Come utilizzare l'autenticazione TLS in Exchange 2007 per inviare e ricevere messaggi con un indirizzo di posta elettronica di terze parti

  • Articolo

 

Si applica a: Exchange Server 2007 SP3

Ultima modifica dell'argomento: 2009-09-29

In questo argomento viene descritto come utilizzare l'autenticazione TLS (Layer Security) insieme a Microsoft Exchange Server 2007 per inviare e ricevere messaggi di posta elettronica con un programma di posta elettronica di terze parti. 

L'utilizzo del protocollo TLS consente di aumentare la protezione della comunicazione SMTP in Exchange 2007. TLS è un protocollo standard utilizzato per fornire comunicazioni Web protette su Internet o Intranet. Consente ai client di autenticare i server o, facoltativamente, ai server di autenticare i client. Fornisce inoltre un canale di protezione crittografando le comunicazioni. TLS rappresenta la versione più recente del protocollo SSL (Secure Sockets Layer).

TLS su SMTP offre un'autenticazione basata su certificato e consente di fornire trasferimenti dati con protezione avanzata utilizzando chiavi di crittografia simmetriche. Nella crittografia con chiavi simmetriche, nota anche come crittografia "shared secret" (con segreto condiviso) la stessa chiave viene utilizzata per crittografare e decrittografare il messaggio. TLS si applica al codice MAC basato su hashing (HMAC). HMAC utilizza un algoritmo hash insieme a una chiave segreto condiviso per garantire l'assenza di modifiche ai dati durante la trasmissione. La chiave segreto condiviso è allegata ai dati da sottoporre ad hashing. In questo modo viene aumentata la protezione dell'hash poiché entrambe le parti devono avere la stessa chiave segreto condiviso per verificare l'autenticità dei dati.

Nelle precedenti versioni di Exchange, era necessario configurare TLS manualmente. Inoltre era necessario installare un certificato valido, adatto all'utilizzo del TLS, sul server Exchange. In Exchange 2007, la procedura di installazione crea un certificato autofirmato. Per impostazione predefinita, TLS è abilitato. Ciò consente a qualsiasi sistema di invio di crittografare la sessione SMTP in ingresso in Exchange. Per impostazione predefinita, Exchange 2007 tenta di applicare TLS a tutte le connessioni remote.

Per utilizzare TLS per inviare messaggi di posta elettronica a un programma di posta elettronica di terze parti è necessario configurare un connettore di invio. I connettori di invio vengono configurati in computer in cui è in esecuzione Exchange 2007 e su cui è installato il ruolo del server Trasporto Hub o Trasporto Edge. Il connettore di invio rappresenta un gateway logico attraverso il quale inviare messaggi in uscita.

Per utilizzare TLS per inviare messaggi di posta elettronica a un programma di posta elettronica di terze parti è necessario configurare un connettore di ricezione. I connettori di ricezione sono configurati su computer che eseguono Exchange 2007 e nei quali è installato il ruolo del server Trasporto Hub o Trasporto Edge. I connettori di ricezione rappresentano un gateway logico tramite il quale vengono ricevuti i messaggi in ingresso.

Per utilizzare TLS per inviare i messaggi di posta elettronica a un programma di posta elettronica di terze parti

  1. Avviare Exchange Exchange Management Console.

  2. Eseguire uno dei passaggi riportati di seguito:

    • In un computer in cui è installato il ruolo del server Trasporto Edge, selezionare Trasporto Edge, quindi fare clic sulla scheda Connettori di invio.

    • Per creare un connettore di invio in un ruolo del server Trasporto Hub, nell'albero della console espandere Configurazione organizzazione, selezionare Trasporto Hub, quindi fare clic sulla scheda Connettori di invio.

  3. Nel riquadro azioni fare clic su Nuovo connettore di invio. Verrà avviata la Creazione guidata nuovo connettore di invio SMTP.

  4. Nella pagina Introduzione digitare un nome significativo per il connettore nel campo Nome che sarà utilizzato per identificare il connettore.

