Scenario di partner disciplinato con TLS forzato

 

Si applica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Data ultima modifica dell'argomento: 2011-10-20

Le organizzazioni possono impostare un canale di flusso di posta protetto con i partner attendibili configurando il routing della posta tramite i connettori Forefront Online Protection for Exchange (FOPE). Alcuni partner commerciali possono richiedere che l'organizzazione comunichi tramite TLS (Transport Layer Security) o esegua l'accesso utilizzando un certificato valido di terze parti. I connettori FOPE consentono di configurare il TLS (Transport Layer Security) forzato in ingresso e in uscita utilizzando certificati autofirmati o CA. TLS è un protocollo di crittografia che protegge le comunicazioni su Internet. Per informazioni più dettagliate sull'uso di TLS in FOPE, vedere Informazioni sul protocollo TLS (Transport Layer Security) in FOPE.

In questo scenario di esempio, contoso.com ha configurato un canale di routing di posta protetto con fabrikambank.com. Contoso usa una soluzione di posta ospitata su cloud Microsoft Exchange Online su cui tiene le cassette postali. I messaggi di posta scambiati tra Contoso e Fabrikam Bank attraverso FOPE vengono protetti con la crittografia TLS in entrambe le direzioni.

Suggerimento: Per il video che descrive questo scenario e mostra i passi di configurazione dei connettori FOPE, vedere Scenario di partner disciplinato con TLS forzato.

Flusso di posta bidirezionale

Quando si riceve la posta in ingresso o in uscita nel cloud, si applica la seguente architettura di partner disciplinati:

Scenario partner aziendali disciplinati da regole

Con questo scenario, la posta scambiata tra l'organizzazione Exchange Online di Contoso e Fabrikam viene trasferita su un canale protetto utilizzando il TLS forzato in ingresso e in uscita. Inoltre, tutta la posta tra le due organizzazioni viene convalidata utilizzando un certificato CA.

Configurazione di un partner disciplinato

Per configurare la relazione di partner disciplinato. è necessario creare i connettori FOPE in ingresso e in uscita.

Per configurare un connettore FOPE in ingresso per un partner disciplinato

  1. Nell'interfaccia di amministrazione FOPE, fare clic sulla scheda Amministrazione, quindi fare clic sulla scheda Società.

  2. Nella sezione Connettori fare clic su Connettori in ingresso, quindi su Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi connettore in ingresso.

    Nella seguente immagine vengono indicate le impostazioni del connettore in ingresso per lo scenario di esempio di partner disciplinato con TLS forzato.

    Connettore in ingresso partner aziendali disciplinati da regole

  3. Nel campo Nome immettere un nome descrittivo per il connettore in ingresso.

  4. Nel campo Descrizione immettere ulteriori informazioni sul connettore in ingresso.

  5. Nella casella di testo Domini mittenti immettere il nome del dominio dell'organizzazione con cui si desidera stabilire un canale protetto, ad esempio fabrikambank.com.

  6. Nel campo Indirizzi IP mittenti immettere l'indirizzo o gli indirizzi IP per il partner. Gli indirizzi IP devono essere specificati nel formato nnn.nnn.nnn.nnn, dove nnn è un numero da 1 a 255. È inoltre possibile specificare intervalli CIDR (Classless Interdomain Routing) nel formato nnn.nnn.nnn.nnn/rr, dove rr è un numero compreso tra 24 e 31. Più indirizzi IP devono essere separati da una virgola. Sebbene sia consigliabile specificare qui gli indirizzi IP, se non si conosce l'indirizzo o gli indirizzi IP specifici associati al dominio o se si desidera creare un connettore ad ampio raggio, si può lasciare in bianco questo campo.

  7. Selezionare Aggiungi gli indirizzi IP all'elenco indirizzi attendibili e accetta la posta da questi indirizzi solo per i domini specificati sopra. Questo garantisce che la posta proveniente dal dominio del mittente specificato arrivi esclusivamente dagli indirizzi IP dei mittenti specificati. Se non sono stati specificati gli indirizzi IP dei mittenti nel passo precedente, selezionare Aggiungi gli indirizzi IP all'elenco indirizzi attendibili per i domini specificati sopra.

