지 않은 경우 SameSite 웹 브라우저에서 자동으로 추정되고 기본적으로 SameSite=Lax 공격에 대한 CSRF 보안을 개선하기 위해 처리됩니다.
이 기능을 살펴보면 Download Domains 에서 시작된 owa.contoso.com 에 대한 attachments.owa.contoso.com 호출은 교차 사이트 요청으로 간주되며, 값에 대해 설명된 조건이 충족된 경우에만 쿠키가 Lax 전송됩니다.
조직에서 도메인 다운로드 사용
조직에 대해 도메인 다운로드 기능을 설정하기 전에 수행해야 하는 몇 가지 단계가 있습니다. 단계를 따라 기능을 구성합니다.
CNAME(별칭) 형식의 새 DNS 레코드를 만듭니다. 레코드는 OWA(웹용 Outlook)에 액세스하는 데 사용하는 도메인을 가리킵니다.
예:
이름 유형 값 attachments.owa.contoso.com CNAME owa.contoso.com 참고
내부 및 외부 OWA 액세스에 다른 네임스페이스를 사용하는 경우 3단계에 설명된 대로 두 개의 CNAME 레코드를 만들고 및
ExternalDownloadHostName매개 변수를 통해InternalDownloadHostName적절하게 설정해야 합니다.중요
사용자가 웹용 Outlook에 액세스하기 위해 도메인 다운로드를 사용하면 안 됩니다. 이렇게 하면 도메인 다운로드 기능에서 제공하는 보호 기능이 제거됩니다.
Exchange Server에서 사용하고 프런트 엔드에 바인딩된 인증서에 새 하위 도메인을 추가해야 합니다. Exchange Server의 인증서 요청에 대한 자세한 내용은 Exchange Server의 인증서 절차 문서에서 찾을 수 있습니다.
관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행하여 웹용 Outlook 구성에 새 하위 도메인을 추가합니다.
Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"참고
Exchange 구성에서 내부 및 외부 네트워크에서 OWA에 액세스하는 데 다른 네임스페이스를 사용하는 경우 올바른 호스트 이름을 설정해야 합니다. 잘못된 네임스페이스를 사용하면 사용자 환경이 저하될 수 있습니다(예: 인라인 이미지가 보이지 않는 등).
모든 OWA 가상 디렉터리를 준비하고 모든 Exchange 서버에 새 인증서를 배포한 후에는 관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행하여 기능을 켤 수 있습니다.
Set-OrganizationConfig -EnableDownloadDomains $true기능을 활성화하려면 각 Exchange 서버에서
World Wide Web Publishing service및Windows Process Activation Service를 다시 시작해야 합니다. 관리자 권한 PowerShell 창에서 다음 명령을 실행하거나 서버를 다시 시작합니다.Restart-Service -Name W3SVC, WAS -Force
도메인 다운로드가 사용하도록 설정되어 있는지 확인
다음 단계에 따라 도메인 다운로드 기능이 사용하도록 설정되어 있고 예상대로 작동하는지 확인할 수 있습니다.
- 인라인 이미지가 있는 전자 메일을 사서함으로 보냅니다. 전자 메일이 내부 또는 외부 사서함에서 전송되었는지는 중요하지 않습니다.
- OWA에 로그인하고 사서함으로 전송된 테스트 전자 메일을 검색합니다.
- 이미지가 로드되어 읽기 창에 표시되는지 확인합니다.
- 인라인 이미지를 마우스 오른쪽 단추로 클릭하고
Copy Image link - 링크를 붙여넣
Notepad.exe고 URL을 확인합니다. 구성된 다운로드 도메인(예: attachments.owa.contoso.com)이어야 합니다. 이 결과는 도메인 다운로드 기능이 활성 상태이며 예상대로 작동하는지 확인합니다.
조직에서 도메인 다운로드 사용 안 함
도메인 다운로드 기능은 조직 전체 구성을 통해 구성되므로 Exchange 서버 전체 또는 없음에서만 사용하도록 설정하거나 사용하지 않도록 설정할 수 있습니다. 이 기능을 사용하지 않도록 설정하려면 관리자 권한 EMS(Exchange Management Shell)에서 다음 명령을 실행하는 것으로 충분합니다.
Set-OrganizationConfig -EnableDownloadDomains $false
이 문서의 도메인 다운로드 사용 확인 섹션에 설명된 단계에 따라 기능이 비활성화되었는지 확인합니다.