  5. Nell'elenco a discesa Selezionare la modalità di utilizzo di questo connettore fare clic su Personalizza, quindi su Avanti.

  6. Nella pagina Spazio indirizzo, scegliere Aggiungi.

  7. Nella finestra di dialogo Spazio indirizzo SMTP digitare il dominio esterno del server di posta elettronica esterno. Ad esempio, digitare *.contoso.com per il dominio contoso.com.

  8. Scegliere OK, quindi scegliere Avanti.

  9. Nella pagina Impostazioni di rete selezionare Utilizza i record "MX" DNS (Domain Name System) per instradare automaticamente la posta, quindi fare clic su Avanti. Oppure selezionare Instrada tutta la posta tramite i seguenti SmartHost e procedere come segue:

    1. Scegliere il pulsante Aggiungi.

    2. Nella finestra di dialogo Aggiungi SmartHost, selezionare Indirizzo IP o Nome dominio completo (FQDN) per specificare come individuare lo smarthost. Se si seleziona Indirizzo IP, immettere l'indirizzo IP dello smart host. Se si seleziona Nome dominio completo (FQDN), immettere il nome di dominio completo dello smarthost. Il server di invio deve essere in grado di risolvere il nome di dominio completo.

    3. Al termine, fare clic sul pulsante OK.

    4. Per aggiungere più smarthost, fare clic su Aggiungi e ripetere i passaggi b e c.

    5. Per modificare le impostazioni di uno SmartHost, selezionarlo e quindi fare clic su Modifica.

    6. Per rimuovere uno SmartHost esistente, selezionarlo e quindi fare clic su Rimuovi icona.

    7. Al termine, scegliere il pulsante Avanti.

    8. Nella pagina Impostazioni protezione SmartHost, selezionare Autenticazione di base tramite TLS e fare clic su Avanti.

  10. Per impostazione predefinita, il server Trasporto Hub attualmente utilizzato viene indicato come server di origine nella pagina Server di origine. Per aggiungere un server di origine, fare clic su Aggiungi. Nella finestra di dialogo Seleziona server Trasporto Hub e sottoscrizioni di Edge selezionare i server Trasporto Hub o Trasporto Edge sottoscritti che verranno utilizzati come server di origine per l'invio dei messaggi allo spazio indirizzo specificato nel passaggio 7. L'elenco dei server di origine può includere tutti i server Trasporto Hub o tutti i server Trasporto Edge sottoscritti, ma non una combinazione di entrambi. Al termine dell'aggiunta di ulteriori server di origine, fare clic su OK.

    Per aggiungere più server di origine, fare clic su Aggiungi e ripetere il passaggio.

    Per rimuovere un server di origine esistente, selezionarlo e quindi fare clic su Rimuovi icona.

    Al termine, scegliere il pulsante Avanti.

  11. Nella pagina Nuovo connettore, esaminare il riepilogo della configurazione del connettore. Se si desidera modificare le impostazioni, scegliere Indietro. Per creare il connettore di invio utilizzando le impostazioni contenute nel riepilogo della configurazione, fare clic su Nuovo.

  12. Nella pagina Completamento fare clic su Fine.

  13. Alcuni programmi di terze parti, quali Gentoo Linux, non richiedono altre configurazioni. Eseguire il test della connessione. Se una connessione non può essere completata, procedere come segue:

    1. Nel riquadro di lavoro, fare clic con il pulsante destro del mouse sul connettore creato, quindi scegliere Proprietà.

    2. Nella scheda Rete, selezionare la casella di controllo Abilita protezione dominio (Autenticazione reciproca TLS), quindi fare clic su OK.

    3. Chiudere Exchange Management Console. 

    4. Riavviare il Servizio di trasporto di Microsoft Exchange.

Per utilizzare TLS per ricevere i messaggi di posta elettronica da un programma di posta elettronica di terze parti

  1. Avviare Exchange Exchange Management Console.

  2. Eseguire uno dei passaggi riportati di seguito:

    1. Su un computer in cui è installato il ruolo del server Trasporto Edge selezionare Trasporto Edge quindi, nel riquadro di lavoro, scegliere la scheda Connettori di ricezione.

