Descripción de Seguridad de la capa de transporte (TLS) en FOPE

 

Se aplica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tema modificado por última vez: 2012-05-02

TLS (Seguridad de la capa de transporte) es un protocolo que cifra los mensajes y los entrega de un modo seguro con el fin de prevenir la interceptación y suplantación de identidad entre servidores de correo. TLS utiliza dos mecanismos básicos para garantizar la seguridad del correo electrónico:

  1. Cifrado de mensajes: TLS cifra los mensajes entre servidores de correo mediante la infraestructura de clave pública (PKI). De este modo, se dificulta la interceptación y visualización de los mensajes por parte de los hackers.

  2. Autenticación de mensajes: la autenticación TLS, que usa certificados digitales, comprueba que los servidores que envían (o reciben) los mensajes son en realidad lo que indica su identificación. De esta forma se ayuda a evitar la suplantación de identidad.

Todos los mensajes procesados por Forefront Online Protection para Exchange (FOPE) están cifrados con TLS. Para ayudar a garantizar la privacidad y la integridad de los mensajes, el servicio intentará enviar y recibir mensajes entre los servidores mediante TLS, pero cambiará automáticamente a SMTP si los servidores de origen o destino no están configurados para usar TLS.

Cifrado TLS en FOPE

Si TLS se configura con un certificado en el servidor, incluidos los certificados que haya generado el servidor de su entidad de certificación (CA), todo el tráfico entrante y saliente entre los centros de datos de FOPE y su red estará cifrado mediante TLS. El servicio FOPE admite TLS oportunista, lo que significa que primero se intentará realizar la entrega a través de una conexión TLS. Sin embargo, si no se puede establecer una conexión TLS con el servidor de destino, se realizará la entrega a través de una conexión SMTP normal.

Los servidores de correo pueden o no "marcar" un mensaje para indicar que se cifró mediante TLS. En el caso de que lo "marquen", en los encabezados del mensaje aparecerá una línea similar a la del siguiente ejemplo:

"uso de TLSv1 con cifrado EDH-RSA-DES-CBC3-SHA (168/168 bits)"

El ejemplo anterior muestra qué algoritmos y tamaños de bit se usaron para cifrar el mensaje.

Mensajes salientes y TLS forzada

El servicio FOPE permite crear, en la sección Acción del recuadro Configuración de reglas de directiva, reglas de directiva que habilitan Forzar TLS. Esta configuración de regla de directiva aplica la Seguridad de la capa de transporte entre su Agente de transferencia de mensajes (MTA) salientes y el MTA de su destinatario. Cuando se configura esta regla de directiva, se aplican las restricciones de Forzar TLS a los mensajes de correo electrónico saliente que coinciden con esta regla y a todo el dominio.

Nota

Si no se puede establecer una conexión TLS entre los servicios de salida y el entorno de mensajería del destinatario, el mensaje se aplazará 24 horas. Si no se puede entregar el mensaje, se enviará un mensaje de devolución al remitente. Para poder recibir el mensaje de devolución, el servidor debe tener un certificado conocido válido.

Cuando se crea una regla de directiva que habilita Forzar TLS, existe la posibilidad de habilitar TLS oportunista para los destinatarios no especificados (en el área Destinatario de Coincid. - Nueva reg. directiva). Si se activa esta casilla se ejecuta TLS autenticado en el destinatario que cumpla la regla, pero también permite que se transmita a los demás destinatarios mediante TLS oportunista si no se consigue aplicar la TLS en ninguno de los intentos. El servicio FOPE siempre utilizará el nivel de cifrado más alto disponible para la transmisión de los mensajes y si no está disponible, descenderá un paso. Si no se activa la casilla Habilitar TLS oportunista para los destinatarios no especificados, no se bifurcarán los mensajes salientes. Esto significa que se ejecutará TLS autenticada para la entrega de todos los destinatarios del mensaje, donde algunos de los destinatarios coinciden con la regla de filtro de directiva y el Agente de transferencia de mensajes (MTA) del destinatario se configura para aceptar conexiones basadas en TLS (incluidos certificados públicos válidos). Si uno de los destinatarios tiene un MTA que no admite conexiones TLS, se rechazará el mensaje a este destinatario. Para obtener más información acerca de esta regla de directiva y su configuración, vea Descripción de la configuración de reglas de directiva.

Certificados TLS

El servicio FOPE requiere el certificado X.509 TLS/SSL estándar. Además de su certificado, debe tener instalado el certificado de GTE Cybertrust Root más reciente. Los certificados deben adquirirse directamente de una entidad de certificación (CA) o de un distribuidor de certificados autorizado. FOPE es compatible con varias CA de raíz conocidas. Como directiva, FOPE solo admitirá entidades de certificación de raíz actualmente válidas que formen parte del Programa de certificados raíz de Microsoft. Si está considerando un certificado digital para su uso con FOPE, obtenga uno de un miembro del Programa de certificados raíz de Microsoft. Si su CA preferida no aparece en la lista, vea Programa de certificados raíz de Microsoft para obtener información sobre cómo puede solicitar su inclusión en el programa.

Error en el protocolo de enlace TLS

En ocasiones, los clientes de FOPE experimentan errores en el protocolo de enlace TLS. El protocolo de enlace TLS puede generar un error por diversos motivos; los motivos más comunes son estos:

  1. El certificado TLS/SSL utilizado en el protocolo de enlace ha expirado o se ha revocado.

  2. Es posible que el MTA no tenga habilitado el protocolo TLS. Compruebe si el MTA tiene habilitado TLS.

  3. Es posible que el firewall que administra la conexión no esté configurado para permitir comunicaciones TLS a través del puerto 25.

Además, los exhaustivos informes de errores que se usan en el protocolo TLS son una manera excelente de solucionar cualquier problema que surja con el protocolo de enlace o la conectividad.

Preguntas más frecuentes sobre TLS

A continuación se incluyen algunas de las preguntas más comunes que se plantean los clientes del servicio FOPE en relación con TLS.

P. ¿Cómo se invoca una sesión TLS al enviar un mensaje de correo electrónico?

R. El servidor de correo debe tener instalada la pila de protocolo TLS/SSL (se instala de manera predeterminada con la mayoría de los nuevos sistemas operativos) y debe estar configurado para iniciar las conexiones SMTP mediante TLS. Además, es preciso tener instalado un certificado actualizado.

P. ¿Es preciso configurar el firewall cuando se usa TLS?

R. La mayoría de los firewalls están previamente configurados para permitir tráfico TLS/SSL en el puerto 25. Póngase en contacto con el proveedor del firewall si no sabe con certeza si admite este tipo de tráfico o si es preciso configurarlo.

P. ¿Cómo se sabe si un servidor de correo está habilitado para TLS?

R. Hay dos formas básicas de saber si un servidor está habilitado para TLS:

  1. Enviar y recibir un mensaje del servidor y, a continuación, examinar los encabezados del mensaje. Si aparece algo relacionado con TLS, es más que probable que el servidor esté habilitado para TLS.

  2. Probar el servidor mediante una conexión de Telnet.

A continuación figura un ejemplo de una sesión de Telnet en uno de los centros de datos de FOPE que incluye la opción STARTTLS. Esta prueba se puede realizar en cualquier servidor de correo. El siguiente ejemplo procede de los servidores de FOPE:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

El mensaje “220 Ready to start TLS” indica que el servidor está listo para iniciar una conexión TLS.