Configurer des domaines de téléchargement dans Exchange Server

  • Article

Vue d’ensemble

La Download Domains fonctionnalité entraîne le chargement des pièces jointes à partir d’une URL différente de celle utilisée par l’utilisateur pour accéder à Outlook sur le web (OWA). Cet appel intersites applique la norme dite SameSite cookies du navigateur, qui permet une meilleure protection contre les attaques de falsification de requête intersites (CSRF). Une vulnérabilité qui est traitée par la Download Domains fonctionnalité est, par exemple, CVE-2021-1730.

Que sont les cookies et quand sont-ils utilisés

Les cookies sont des chaînes de texte envoyées par les sites web et stockées sur un ordinateur par le navigateur web. Ils sont utilisés pour l’authentification et la personnalisation. Par exemple, les cookies sont utilisés pour rappeler des informations d'état, préserver les paramètres de l'utilisateur, enregistrer l'activité de navigation et afficher des publicités pertinentes. Les cookies sont toujours liés à un domaine particulier et sont installés par différentes parties.

Historiquement, les sites tels example.com que ceux qui effectuent cross-origin des demandes à d’autres domaines, tels que contoso.com , ont provoqué l’envoi example.com de cookies par le navigateur dans le cadre de toute demande.

Dans la plupart des cas, l’utilisateur bénéficie de la possibilité de réutiliser un état (par exemple, l’état de connexion) sur les sites, quel que soit l’origine d’une requête. Toutefois, ce comportement peut être abusé dans les attaques CSRF. Le SameSite composant a réduit l’exposition par son implémentation et sa gestion dans l’en-tête Set-Cookie .

Un SameSite est défini comme un domaine de niveau supérieur (TLD) plus un autre nom de domaine.

Exemple :

Jeu Nom de domaine TLD
https:// contoso .Com

Le schéma d’URL est également pris en compte. Une requête qui provient de https://contoso.com et qui y est envoyée http://contoso.com (par exemple, en cliquant sur un lien), est considérée comme des demandes intersites.

Avec la SameSite cookies norme, les sites ou les applications web peuvent définir l’attribut sur les SameSite cookies via l’en-tête Set-Cookie ou à l’aide de la document.cookie propriété JavaScript pour restreindre l’envoi d’un cookie.

La SameSite cookies spécification a été introduite dans Google Chrome version 51 en tant qu’attribut facultatif. Il a été introduit avec Windows 10 Build 17672 pour Microsoft Edge et Internet Explorer.

Trois valeurs sont prises en charge :

  • Strict
    • Le navigateur n’envoie pas ce cookie dans une requête intersites
  • Lax
    • Le navigateur envoie ce cookie dans les requêtes intersites sous certaines conditions (toutes les conditions doivent s’appliquer) :
      • La méthode HTTP GET « sécurisée » est utilisée
      • La requête provient d’une navigation de niveau supérieur, qui a été effectuée par l’utilisateur (par exemple, un lien a été cliqué)
  • None
    • Le navigateur envoie le cookie dans toute requête intersites, car ce paramètre désactive la SameSite restriction

La SameSite cookies norme est prise en charge par tous les principaux navigateurs web et si l’attribut SameSite n’est pas explicitement défini par le site web ou l’application, qui émet le cookie, il est automatiquement présumé par le navigateur web et traité par défaut comme SameSite=Lax pour améliorer la sécurité contre CSRF les attaques.

En examinant la Download Domains fonctionnalité, un appel à attachments.owa.contoso.com qui a été lancé à partir de owa.contoso.com est considéré comme une demande intersites et les cookies sont envoyés uniquement si les conditions décrites pour la Lax valeur ont été remplies.

Activer les domaines de téléchargement dans votre organisation

Plusieurs étapes doivent être effectuées avant que la fonctionnalité de téléchargement de domaine puisse être activée pour votre organisation. Suivez les étapes pour configurer la fonctionnalité :

  1. Créez un enregistrement DNS de type CNAME (Alias). L’enregistrement doit pointer vers le domaine que vous utilisez pour accéder à Outlook sur le web (OWA).

