Planear la seguridad de dominio
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-02-27
La seguridad de dominio hace referencia al conjunto de funciones de Microsoft Exchange Server 2007 y Microsoft Office Outlook 2007 que proporciona una alternativa de bajo costo relativamente a S/MIME u otras soluciones de seguridad en el nivel de los mensajes. La finalidad del conjunto de funciones de seguridad de dominio es proporcionar a los administradores un método para administrar rutas de mensajes seguras en Internet con los socios empresariales. Una vez configuradas las rutas de mensajes seguras, los mensajes que han pasado correctamente por la ruta segura desde un remitente autenticado se muestran a los usuarios como "Dominio seguro" en la interfaz de Outlook y Outlook Web Access.
La seguridad de dominio usa la Seguridad de la capa de transporte (TLS) con autenticación mutua para proporcionar una autenticación y un cifrado basados en la sesión. La TLS con autenticación mutua difiere de la TLS en que se implementa por regla general. Normalmente, al implementar la TLS, el cliente comprueba si la conexión se establece de forma segura con el servidor en cuestión mediante la validación del certificado del servidor. Este certificado se recibe como parte de la negociación de la TLS. En este escenario, el cliente autentica el servidor antes de que el cliente transmita los datos. No obstante, el servidor no autentica la sesión con el cliente.
Con la autenticación de TLS mutua, cada servidor comprueba la conexión con el otro servidor mediante la validación de un certificado proporcionado por el otro servidor. En este escenario, donde los mensajes se reciben de dominios externos mediante conexiones verificadas en un entorno de Exchange 2007, Outlook 2007 muestra el icono "Dominio seguro".
Importante
Una explicación detallada de las tecnologías y los conceptos de criptografía y certificación queda fuera del ámbito de este tema. Antes de implementar cualquier solución de seguridad que use cifrado y certificados digitales, se recomienda entender los conceptos básicos de confianza, autenticación, cifrado e intercambios de claves públicas y privadas en su relación con la criptografía. Para obtener más información, vea las referencias incluidas al final de este tema.
Validación de certificados TLS
Para entender la seguridad general y la confianza resultante de cualquier transmisión TLS mutua, debe entender cómo se valida el certificado TLS subyacente.
Exchange 2007 incluye un conjunto de cmdlets para crear, solicitar y administrar certificados TLS. De forma predeterminada, estos certificados son autofirmados. Un certificado autofirmado es un certificado que firma su creador. En Exchange 2007, el certificado autofirmado se crea con el equipo que ejecuta Microsoft Exchange mediante la API de certificado (CAPI) Microsoft Windows subyacente. Dado que los certificados son autofirmados, los certificados resultantes son menos confiables que los certificados generados por la infraestructura de claves públicas (PKI) o una entidad emisora de certificados (CA) de otros fabricantes. Por lo tanto, se recomienda usar certificados autofirmados sólo para el correo interno. Además, si las organizaciones de recepción con las que intercambia correo electrónico de dominio seguro agregan manualmente el certificado autofirmado al almacén de certificados raíz de confianza de cada servidor de transporte de bordes entrante, los certificados autofirmados son de confianza de forma explícita.
Para las conexiones que pasan por Internet, la práctica recomendada es generar certificados TLS con una PKI o una CA de otros fabricantes. La generación de claves TLS con una PKI de confianza o una CA de otros fabricantes reduce la administración general de la seguridad de dominio. Para obtener más información acerca de las opciones relacionadas con los certificados de confianza y la seguridad de dominio, vea Cómo habilitar la PKI en la función de servidor de transporte perimetral para la seguridad del dominio.
Puede usar los cmdlets de certificado de Exchange 2007 para generar solicitudes de certificado para su propia PKI o para las CA de otros fabricantes. Para obtener más información, vea Creación de un certificado o de una solicitud de certificado para TLS.
Para obtener más información acerca de cómo configurar Domain Security, consulte lo siguiente:
Uso de los Servicios alojados de Exchange
La seguridad en el nivel de los mensajes se mejora mediante o está disponible como un servicio de los Servicios alojados de Microsoft Exchange. Los Servicios alojados de Exchange son un conjunto de cuatro servicios alojados distintos:
Filtrado alojado, que ayuda a las organizaciones a protegerse de código dañino originado en el correo electrónico
Archivo alojado, que ayuda a cumplir los requisitos de retención
Cifrado alojado, que ayuda a cifrar los datos para proteger su confidencialidad
Continuidad alojada, que ayuda a proteger el acceso al correo electrónico durante y después de las situaciones de emergencia
Estos servicios se integran en todos los servidores de Exchange de las instalaciones que se administran de forma interna o en los servicios de correo electrónico de Exchange alojados ofrecidos mediante los proveedores de servicios. Para obtener más información acerca de los Servicios alojados de Exchange, vea la sección sobre los Servicios alojados de Microsoft Exchange (en inglés).
Para obtener más información
Para obtener más información acerca de las tecnologías y conceptos de criptografía y certificación, vea los siguientes recursos:
Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.
Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.
Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure