Februar 2021 ist eine Spoofing Lücke in Exchange 2016/2019 bekannt. Die Behebung dieser Lücke erfordert allerdings nicht die Installation eines Sicherheitsupdates, sondern eine Konfiguration hinsichtlich der Outlook Web App Einstellungen.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730
Es besteht eine Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Spoofing, die zu einem Angriff führen kann, der es einem böswilligen Akteur ermöglicht, sich als Benutzer auszugeben.
msrc.microsoft.com
Diese Sicherheitsanfälligkeit wird durch dieses Update behoben. Um derartige Angriffe zu verhindern, empfiehlt Microsoft seinen Kunden, Inlinebilder von DNS-Domänen herunterzuladen, die sich vom Rest von OWA unterscheiden.
- Anlegen eines zusätzlichen DNS Alias‘ (bspw. attachment.owa.example.tld), der auf die OWA veröffentlichung verweist. Es muss nicht zwingend eine Subdomain sein, sondern kann auch attachment.example.tld sein.
Name: owa.example.tld
Address: 172.16.201.10
Aliases: attachment.owa.example.tld- Das verwendete Zertifikat muss um den SubjectAlternateName (SAN) für die Download-Domain (Siehe oben) erweitert werden.
Aktivieren der DownloadDomain
#Virtuelle Verzeichnisse setzten
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web site)" -InternalDownloadHostName "download.mail.domain.de"
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web site)" -ExternalDownloadHostName "download.mail.domain.de"
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web site)" -ExternalDownloadHostName "download.mail.domain.de"
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web site)" -InternalDownloadHostName "download.mail.domain.de"
#DownloadDomain aktivieren
Set-OrganizationConfig -EnableDownloadDomains $true