Grundlegendes zur Domänensicherheit

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Domänensicherheit bezieht sich auf die Funktionssammlung Microsoft Exchange Server 2010 und Microsoft Office Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME oder anderen Sicherheitslösungen auf Nachrichtenebene darstellt. Der Zweck der Domänensicherheitsfunktion besteht darin, Administratoren eine Möglichkeit zur Verwaltung sicherer Nachrichtenpfade über das Internet mit Geschäftspartnern bereitzustellen. Nachdem diese gesicherten Nachrichtenpfade konfiguriert wurden, werden Nachrichten, die den gesicherten Pfad von einem authentifizierten Absender aus durchlaufen haben, Benutzern in der Benutzeroberfläche von Outlook und Microsoft Office Outlook Web App als domänengesichert angezeigt.

Domänensicherheit verwendet MTLS (Mutual Transport Layer Security), um eine sitzungsbasierte Authentifizierung und Verschlüsselung zur Verfügung zu stellen. Mutual TLS unterscheidet sich von der üblichen TLS-Implementierung. Hierbei stellt normalerweise der Client sicher, dass eine sichere Verbindung zum gewünschten Server hergestellt wird, indem er das Serverzertifikat überprüft. Dies geht im Rahmen einer TLS-Aushandlung ein. In diesem Szenario authentifiziert der Client den Server, bevor der Client Daten überträgt. Der Server authentifiziert die Sitzung mit dem Client jedoch nicht.

Bei der Mutual TLS-Authentifizierung prüft jeder Server die Verbindung mit dem jeweils anderen Server, indem er dessen Zertifikat überprüft. In diesem Szenario, in dem Nachrichten von externen Domänen über überprüfte Verbindungen in einer Exchange 2010-Umgebung eingehen, zeigt Outlook 2007 das Symbol für eine gesicherte Domäne an.

Wichtig

Es würde den Rahmen dieses Themas sprengen, eine ausführliche Darstellung von Kryptografie und Zertifikattechnologien und -konzepten zur Verfügung zu stellen. Bevor Sie eine Sicherheitslösung bereitstellen, die Kryptografie und digitale Zertifikate verwendet, sollten Sie sich mit den grundlegenden Konzepten von Vertrauensstellungen, Authentifizierung, Verschlüsselung sowie Austausch von öffentlichen und privaten Schlüsseln im Zusammenhang mit Kryptografie vertraut machen. Weitere Informationen finden Sie in den Referenzressourcen, die am Ende dieses Themas aufgeführt werden.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.

Überprüfung von TLS-Zertifikaten

Um sich einen Begriff von der allgemeinen Sicherheit und der durch Übertragungen mit gegenseitiger TLS-Authentifizierung bedingten Vertrauenswürdigkeit zu machen, müssen Sie die Überprüfung des zugrunde liegenden TLS-Zertifikats verstehen.

Exchange 2010 beinhaltet eine Gruppe von Cmdlets zum Erstellen, Anfordern und Verwalten von TLS-Zertifikaten. Standardmäßig sind diese Zertifikate selbstsigniert. Bei einem selbstsignierten Zertifikat handelt es sich um ein Zertifikat, das von seinem Ersteller signiert wurde. In Exchange 2010 werden die selbstsignierten Zertifikate vom Microsoft Exchange-Computer unter Verwendung der zugrunde liegenden Microsoft Windows Cryptography API (CAPI) erstellt. Da die Zertifikate selbstsigniert sind, sind sie weniger vertrauenswürdig als Zertifikate, die durch eine Public-Key-Infrastruktur (PKI) oder die Zertifizierungsstelle eines Drittanbieters generiert werden. Selbstsignierte Zertifikate sollten daher nur für interne E-Mails verwendet werden. Wenn die empfangenden Organisationen, mit denen Sie domänengesicherte E-Mails austauschen, Ihr selbstsigniertes Zertifikat auf jedem Edge-Transport-Server für eingehende Nachrichten zum vertrauenswürdigen Stammzertifikatspeicher manuell hinzufügen, wird den selbstsignierten Zertifikaten ausdrücklich vertraut.

Eine bewährte Methode für Verbindungen über das Internet besteht darin, TLS-Zertifikate mit einer PKI oder einer Drittanbieterzertifizierungsstelle zu generieren. Durch die Generierung von TLS-Schlüsseln mit einer vertrauenswürdigen PKI oder Zertifizierungsstelle eines Drittanbieters wird der allgemeine Verwaltungsaufwand der Domänensicherheit verringert. Weitere Informationen zu den Optionen für vertrauenswürdige Zertifikate und Domänensicherheit finden Sie unter Verwenden einer PKI auf dem Edge-Transport-Server für Domänensicherheit.

Mit den Cmdlets für Exchange 2010-Zertifikate können Sie Zertifikatanforderungen für Ihre eigene PKI oder für Zertifizierungsstellen eines Drittanbieters generieren. Weitere Informationen finden Sie unter Grundlegendes zu TLS-Zertifikaten.

Weitere Informationen zum Konfigurieren der Domänensicherheit finden Sie in folgenden Dokument:

Verwenden von Exchange Hosted Services

Sicherheit auf Nachrichtenebene wird durch Microsoft Exchange Hosted Services erweitert oder steht dort als Dienst zur Verfügung.

Exchange Hosted Services ist eine Gruppe von vier unterschiedlichen Hosted Services:

  • Hosted Filtering unterstützt Organisationen beim Schutz vor per E-Mail übertragener Malware

  • Hosted Archive unterstützt sie bei der Einhaltung von Aufbewahrungsanforderungen

  • Hosted Encryption unterstützt sie bei der Verschlüsselung vertraulicher Daten

  • Hosted Continuity unterstützt sie durch E-Mail-Zugriff während und im Anschluss an Notfallsituationen

Diese Dienste werden auf allen intern verwalteten Exchange-Servern vor Ort oder in Hosted Exchange-E-Mail-Dienste integriert, die über Dienstanbieter zur Verfügung gestellt werden. Weitere Informationen zu Exchange Hosted Services finden Sie unter Microsoft Exchange Hosted Services.

Ressourcen

Housley, Russ und Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.

Adams, Carlisle und Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.

Bewährte Methoden zum Implementieren einer Microsoft Windows Server 2003-Public-Key-Infrastruktur

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.