1、技术说明:
1)一直以来,Exchange Server 中存在一个欺骗漏洞,这可能导致允许恶意使用者模拟用户的攻击。为了防止这些类型的攻击,Microsoft 建议从与 OWA 的其余部分不同的 DNS 域下载内联图像。这个安全漏洞就是:CVE-2021-1730。
2)可以通过配置 Download Domain 来解决 CVE-2021-1730 安全漏洞。
3)Download Domain 仅适合于以下 Exchange Server 版本:
- Exchange Server 2016
- Exchange Server 2019
4)Download Domain 仅影响 OWA(Outlook Web Access)用户,对其他用户(如 Outlook、Activation)没有影响。
5)以下操作,仅在完全安装程序中解决,不能通过累计更新解决:
- Exchange Server 2016 Cumulative Update 18
- Exchange Server 2019 Cumulative Update 7
2、处理过程:
1)在内部 DNS 中,添加别名:
2)在外部 DNS 中,添加别名:
3)在证书中,修改 Subject Name:
4)启用 Download Domain 功能:
Set-OrganizationConfig -EnableDownloadDomains $true
5)修改 OWA 虚拟目录的设置:
Set-OwaVirtualDirectory -Identity "EX01-2019\owa (Default Web site)" -InternalDownloadHostName "download.mail.exoip.com"
Set-OwaVirtualDirectory -Identity "EX01-2019\owa (Default Web site)" -ExternalDownloadHostName "download.mail.exoip.com"
确认设置:
6)重启 IIS 服务。
3、在 OWA 客户端中,确认设置:
1)测试发送一张图片:
2)接受方接收邮件:
3)按 F12 打开开发工具。在 Inspector 中,选择图片,确认图片的来源。
4)运行 Exchange Health Checker script 脚本,确认无 CVE-2021-1730 安全漏洞。
Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}
HealthChecker.ps1 -BuildHtmlServersReport
ExchangeAllServersReport.html
参考附件
Exchange Health Checkerhttps://download.csdn.net/download/rllyz/86448913
参考链接
CVE-2021-1730https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730