    2. Per creare un connettore di ricezione su un server Trasporto Hub, espandere l'opzione Configurazione server nell'albero della console e fare clic su Trasporto Hub. Nel riquadro dei risultati selezionare il server sul quale si desidera creare un connettore e quindi scegliere la scheda Connettori di ricezione.

  3. Nel riquadro azioni scegliere Nuovo connettore di ricezione. Viene avviata la Creazione guidata nuovo connettore di ricezione SMTP.

  4. Nella pagina Introduzione digitare un nome significativo per il connettore nel campo Nome che sarà utilizzato per identificare il connettore.

  5. Nell'elenco a discesa Selezionare la modalità di utilizzo di questo connettore fare clic su Personalizza, quindi su Avanti.

  6. Nella pagina Impostazioni della rete locale, fare clic su Aggiungi.

  7. Nella finestra di dialogo Aggiungi binding del connettore di ricezione selezionare una delle opzioni indicate di seguito.

    • Utilizza tutti gli indirizzi IP disponibili sul server   Se si seleziona questa opzione, il connettore rimane in ascolto di connessioni su tutti gli indirizzi IP assegnati alle schede di rete a livello di server locale.

    • Specificare un indirizzo IP   Se si seleziona questa opzione, è necessario digitare un indirizzo IP da assegnare alla scheda di rete sul server locale. Il connettore rimane in ascolto di connessioni solo sull'indirizzo IP fornito.

      Nota

      È necessario specificare un indirizzo IP locale valido per il server Trasporto Hub o per il server Trasporto Edge in cui si trova il connettore di ricezione. Se si specifica un indirizzo IP locale non valido, il servizio di trasporto di Microsoft Exchange potrebbe non avviarsi al riavvio del servizio.

  8. Nel campo Porta della pagina Impostazioni della rete locale digitare il numero della porta, quindi fare clic su OK. Per aggiungere più indirizzi IP locali al connettore, fare clic su Aggiungi quindi ripetere il passaggio. Per modificare una voce precedente, selezionarla e fare clic su Modifica. Per rimuovere una voce esistente, selezionare la voce, quindi fare clic su Rimuovi icona.

  9. Nella pagina Impostazioni della rete locale, all'interno del campo Specificare il nome di dominio completo che verrà fornito dal connettore in risposta a HELO o EHLO, immettere il nome visualizzato nel comando SMTP HELO o EHLO. Se questo campo viene lasciato vuoto, il nome di dominio completo (FQDN) del server Trasporto Hub o del server Trasporto Edge viene aggiunto automaticamente al momento della creazione del connettore. Fare clic su Avanti.

  10. Sulla pagina Impostazioni della rete remota digitare l'indirizzo IP o l'intervallo di indirizzi IP del programma di terze parti dal quale il connettore accetterà le connessioni in ingresso. Per aggiungere l'indirizzo IP remoto o l'intervallo di indirizzi IP remoti, utilizzare uno dei seguenti metodi:

    • Per immettere un indirizzo IP o una subnet senza subnet mask, oppure per specificare la subnet mask utilizzando la notazione Classless Interdomain Routing (CIDR), fare clic su Aggiungi oppure sulla freccia dell'elenco a discesa accanto ad Aggiungi e selezionare Indirizzo IP. Nella finestra di dialogo Aggiungi indirizzi IP dei server remoti immettere l'indirizzo IP utilizzando uno dei seguenti metodi:

      Indirizzo IP senza subnet mask   Digitare, ad esempio, 192.168.1.0. Se non si specifica una subnet mask utilizzando la notazione CIDR, viene utilizzata la subnet mask classful predefinita.

      Indirizzo IP utilizzando la notazione CIDR   Digitare, ad esempio, 192.168.1.0/24.

