配置下载域以解决 CVE-2021-1730 漏洞

您的 Exchange Server 2016/2019 已更新为最新的 Exchange 累积更新和安全更新。但当您检查 Exchange Server 运行状况时，它显示检测到安全漏洞：未配置下载域。本文将展示如何配置下载域来解决 CVE-2021-1730 漏洞。

漏洞 CVE-2021-1730

Microsoft Exchange Server 中存在欺骗漏洞，这可能会导致恶意行为者冒充用户的攻击。为了防止此类攻击，Microsoft 建议从与 OWA 其余部分不同的 DNS 域下载内联图像。

重要提示：使用最新的累积更新/安全更新使 Exchange 服务器保持最新状态。当您拥有用于管理目的的 Exchange 混合服务器时也是如此。

检查CVE-2021-1730漏洞状态

下载并运行 Exchange Server 运行状况检查器脚本，以检测 Exchange Server 是否是最新的以及 CVE-2021-1730 漏洞是否存在或已手动配置。

为所有 Exchange 服务器生成 Exchange 运行状况报告。运行 Exchange 命令行管理程序并将路径更改为 C:\scripts 文件夹。

[PS] C:\>cd C:\scripts
[PS] C:\scripts>Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}; .\HealthChecker.ps1 -BuildHtmlServersReport; .\ExchangeAllServersReport.html

这就是 Exchange 运行状况报告的样子。它表明检测到漏洞。

浏览 Exchange 运行状况报告，直到看到安全漏洞部分。

检测到CVE-2021-1730漏洞。

安全漏洞：未配置下载域。您应该将它们配置为免受 CVE-2021-1730 的影响。配置说明：https://aka.ms/HC-DownloadDomains

如果该漏洞不存在，则一切就绪，您可以仔细检查并确认下载域功能已启用（见下文）。

配置下载域

配置下载域仅适用于 Outlook Web Access (OWA) 中的内嵌图像并对其产生影响。因此，Outlook 桌面或移动应用程序中的内嵌图像不会发生任何变化。假设您配置不正确，内联图像不会显示在 OWA 中，但所有内联图像都可以在所有其他地方使用。

如果您拥有 Exchange Online 中的所有邮箱或者组织不使用 OWA，该怎么办？那么，我们仍然建议配置下载域。那是因为您不希望组织中存在任何漏洞。

要配置下载域，请执行以下步骤：

步骤1.将下载域添加到内部DNS

添加一个名为 download 的新域名，该域名指向内部 DNS 中的主域名。

这就是它的样子。

双击下载CNAME记录查看属性。

步骤2.将下载域添加到外部DNS

添加一个名为 download.mail 的新域名，该域名指向外部 DNS 中的主域名。

5分钟。

这就是它的样子。

步骤3.将下载域添加到证书中

将下载域添加到您现有的 SSL 证书 (SAN)。

这就是我们示例中第三方证书的样子。

如果我们不调整证书，则会破坏 Outlook Web Access (OWA) 中的内嵌图像，因为域名 download.mail.exoip.com 不在列表中。

假设您有一个多域通配符证书，您无需执行任何操作，一切就完成了。这是因为多域通配符证书将保护多级子域。

注意：如果您有通配符证书，它将不起作用，您必须创建多域通配符证书或创建 SAN 证书，包括子域。

步骤4.将下载域添加到OWA虚拟目录

在 Exchange Server 上使用以下两个 cmdlet 将下载域添加到 OWA 虚拟目录。

注意：在所有 Exchange Server OWA 虚拟目录上运行命令。

内部下载主机名：

 [PS] C:\>Set-OwaVirtualDirectory -Identity "EX01-2019\owa (Default Web site)" -InternalDownloadHostName "download.mail.exoip.com"

外部下载主机名：

[PS] C:\>Set-OwaVirtualDirectory -Identity "EX01-2019\owa (Default Web site)" -ExternalDownloadHostName "download.mail.exoip.com"

验证是否设置了内部和外部下载主机名。

[PS] C:\>Get-OwaVirtualDirectory | ft Identity,*DownloadHostName

Identity                         ExternalDownloadHostName InternalDownloadHostName
--------                         ------------------------ ------------------------
EX01-2019\owa (Default Web Site) download.mail.exoip.com  download.mail.exoip.com
EX02-2019\owa (Default Web Site) download.mail.exoip.com  download.mail.exoip.com

步骤 5. 启用下载域

将EnableDownloadDomains标志设置为true。

[PS] C:\>Set-OrganizationConfig -EnableDownloadDomains $true

步骤 6. 重新启动 Internet 信息服务 (IIS)

重新启动Internet 信息服务(IIS)。

[PS] C:\>iisreset

确认下载域已启用

您应始终按照以下步骤确认下载域已成功启用：

1. 将用户发送的包含内嵌图像的电子邮件发送给组织中的其他用户。

2. 登录 OWA 并打开包含内嵌图像的电子邮件。图像应加载并显示在阅读窗格中。

3.右键单击页面并选择检查打开检查器工具。

4. 确保选择检查器选项卡并选择图像。验证是否显示下载域 URL。

5. 运行 Exchange 运行状况检查器脚本并检查运行状况报告。

Exchange 运行状况报告显示未检测到安全漏洞。

就是这样！这是否有助于您解决 CVE-2021-1730 漏洞？

了解更多：更改 DAG 见证服务器和见证目录 »

结论

我们展示了如何配置下载域来解决 CVE-2021-1730 漏洞。当您安装 Exchange 累积更新或安全更新时，不会自动解决此漏洞。您必须在 Exchange Server 中手动配置下载域。

您喜欢这篇文章吗？您可能还喜欢 Exchange 数据库意外卸载。不要忘记关注我们并分享这篇文章。