Compartir a través de

Configuración de los dominios de descarga en Exchange Server

  • Artículo

Información general

La Download Domains característica hace que los datos adjuntos se carguen desde una dirección URL diferente a la que usa el usuario para acceder a Outlook en la Web (OWA). Esta llamada entre sitios aplica el llamado SameSite cookiesestándar del explorador, lo que permite una mejor protección contra ataques de falsificación de solicitudes entre sitios (CSRF). Una vulnerabilidad que aborda la Download Domains característica es, por ejemplo, CVE-2021-1730.

¿Qué son las cookies y cuándo se usan?

Las cookies son cadenas de texto enviadas desde sitios web y almacenadas en un equipo por el explorador web. Se usan para la autenticación y la personalización. Por ejemplo, las cookies se usan para recuperar información con estado, conservar la configuración del usuario, registrar la actividad de exploración y mostrar anuncios relevantes. Las cookies siempre están vinculadas a un dominio determinado y las instalan varias partes.

Históricamente, sitios como example.com que realizan cross-origin solicitudes a otros dominios, como contoso.com , por ejemplo, han hecho que el explorador envíe example.com cookies como parte de cualquier solicitud.

En la mayoría de los casos, el usuario se beneficia al poder reutilizar algún estado (por ejemplo, el estado de inicio de sesión) entre sitios, independientemente del lugar desde el que se originó una solicitud. Sin embargo, este comportamiento se puede abusar en los ataques CSRF. El SameSite componente redujo la exposición a través de su implementación y administración en el Set-Cookie encabezado.

se SameSite define como un dominio de nivel superior (TLD) más un nombre de dominio más.

Ejemplo:

Combinación Nombre de dominio TLD
https:// contoso .com

El esquema de dirección URL también se tiene en cuenta. Una solicitud que procede de https://contoso.com y va a http://contoso.com (por ejemplo, haciendo clic en un vínculo), se considera como solicitudes entre sitios.

Con el SameSite cookies estándar, los sitios o las aplicaciones web pueden establecer el SameSite atributo en las cookies a través del Set-Cookie encabezado o mediante el uso de la document.cookie propiedad JavaScript para restringir en qué casos se envía una cookie.

La SameSite cookies especificación se introdujo en google chrome versión 51 como un atributo opcional. Se introdujo con La compilación 17672 de Windows 10 para Microsoft Edge e Internet Explorer.

Se admiten tres valores:

  • Strict
    • El explorador no enviará esta cookie en ninguna solicitud entre sitios.
  • Lax
    • El explorador envía esta cookie en solicitudes entre sitios en determinadas condiciones (deben aplicarse todas las condiciones):
      • Se usa el método HTTP GET "seguro"
      • La solicitud procede de una navegación de nivel superior, que realizó el usuario (por ejemplo, se hizo clic en un vínculo).
  • None
    • El explorador envía la cookie en cualquier solicitud entre sitios, ya que esta configuración deshabilita la SameSite restricción.

El SameSite cookies estándar es compatible con todos los exploradores web principales y, si el sitio web o la aplicación no establece explícitamente el SameSite atributo, que emite la cookie, el explorador web lo presupone automáticamente y se trata de forma predeterminada para SameSite=Lax mejorar la seguridad frente CSRF a ataques.

Al examinar la Download Domains característica, una llamada a attachments.owa.contoso.com la que se inició desde owa.contoso.com se considera una solicitud entre sitios y las cookies solo se envían si se cumplen las condiciones descritas para el Lax valor.

Habilitación de los dominios de descarga en la organización

Hay varios pasos que deben realizarse antes de que la característica Descargar dominio se pueda activar para su organización. Siga los pasos para configurar la característica:

  1. Cree un nuevo registro DNS de tipo CNAME (alias). El registro debe apuntar al dominio que se usa para acceder a Outlook en la Web (OWA).

    Ejemplo:

    Nombre Tipo Valor
    attachments.owa.contoso.com CNAME owa.contoso.com

    Nota:

    Si usa espacios de nombres diferentes para el acceso OWA interno y externo, es necesario crear dos registros CNAME y establecerlos en consecuencia a través del parámetro yExternalDownloadHostName, como se describe en el InternalDownloadHostName paso 3.

    Importante

    Los usuarios NO deben usar los dominios de descarga para acceder a Outlook en la Web, ya que esto eliminaría la protección proporcionada por la característica Descargar dominios.

  2. Asegúrese de agregar el nuevo subdominio al certificado, que Exchange Server usa y enlaza al front-end. Puede encontrar más información sobre la solicitud de certificado en Exchange Server en el artículo Procedimientos de certificado en Exchange Server .

  3. Agregue el nuevo subdominio a la configuración de Outlook en la Web mediante la ejecución del siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados:

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"

    Nota:

    Asegúrese de establecer los nombres de host correctos si la configuración de Exchange usa espacios de nombres diferentes para acceder a OWA desde redes internas y externas. El uso del espacio de nombres incorrecto puede hacer que la experiencia del usuario se degrade (por ejemplo, las imágenes insertadas son invisibles, etc.).

  4. Después de preparar todos los directorios virtuales de OWA y de implementar el nuevo certificado en todos los servidores de Exchange, la característica se puede activar mediante la ejecución del siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados:

    Set-OrganizationConfig -EnableDownloadDomains $true

  5. Es necesario reiniciar World Wide Web Publishing service y Windows Process Activation Service en cada servidor de Exchange para activar la característica. Ejecute el siguiente comando desde una ventana de PowerShell con privilegios elevados o reinicie el servidor:

    Restart-Service -Name W3SVC, WAS -Force

Confirmación de que los dominios de descarga están habilitados

Puede seguir estos pasos para confirmar que la característica Descargar dominio está habilitada y funciona según lo esperado:

  1. Envíe un correo electrónico con una imagen insertada al buzón de correo. No importa si el correo electrónico se envió desde un buzón interno o externo.
  2. Inicie sesión en OWA y busque el correo electrónico de prueba que se envió al buzón.
  3. Asegúrese de que la imagen se carga y se muestra en el panel de lectura.
  4. Haga clic con el botón derecho en la imagen insertada y seleccione Copy Image link
  5. Pegue el vínculo en Notepad.exe y compruebe la dirección URL. Debe ser el dominio de descarga configurado (por ejemplo, attachments.owa.contoso.com). Este resultado confirma que la característica Descargar dominio está activa y funciona según lo esperado.

Deshabilitación de los dominios de descarga en la organización

La característica Descargar dominio se configura a través de una configuración de toda la organización y, como resultado, solo se puede habilitar o deshabilitar en todos o ningún servidor de Exchange. Si desea deshabilitar la característica, basta con ejecutar el siguiente comando desde un Shell de administración de Exchange (EMS) con privilegios elevados:

Set-OrganizationConfig -EnableDownloadDomains $false

Siga los pasos descritos en la sección Confirmar que los dominios de descarga están habilitados de este artículo para confirmar que la característica está deshabilitada.