    • Per immettere un indirizzo IP o una subnet con la subnet mask in notazione con punto decimale, fare clic sulla freccia dell'elenco a discesa accanto ad Aggiungi e fare clic su IP e maschera. Nella finestra di dialogo Aggiungi server remoti - IP e maschera digitare l'indirizzo IP e la subnet mask utilizzando la seguente sintassi:

      Indirizzo IP   Digitare, ad esempio, 192.168.1.0.

      Subnet Mask   Digitare, ad esempio, 255.255.255.0.

    • Per specificare un intervallo di indirizzi IP utilizzando il primo e l'ultimo indirizzo IP nell'intervallo, fare clic sulla freccia dell'elenco a discesa accanto ad Aggiungi e fare clic su Intervallo IP. Nella finestra di dialogo Aggiungi server remoti - Intervallo IP digitare l'indirizzo IP e la subnet mask utilizzando la seguente sintassi:

      Indirizzo iniziale   Digitare, ad esempio, 192.168.1.1.

      Indirizzo finale   Digitare, ad esempio, 192.168.255.255.

      Poiché non è possibile specificare una subnet mask, viene utilizzata la subnet mask classful predefinita.

    Al termine, fare clic sul pulsante OK. Per aggiungere più intervalli di rete remoti al connettore, fare clic su Aggiungi e ripetere il passaggio. Per modificare una voce precedente, selezionare la voce, quindi scegliere Modifica. Per rimuovere una voce esistente, selezionare la voce, quindi fare clic su Rimuovi icona.

  11. Al termine, scegliere il pulsante Avanti.

  12. Nella pagina Nuovo connettore, esaminare il riepilogo della configurazione del connettore. Se si desidera modificare le impostazioni, scegliere Indietro. Per creare il connettore di ricezione utilizzando le impostazioni contenute nel riepilogo della configurazione, scegliere Nuovo.

  13. Nella pagina Completamento fare clic su Fine.

  14. Nel riquadro di lavoro, fare clic con il pulsante destro del mouse sul connettore creato, quindi scegliere Proprietà.

  15. Nella scheda Autenticazione selezionare la casella di controllo Abilita protezione dominio (Autenticazione reciproca TLS), se viene soddisfatta una delle seguenti condizioni:

    • Il server mittente e il server destinatario utilizzano entrambi un certificato pubblico proveniente da un emittente di certificati attendibile.

    • Il server mittente e il server destinatario utilizzano entrambi un certificato autoemesso e il certificato radice di ognuno è installato come certificato radice attendibile.

  16. Nella scheda Gruppi di autorizzazioni selezionare la casella di controllo Utenti anonimi, quindi fare clic su OK.

  17. Chiudere Exchange Management Console. 

  18. Avviare Exchange Management Shell.

  19. Eseguire il cmdlet riportato di seguito:

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS

  20. Se è vera una delle condizioni seguenti:

    • Il server mittente e il server destinatario utilizzano entrambi un certificato pubblico proveniente da un emittente di certificati attendibile.

    • Il server mittente e il server destinatario utilizzano entrambi un certificato autoemesso e il certificato radice di ognuno è installato come certificato radice attendibile.

    Eseguire il cmdlet riportato di seguito:

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net

  21. Riavviare il Servizio di trasporto di Microsoft Exchange.

Ulteriori informazioni

Per ulteriori informazioni sui connettori di invio, vedere gli argomenti Connettori di invio e Come creare un nuovo connettore di invio.

Per ulteriori informazioni sui connettori di ricezione, vedere gli argomenti Connettori di ricezione e Come creare un nuovo connettore di ricezione.

Per ulteriori informazioni sul cmdlet Set-ReceiveConnector, vedere l'argomento Set-ReceiveConnector.

Per ulteriori informazioni sul cmdlet Set-TransportConfig, vedere l'argomento Set-TransportConfig.

Per ulteriori informazioni su come utilizzare il protocollo TLS (Transport Layer Security) insieme a Exchange 2007, vedere i seguenti argomenti: