3
Content-Security-Policy im IIS 10 für Exchange 2016 on-prem funktioniert nicht
Hallo zusammen und noch ein gutes neues Jahr,
ich habe von unserem Mutterhaus die Anweisung bekommen, eine Content-Security-Policy zu erstellen um den OWA unseres Exchange 2016 on-prem aus dem Internet heraus abzusichern.
Also hab ich erstmal Google gefragt, mich in das Thema eingelesen und Hinweise zu CSP-Generatoren bekommen mit denen ich dann die Konfiguration im IIS gemacht habe.
Die Policy sieht dann so aus:
default-src 'self' https://*.microsoft.com https://*.sharepointonline.com *.maildomain.com; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com *.maildomain.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;
Die Policy funktioniert zwar, aber ich würde gerne den Eintrag 'unsafe-inline' herausnehmen, da es die CSP völlig unsicher macht.
Gebe ich also stattdessen die Ressourcen explizit an, die ich mit Wireshark, Fiddler und den Developer-Tools von Chrome herausgefunden habe, funktioniert der OWA nicht mehr. Füge ich den Eintrag 'unsafe-inline' wieder hinzu läuft's..
Also fehlen noch Einträge.
Microsoft gibt leider nicht wirklich Informationen, welche Einträge die CSP für den Exchange on-prem enthalten muss.
Daher meine Frage(n):
Hat Jemand vielleicht noch eine Idee, wie ich die fehlenden Seitenaufrufe/Skripte herausfinden kann ?
Oder wo ich nähere Infos zu den Einträgen bekommen kann ?
Für jede Hilfe wär ich dankbar.
Viele Grüße und danke fürs lesen,
Markus
ich habe von unserem Mutterhaus die Anweisung bekommen, eine Content-Security-Policy zu erstellen um den OWA unseres Exchange 2016 on-prem aus dem Internet heraus abzusichern.
Also hab ich erstmal Google gefragt, mich in das Thema eingelesen und Hinweise zu CSP-Generatoren bekommen mit denen ich dann die Konfiguration im IIS gemacht habe.
Die Policy sieht dann so aus:
default-src 'self' https://*.microsoft.com https://*.sharepointonline.com *.maildomain.com; script-src 'self' https://*.microsoft.com https://*.sharepointonline.com *.maildomain.com 'unsafe-inline' 'unsafe-eval'; img-src data: https:;
Die Policy funktioniert zwar, aber ich würde gerne den Eintrag 'unsafe-inline' herausnehmen, da es die CSP völlig unsicher macht.
Gebe ich also stattdessen die Ressourcen explizit an, die ich mit Wireshark, Fiddler und den Developer-Tools von Chrome herausgefunden habe, funktioniert der OWA nicht mehr. Füge ich den Eintrag 'unsafe-inline' wieder hinzu läuft's..
Also fehlen noch Einträge.
Microsoft gibt leider nicht wirklich Informationen, welche Einträge die CSP für den Exchange on-prem enthalten muss.
Daher meine Frage(n):
Hat Jemand vielleicht noch eine Idee, wie ich die fehlenden Seitenaufrufe/Skripte herausfinden kann ?
Oder wo ich nähere Infos zu den Einträgen bekommen kann ?
Für jede Hilfe wär ich dankbar.
Viele Grüße und danke fürs lesen,
Markus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670494
Url: https://administrator.de/forum/content-security-policy-im-iis-10-fuer-exchange-2016-on-prem-funktioniert-nicht-670494.html
Ausgedruckt am: 06.01.2025 um 21:01 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Füge ich den Eintrag 'unsafe-inline' wieder hinzu läuft's. Also fehlen noch Einträge.
wie kommst du darauf? Du wirst um den Parameter in der CSP erst drum rum kommen, wenn Microsoft seinen Quellcode für OWA überarbeitet. Worauf ich bei Exchange 2016 keinen Cent verwetten würde.Hat Jemand vielleicht noch eine Idee, wie ich die fehlenden Seitenaufrufe/Skripte herausfinden kann ?
Sieht man eigentlich ganz gut über die Entwickler Tools -> Console des Browser.Gruß,
Dani
Hi Dani,
vielen Dank für deine Antwort.
ja, da würde ich auch nicht drauf wetten und das Mutterhaus plant Ende des Jahres auf den neuen Exchange umzuziehen.
Ich dachte nur, weil ich bisher überall gelesen habe, den Eintrag nicht zu verwenden und stattdessen die genauen Sourcen anzugeben.. und wenn etwas nicht funktionieren würde, dann hätte man nicht alle Sourcen angegeben.
Gruß,
Markus
vielen Dank für deine Antwort.
wie kommst du darauf? Du wirst um den Parameter in der CSP erst drum rum kommen, wenn Microsoft seinen Quellcode für OWA überarbeitet. Worauf ich bei Exchange 2016 keinen Cent verwetten würde.
ja, da würde ich auch nicht drauf wetten und das Mutterhaus plant Ende des Jahres auf den neuen Exchange umzuziehen.
Ich dachte nur, weil ich bisher überall gelesen habe, den Eintrag nicht zu verwenden und stattdessen die genauen Sourcen anzugeben.. und wenn etwas nicht funktionieren würde, dann hätte man nicht alle Sourcen angegeben.
Gruß,
Markus
Moin,
Gruß,
Dani
ja, da würde ich auch nicht drauf wetten und das Mutterhaus plant Ende des Jahres auf den neuen Exchange umzuziehen.
ich kann dir sagen, es wird nicht besser. Ich dachte nur, weil ich bisher überall gelesen habe, den Eintrag nicht zu verwenden und stattdessen die genauen Sourcen anzugeben..
Was steht denn konkret in Entwickler Tools deines Browser? Da steht auch immer dabei, welcher Parameter im CSP fehlt, damit der Code ausgeführt wird.Gruß,
Dani
