This is an old revision of the document!
Download Domains
Для закрытия CVE-2021–1730 и других похожих уязвимостей, которые могут быть проэксплуатированы для CSRF-атак - Microsoft и скрипт Exchange HealthChecker
- рекомендуют настроить использование отдельного доменного имени для загрузки вложений.
В html-отчёте сприкта это будет выглядеть так:
Security Vulnerabilities: Download Domains are not configured. You should configure them to be protected against CVE-2021-1730. Configuration instructions: https://aka.ms/HC-DownloadDomains
Для конфигурирования download domains нам потребуется сделать две CNAME DNS-записи - внутренний домен и внешний. Если мы используем одно и то же имя и один и тот же сертификат - эти записи могут иметь одинаковый вид.
Name Type Value download Alias (CNAME) mail.arasaka.local
Для работы download domains требуется, чтобы SSL-сертификат содержал данное CNAME-имя.
Если у нас есть wildcard-сертификат для arasaka.local - запись download.mail.arasaka.local не будет валидной, т.к. wildcard-сертификат *.arasaka.local не покрывает домены следующего уровня.
В данном случае нам ничего не мешает сделать следующую запись (замена сертификата не потребуется).
Name Type Value download Alias (CNAME) arasaka.local