    Exemple :

    Nom Type Valeur
    attachments.owa.contoso.com CNAME owa.contoso.com

    Remarque

    Si vous utilisez différents espaces de noms pour l’accès OWA interne et externe, il est nécessaire de créer deux enregistrements CNAME et de les définir en conséquence via le paramètre et ExternalDownloadHostName comme décrit à l’étape InternalDownloadHostName 3.

    Importante

    Les utilisateurs ne doivent PAS utiliser les domaines de téléchargement pour accéder à Outlook sur le web, car cela éliminerait la protection fournie par la fonctionnalité Télécharger des domaines.

  2. Veillez à ajouter le nouveau sous-domaine au certificat, qui est utilisé par Exchange Server et lié au front-end. Pour plus d’informations sur la demande de certificat sur Exchange Server, consultez l’article Procédures de certificat dans Exchange Server .

  3. Ajoutez le nouveau sous-domaine à la configuration Outlook sur le web en exécutant la commande suivante à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges :

    Set-OwaVirtualDirectory -Identity "Contoso\OWA (Default Web Site)" -InternalDownloadHostName "attachments.owa.contoso.com" -ExternalDownloadHostName "attachments.owa.contoso.com"

    Remarque

    Veillez à définir les noms d’hôte appropriés si votre configuration Exchange utilise différents espaces de noms pour accéder à OWA à partir de réseaux internes et externes. L’utilisation d’un espace de noms incorrect peut entraîner une dégradation de l’expérience utilisateur (par exemple, les images inline sont invisibles, etc.).

  4. Une fois que tous les répertoires virtuels OWA ont été préparés et que le nouveau certificat a été déployé sur tous les serveurs Exchange, la fonctionnalité peut être activée en exécutant la commande suivante à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges :

    Set-OrganizationConfig -EnableDownloadDomains $true

  5. Il est nécessaire de redémarrer et World Wide Web Publishing service sur Windows Process Activation Service chaque serveur Exchange pour activer la fonctionnalité. Exécutez la commande suivante à partir d’une fenêtre PowerShell avec élévation de privilèges ou redémarrez le serveur :

    Restart-Service -Name W3SVC, WAS -Force

Vérifier que les domaines de téléchargement sont activés

Vous pouvez suivre ces étapes pour vérifier que la fonctionnalité Télécharger le domaine est activée et fonctionne comme prévu :

  1. Envoyez un e-mail avec une image inline à votre boîte aux lettres. Peu importe si l’e-mail a été envoyé à partir d’une boîte aux lettres interne ou externe.
  2. Connectez-vous à OWA et recherchez l’e-mail de test envoyé à votre boîte aux lettres.
  3. Assurez-vous que l’image est chargée et affichée dans le volet de lecture.
  4. Cliquez avec le bouton droit sur l’image incluse, puis sélectionnez Copy Image link
  5. Collez le lien dans Notepad.exe et vérifiez l’URL. Il doit s’agir du domaine de téléchargement configuré (par exemple, attachments.owa.contoso.com). Ce résultat confirme que la fonctionnalité Télécharger le domaine est active et fonctionne comme prévu.

Désactiver les domaines de téléchargement dans votre organisation

La fonctionnalité Télécharger le domaine est configurée via une configuration à l’échelle de l’organisation et, par conséquent, ne peut être activée ou désactivée que sur tous les serveurs Exchange ou aucun serveur Exchange. Si vous souhaitez désactiver la fonctionnalité, il suffit d’exécuter la commande suivante à partir d’un environnement de ligne de commande Exchange Management Shell (EMS) avec élévation de privilèges :

Set-OrganizationConfig -EnableDownloadDomains $false

Suivez les étapes décrites dans la section Confirmer que les domaines de téléchargement sont activés de cet article pour confirmer que la fonctionnalité est désactivée.