Hallo Zusammen
Habe bei einem Exchange nachträglich den Workaround für CVE-2021-1730 eingespielt. Dabei habe ich mich an folgende beiden Anleitung gehalten:
https://eightwone.com/2021/02/26/security-recommendation-exchange-2016-2019/
Soweit keine Fehler bei der Konfiguration. Das Problem ist aber, dass im OWA nun keine Bilder mehr angezeigt werden. Wenn ich das Mail anwähle, welches ein Inlinebild hat, dann sehe ich kurz den Rahmen des Bildes, danach verschwindet alles.
So sieht es für ca. 3 Sekunden aus (drei Inlinebilder):
Egal in welchem Browser etc.
Danach ist das Mail im OWA leer. Restart IIS und Restart kompletter Server haben das Problem nicht behoben.
Es handelt sich um einen Exchange Server 2016 mit CU22 und den neuesten Security Patches.
Besten Dank für Eure Hilfe.
J.
Noch eine Ergänzung: Wir nutzen ein Wildcard Zertifikat.
Jetzige OWA: webmail.<domain>.com
Attachment DNS: attachment.webmail.<domain>.com
Ist eventuell das Problem, dass wir ein Wildcard nutzen? Habe soeben folgenden Eintrag gelesen:
I wouldn't recommend wildcard certs on an Exchange CAS role in the first place, and be aware that the
*in*.contoso.comfor wildcard certs does not match subdomains -- i.e. it'll matcha.contoso.combut notb.a.contoso.com.
Grüsse
Das problem kenn ich. Ich kann das in zusammenhang mit Kremp nachvollziehen. Ich hab aber auch nirgends wildcard Zertifikate im Einsatz. Aber du musst ja nicht ein sub-sub verwenden. ;)
Das problem kenn ich. Ich kann das in zusammenhang mit Kremp nachvollziehen. Ich hab aber auch nirgends wildcard Zertifikate im Einsatz. Aber du musst ja nicht ein sub-sub verwenden. ;)
Hallo Norbert
Danke für die Antwort. Was ich jedoch nicht ganz verstehe, warum soll ich denn keine Sub-Sub verwenden? Das ist doch genau der Grund/Sinn dieses CVE, oder nicht? Habe ich eventuell etwas falsch verstanden?
Was ich jedoch nicht ganz verstehe, warum soll ich denn keine Sub-Sub verwenden?
Hab ich gesagt, du "sollst" keine verwenden? Und ob du da sub-sub OWA verwendest oder schnulliwulli.domain.tld ist egal, solange schnulliwulli nicht der OWA Hostname ist. ;)
Was steht denn vor dem Exchange? UTM oder Kemp als ReverseProxy?
Hi,
also ich hab das grad mal bei Kunden reproduziert. Bei denen lag es am verwendeten Kemp mit aktivem ESP und Pre-auth. Für die Download Domain wurde in dem Fall dann ein weiterer VS ohne ESP konfiguriert und seitdem läuft das.
Hoffe, das hilft dir weiter. :)
Bye
Norbert
Hi,
hatte das gleiche Problem bei einem Exchange 2019 hinter einer Webserverprotection einer Sophos UTM.
Ich hab das für den Exchange benutzte Firewall Profil dupliziert und dort das Static URL hardening angepasst, dann lief es...
Cheers
zlep
Machst du auf der utm auch pre-auth?