Compartilhar via


Configurar a transferência de domínios no Exchange Server

Visão Geral

A Download Domains funcionalidade faz com que os anexos sejam carregados a partir de um URL diferente do URL, que é utilizado pelo utilizador para aceder ao Outlook na Web (OWA). Esta chamada entre sites impõe o chamado SameSite cookiespadrão do browser, o que permite uma melhor proteção contra ataques de falsificação de pedidos entre sites (CSRF). Uma vulnerabilidade que é resolvida pela Download Domains funcionalidade é, por exemplo, CVE-2021-1730.

O que são cookies e quando são utilizados

Cookies são cadeias de caracteres de texto enviadas de sites e armazenadas em um computador pelo navegador. São utilizados para autenticação e personalização. Por exemplo, os cookies são usados para recuperar informações com estado, preservar as configurações do usuário, registrar a atividade de navegação e exibir anúncios relevantes. Os cookies sempre são vinculados a um domínio específico e são instalados por várias partes.

Historicamente, sites como example.com os que fazem cross-origin pedidos a outros domínios, como contoso.com , por exemplo, fizeram com que o browser enviasse example.com cookies como parte de qualquer pedido.

Na maioria dos casos, o utilizador beneficia ao poder reutilizar algum estado (por exemplo, o estado de início de sessão) em todos os sites, independentemente da origem de um pedido. No entanto, este comportamento pode ser abusado em ataques CSRF. O SameSite componente reduziu a exposição através da implementação e gestão no Set-Cookie cabeçalho.

Um SameSite é definido como um domínio de nível superior (TLD) e mais um nome de domínio.

Exemplo:

Esquema Domain Name TLD
https:// contoso .com

O esquema de URL também é tido em conta. Um pedido proveniente de https://contoso.com e vai para http://contoso.com (por exemplo, ao clicar numa ligação) é considerado como pedidos entre sites.

Com a norma, os SameSite cookies sites ou aplicações Web podem definir o SameSite atributo em cookies através do Set-Cookie cabeçalho ou através da document.cookie propriedade JavaScript para restringir os casos em que um cookie é enviado.

A SameSite cookies especificação foi introduzida na versão 51 do Google Chrome como um atributo opcional. Foi introduzida com a Compilação 17672 do Windows 10 para o Microsoft Edge e o Internet Explorer.

Existem três valores suportados:

  • Strict
    • O browser não enviará este cookie em nenhum pedido entre sites
  • Lax
    • O browser envia este cookie em pedidos entre sites em determinadas condições (todas as condições têm de ser aplicadas):
      • É utilizado o método HTTP GET "seguro"
      • O pedido provém de uma navegação de nível superior, que foi efetuada pelo utilizador (por exemplo, clicou numa ligação)
  • None
    • O browser envia o cookie em qualquer pedido entre sites, uma vez que esta definição desativa a SameSite restrição

O SameSite cookies padrão é suportado por todos os principais browsers e, se o SameSite atributo não for explicitamente definido pelo site ou aplicação, que emite o cookie, é automaticamente presumido pelo browser e tratado por predefinição como SameSite=Lax para melhorar a segurança contra CSRF ataques.

Olhando para a Download Domains funcionalidade, uma chamada a attachments.owa.contoso.com partir da owa.contoso.com qual foi iniciada é considerada um pedido entre sites e os cookies só são enviados se as condições, descritas para o Lax valor, tiverem sido cumpridas.

Ativar a Transferência de Domínios na sua organização

Existem vários passos que têm de ser executados antes de a funcionalidade Transferir Domínio poder ser ativada para a sua organização. Siga os passos para configurar a funcionalidade:

  1. Crie um novo registo DNS do tipo CNAME (Alias). O registo tem de apontar para o domínio que utiliza para aceder ao Outlook na Web (OWA).

    Exemplo:

    Nome Tipo Valor
    attachments.owa.contoso.com CNAME owa.contoso.com

    Observação

    Se estiver a utilizar espaços de nomes diferentes para acesso interno e externo ao OWA, é necessário criar dois registos CNAME e defini-los em conformidade através do InternalDownloadHostName parâmetro e ExternalDownloadHostName conforme descrito no passo 3.

    Importante

    Os utilizadores NÃO podem utilizar os Domínios de Transferência para aceder ao Outlook na Web, uma vez que isto eliminaria a proteção fornecida pela funcionalidade Transferir Domínios.

  2. Certifique-se de que adiciona o novo subdomínio ao certificado, que é utilizado pelo Exchange Server e vinculado ao front-end. Pode encontrar mais informações sobre o pedido de certificado no Exchange Server no artigo Procedimentos de certificado no Exchange Server .

  3. Adicione o novo subdomínio à configuração do Outlook na Web ao executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"
    

    Observação

    Certifique-se de que define os nomes de anfitrião corretos se a configuração do Exchange utilizar espaços de nomes diferentes para aceder ao OWA a partir de redes internas e externas. A utilização do espaço de nomes errado pode fazer com que a experiência do utilizador fique degradada (por exemplo, as imagens inline são invisíveis, etc.).

  4. Depois de todos os diretórios virtuais do OWA terem sido preparados e o novo certificado ter sido implementado em todos os servidores do Exchange, a funcionalidade pode ser ativada ao executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:

    Set-OrganizationConfig -EnableDownloadDomains $true
    
  5. É necessário reiniciar o e o World Wide Web Publishing serviceWindows Process Activation Service em cada servidor Exchange para ativar a funcionalidade. Execute o seguinte comando a partir de uma janela elevada do PowerShell ou reinicie o servidor:

    Restart-Service -Name W3SVC, WAS -Force 
    

Confirme que a opção Transferir Domínios está ativada

Pode seguir estes passos para confirmar que a funcionalidade Transferir Domínio está ativada e funciona conforme esperado:

  1. Envie um e-mail com uma imagem inline para a sua caixa de correio. Não importa se o e-mail foi enviado a partir de uma caixa de correio interna ou externa.
  2. Inicie sessão no OWA e procure o e-mail de teste que foi enviado para a sua caixa de correio.
  3. Certifique-se de que a imagem é carregada e apresentada no painel de leitura.
  4. Clique com o botão direito do rato na imagem inline e selecione Copy Image link
  5. Cole a ligação em Notepad.exe e verifique o URL. Deve ser o Domínio de Transferência configurado (por exemplo, attachments.owa.contoso.com). Este resultado confirma que a funcionalidade Transferir Domínio está ativa e funciona conforme esperado.

Desativar a transferência de domínios na sua organização

A funcionalidade Transferir Domínio está configurada através de uma configuração em toda a organização e, como resultado, só pode ser ativada ou desativada em todos ou em nenhum servidor Exchange. Se quiser desativar a funcionalidade, basta executar o seguinte comando a partir de uma Shell de Gestão do Exchange (EMS) elevada:

Set-OrganizationConfig -EnableDownloadDomains $false

Siga os passos descritos na secção Confirmar que a opção Transferir Domínios está ativada neste artigo para confirmar que a funcionalidade está desativada.