Поделиться через

Настройка доменов загрузки в Exchange Server

  • Статья

Обзор

Эта Download Domains функция приводит к загрузке вложений с URL-адреса, отличного от того, который используется пользователем для доступа к Outlook в Интернете (OWA). Этот межсайтовой вызов обеспечивает применение так называемого SameSite cookiesстандарта браузера, что обеспечивает лучшую защиту от атак CSRF. Эта функция устраняет Download Domains уязвимость, например CVE-2021-1730.

Что такое файлы cookie и когда они используются

Файлы cookie — это текстовые строки, отправляемые с веб-сайтов и хранящиеся на компьютере в веб-браузере. Они используются для проверки подлинности и персонализации. Например, файлы cookie используются для отзыва сведений с отслеживанием состояния, сохранения параметров пользователя, записи действий просмотра и отображения соответствующей рекламы. Файлы cookie всегда связаны с определенным доменом и устанавливаются различными сторонами.

Исторически сложилось так, что такие сайты, как example.com , делающие cross-origin запросы к другим доменам, например, contoso.com приводили к тому, что браузер отправлял example.com файлы cookie в рамках любого запроса.

В большинстве случаев пользователь может повторно использовать некоторое состояние (например, состояние входа) на сайтах независимо от того, откуда был получен запрос. Тем не менее, это поведение может быть злоупотребление при атаках CSRF. Компонент SameSite снизил уязвимость за счет реализации и управления в заголовке Set-Cookie .

Определяется SameSite как домен верхнего уровня (TLD) и еще одно доменное имя.

Пример:

Схема Доменное имя TLD
https:// contoso .com

Также учитывается схема URL-адреса. Запрос, поступающий от https://contoso.com и по которому отправляется http://contoso.com (например, щелкнув ссылку), рассматривается как междомовые запросы.

В стандарте SameSite cookies сайты или веб-приложения могут задавать SameSite атрибут для файлов cookie с помощью заголовка Set-Cookiedocument.cookie или с помощью свойства JavaScript, чтобы ограничить, в каких случаях отправляется файл cookie.

Спецификация SameSite cookies появилась в Google Chrome версии 51 как необязательный атрибут. Он был представлен в Windows 10 сборки 17672 для Microsoft Edge и Internet Explorer.

Поддерживаются три значения:

  • Strict
    • Браузер не будет отправлять этот файл cookie ни в одном межайтовом запросе
  • Lax
    • Браузер отправляет этот файл cookie в межсайтовых запросах при определенных условиях (должны применяться все условия):
      • Используется "безопасный" метод HTTP GET
      • Запрос поступает из навигации верхнего уровня, которая была выполнена пользователем (например, была щелкнуна ссылка).
  • None
    • Браузер отправляет файл cookie в любом межсайтовом запросе SameSite , так как этот параметр отключает ограничение

Стандарт SameSite cookies поддерживается всеми основными веб-браузерами, и если SameSite атрибут не задан явным образом веб-сайтом или приложением, которое выдает файл cookie, он автоматически предполагается веб-браузером и обрабатывается по умолчанию для SameSite=Lax повышения безопасности от CSRF атак.

Если взглянуть на Download Domains эту функцию, то вызов, attachments.owa.contoso.com инициированный из owa.contoso.com , считается межстраничного запроса, а файлы cookie отправляются только в том случае, если выполнены условия, описанные для Lax значения.

Включить скачивание доменов в организации

Перед включением функции загрузки домена для вашей организации необходимо выполнить несколько действий. Чтобы настроить эту функцию, выполните следующие действия:

  1. Создайте новую запись DNS типа CNAME (Псевдоним). Запись должна указывать на домен, используемый для доступа к Outlook в Интернете (OWA).

    Пример:

    Имя Тип Значение
    attachments.owa.contoso.com CNAME owa.contoso.com

    Примечание.

    Если вы используете разные пространства имен для внутреннего и внешнего доступа OWA, необходимо создать две записи CNAME и задать их соответствующим образом с помощью InternalDownloadHostName параметра и ExternalDownloadHostName , как описано на шаге 3.

    Важно!

    Пользователи не должны использовать домены загрузки для доступа к Outlook в Интернете, так как это позволит устранить защиту, предоставляемую функцией загрузки доменов.

  2. Обязательно добавьте в сертификат новый поддомен, который используется Exchange Server и привязан к интерфейсу. Дополнительные сведения о запросе сертификата в Exchange Server см. в статье Процедуры сертификатов в Exchange Server .

  3. Добавьте новый поддомен в конфигурацию Outlook в Интернете, выполнив следующую команду из командной консоли Exchange с повышенными привилегиями (EMS):

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"

    Примечание.

    Убедитесь, что заданы правильные имена узлов, если конфигурация Exchange использует разные пространства имен для доступа к OWA из внутренних и внешних сетей. Использование неправильного пространства имен может привести к ухудшению взаимодействия с пользователем (например, встроенные изображения невидимы и т. д.).

  4. После подготовки всех виртуальных каталогов OWA и развертывания нового сертификата на всех серверах Exchange эту функцию можно включить, выполнив следующую команду в командной консоли Exchange с повышенными привилегиями (EMS):

    Set-OrganizationConfig -EnableDownloadDomains $true

  5. Для активации World Wide Web Publishing service функции необходимо перезапустить и на Windows Process Activation Service каждом сервере Exchange Server. Выполните следующую команду в окне PowerShell с повышенными привилегиями или перезапустите сервер:

    Restart-Service -Name W3SVC, WAS -Force

Убедитесь, что домены загрузки включены

Чтобы убедиться, что функция скачивания домена включена и работает должным образом, выполните следующие действия.

  1. Отправьте сообщение электронной почты со встроенным изображением в почтовый ящик. Не имеет значения, было ли сообщение отправлено из внутреннего или внешнего почтового ящика.
  2. Войдите в OWA и найдите тестовое сообщение электронной почты, отправленное в почтовый ящик.
  3. Убедитесь, что изображение загружено и отображается в области чтения.
  4. Щелкните правой кнопкой мыши встроенное изображение и выберите Copy Image link
  5. Вставьте ссылку в Notepad.exe и проверьте URL-адрес. Это должен быть настроенный домен загрузки (например, attachments.owa.contoso.com). Этот результат подтверждает, что функция скачивания домена активна и работает должным образом.

Отключить скачивание доменов в организации

Функция загрузки домена настраивается с помощью конфигурации для всей организации и, как следствие, может быть включена или отключена только на всех серверах Exchange server или вообще без нее. Если вы хотите отключить эту функцию, достаточно выполнить следующую команду из командной консоли Exchange с повышенными привилегиями (EMS):

Set-OrganizationConfig -EnableDownloadDomains $false

Выполните действия, описанные в разделе Подтверждение включения доменов загрузки этой статьи, чтобы убедиться, что эта функция отключена.