Configurar a transferência de domínios no Exchange Server
Visão Geral
A Download Domains funcionalidade faz com que os anexos sejam carregados a partir de um URL diferente do URL, que é utilizado pelo utilizador para aceder ao Outlook na Web (OWA). Esta chamada entre sites impõe o chamado SameSite cookiespadrão do browser, o que permite uma melhor proteção contra ataques de falsificação de pedidos entre sites (CSRF).
Uma vulnerabilidade que é resolvida pela Download Domains funcionalidade é, por exemplo, CVE-2021-1730.
O que são cookies e quando são utilizados
Cookies são cadeias de caracteres de texto enviadas de sites e armazenadas em um computador pelo navegador. São utilizados para autenticação e personalização. Por exemplo, os cookies são usados para recuperar informações com estado, preservar as configurações do usuário, registrar a atividade de navegação e exibir anúncios relevantes. Os cookies sempre são vinculados a um domínio específico e são instalados por várias partes.
Historicamente, sites como example.com os que fazem cross-origin pedidos a outros domínios, como contoso.com , por exemplo, fizeram com que o browser enviasse example.com cookies como parte de qualquer pedido.
Na maioria dos casos, o utilizador beneficia ao poder reutilizar algum estado (por exemplo, o estado de início de sessão) em todos os sites, independentemente da origem de um pedido. No entanto, este comportamento pode ser abusado em ataques CSRF. O SameSite componente reduziu a exposição através da implementação e gestão no Set-Cookie cabeçalho.
Como funciona o cookie SameSite standard
Um SameSite é definido como um domínio de nível superior (TLD) e mais um nome de domínio.
Exemplo:
| Esquema | Domain Name | TLD |
|---|---|---|
| https:// | contoso | .com |
O esquema de URL também é tido em conta. Um pedido proveniente de https://contoso.com e vai para http://contoso.com (por exemplo, ao clicar numa ligação) é considerado como pedidos entre sites.
Com a norma, os SameSite cookies sites ou aplicações Web podem definir o SameSite atributo em cookies através do Set-Cookie cabeçalho ou através da document.cookie propriedade JavaScript para restringir os casos em que um cookie é enviado.
A SameSite cookies especificação foi introduzida na versão 51 do Google Chrome como um atributo opcional. Foi introduzida com a Compilação 17672 do Windows 10 para o Microsoft Edge e o Internet Explorer.
Existem três valores suportados:
Strict- O browser não enviará este cookie em nenhum pedido entre sites
Lax- O browser envia este cookie em pedidos entre sites em determinadas condições (todas as condições têm de ser aplicadas):
- É utilizado o método HTTP
GET"seguro" - O pedido provém de uma navegação de nível superior, que foi efetuada pelo utilizador (por exemplo, clicou numa ligação)
- É utilizado o método HTTP
- O browser envia este cookie em pedidos entre sites em determinadas condições (todas as condições têm de ser aplicadas):
None- O browser envia o cookie em qualquer pedido entre sites, uma vez que esta definição desativa a
SameSiterestrição
- O browser envia o cookie em qualquer pedido entre sites, uma vez que esta definição desativa a
O SameSite cookies padrão é suportado por todos os principais browsers e, se o SameSite atributo não for explicitamente definido pelo site ou aplicação, que emite o cookie, é automaticamente presumido pelo browser e tratado por predefinição como SameSite=Lax para melhorar a segurança contra CSRF ataques.
Olhando para a Download Domains funcionalidade, uma chamada a attachments.owa.contoso.com partir da owa.contoso.com qual foi iniciada é considerada um pedido entre sites e os cookies só são enviados se as condições, descritas para o Lax valor, tiverem sido cumpridas.
Ativar a Transferência de Domínios na sua organização
Existem vários passos que têm de ser executados antes de a funcionalidade Transferir Domínio poder ser ativada para a sua organização. Siga os passos para configurar a funcionalidade:
Crie um novo registo DNS do tipo CNAME (Alias). O registo tem de apontar para o domínio que utiliza para aceder ao Outlook na Web (OWA).
Exemplo:
Nome Tipo Valor attachments.owa.contoso.com CNAME owa.contoso.com Observação
Se estiver a utilizar espaços de nomes diferentes para acesso interno e externo ao OWA, é necessário criar dois registos CNAME e defini-los em conformidade através do
InternalDownloadHostNameparâmetro eExternalDownloadHostNameconforme descrito no passo 3.Importante
Os utilizadores NÃO podem utilizar os Domínios de Transferência para aceder ao Outlook na Web, uma vez que isto eliminaria a proteção fornecida pela funcionalidade Transferir Domínios.
Certifique-se de que adiciona o novo subdomínio ao certificado, que é utilizado pelo Exchange Server e vinculado ao front-end. Pode encontrar mais informações sobre o pedido de certificado no Exchange Server no artigo Procedimentos de certificado no Exchange Server .
Adicione o novo subdomínio à configuração do Outlook na Web ao executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:
Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"Observação
Certifique-se de que define os nomes de anfitrião corretos se a configuração do Exchange utilizar espaços de nomes diferentes para aceder ao OWA a partir de redes internas e externas. A utilização do espaço de nomes errado pode fazer com que a experiência do utilizador fique degradada (por exemplo, as imagens inline são invisíveis, etc.).
Depois de todos os diretórios virtuais do OWA terem sido preparados e o novo certificado ter sido implementado em todos os servidores do Exchange, a funcionalidade pode ser ativada ao executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:
Set-OrganizationConfig -EnableDownloadDomains $trueÉ necessário reiniciar o e o
World Wide Web Publishing serviceWindows Process Activation Serviceem cada servidor Exchange para ativar a funcionalidade. Execute o seguinte comando a partir de uma janela elevada do PowerShell ou reinicie o servidor:Restart-Service -Name W3SVC, WAS -Force
Confirme que a opção Transferir Domínios está ativada
Pode seguir estes passos para confirmar que a funcionalidade Transferir Domínio está ativada e funciona conforme esperado:
- Envie um e-mail com uma imagem inline para a sua caixa de correio. Não importa se o e-mail foi enviado a partir de uma caixa de correio interna ou externa.
- Inicie sessão no OWA e procure o e-mail de teste que foi enviado para a sua caixa de correio.
- Certifique-se de que a imagem é carregada e apresentada no painel de leitura.
- Clique com o botão direito do rato na imagem inline e selecione
Copy Image link - Cole a ligação em
Notepad.exee verifique o URL. Deve ser o Domínio de Transferência configurado (por exemplo, attachments.owa.contoso.com). Este resultado confirma que a funcionalidade Transferir Domínio está ativa e funciona conforme esperado.
Desativar a transferência de domínios na sua organização
A funcionalidade Transferir Domínio está configurada através de uma configuração em toda a organização e, como resultado, só pode ser ativada ou desativada em todos ou em nenhum servidor Exchange. Se quiser desativar a funcionalidade, basta executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:
Set-OrganizationConfig -EnableDownloadDomains $false
Siga os passos descritos na secção Confirmar que a opção Transferir Domínios está ativada neste artigo para confirmar que a funcionalidade está desativada.