  8. Nella sezione Impostazioni connettore selezionare Forza TLS per l'opzione Transport Layer Security (TLS). Questa opzione forza i partner a utilizzare una connessione TLS durante l'invio di posta elettronica agli utenti ospitati nel cloud. Se la connessione non è TLS, FOPE rifiuta il messaggio di posta elettronica.

    Per informazioni più dettagliate sull'uso di TLS in FOPE, vedere Informazioni sul protocollo TLS (Transport Layer Security) in FOPE.

  9. Nella sezione Impostazioni connettore, attraverso la selezione delle caselle di controllo, è possibile specificare se applicare o ignorare le operazioni di filtro seguenti. Queste opzioni di filtro sono abilitate (applicate) per impostazione predefinita.

    Applica filtro di reputazione IP: indica se applicare il filtro di reputazione IP ai messaggi di posta elettronica in ingresso. L'opzione non è operativa per questo scenario.

    Applica filtro posta indesiderata: indica se applicare il filtro posta indesiderata ai messaggi di posta elettronica in ingresso.

    Applica regole criteri: indica se applicare le regole criteri ai messaggi di posta elettronica in ingresso.

  10. Fare clic su Salva.

A questo punto il connettore è presente nell'elenco Connettori in ingresso. È possibile espandere il connettore per visualizzare le rispettive impostazioni. È possibile fare clic su Modifica per modificare le impostazioni di configurazione del connettore.

Per applicare la configurazione di questo connettore a tutta l'azienda o a domini aziendali specifici oppure per rimuovere il connettore, vedere Imposizione e rimozione delle associazioni di connettori FOPE.

Per configurare un connettore FOPE in uscita in uno scenario di partner disciplinato

  1. Nell'interfaccia di amministrazione FOPE, fare clic sulla scheda Amministrazione, quindi fare clic sulla scheda Società.

  2. Nella sezione Connettori fare clic su Connettori in uscita, quindi su Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi connettore in uscita.

    Nella seguente immagine vengono indicate le impostazioni del connettore in uscita per lo scenario di esempio di partner disciplinato con TLS forzato.

    Connettore in uscita partner disciplinati da regole

  3. Nel campo Nome immettere un nome descrittivo per il connettore in uscita.

  4. Nel campo Descrizione immettere ulteriori informazioni sul connettore in uscita.

  5. Nella casella di testo Domini destinatari immettere il nome del dominio dell'organizzazione con cui si desidera stabilire un canale protetto.

  6. Selezionare la casella di controllo Recapita tutti i messaggi alla destinazione seguente e specificare Nome di dominio completo. In questo campo specificare il nome di dominio completo a cui FOPE deve inviare la posta elettronica (ad esempio, fabrikambank.com).

  7. Nella sezione Impostazioni TLS (Transport Layer Security) è possibile selezionare una delle diverse opzioni dei certificati TLS:

    • Convalida rispetto al certificato autofirmato: creato nell'organizzazione, questo certificato viene utilizzato per crittografare il canale.

    • L'autorità di certificazione (CA) emittente è considerata attendibile da Microsoft: controlla che il certificato del destinatario venga emesso da un'autorità di certificazione autorizzata. Ad esempio, convalida che il certificato non sia scaduto e sia autentico.

    • Il certificato del destinatario corrisponde al dominio di destinazione: abilita un'ulteriore funzione dell'opzione L'autorità di certificazione (CA) emittente è considerata attendibile da Microsoft che controlla se il nome oggetto alternativo sul certificato corrisponde al nome di dominio del destinatario.

    • Il certificato del destinatario corrisponde: abilita un'ulteriore funzione dell'opzione L'autorità di certificazione (CA) emittente è considerata attendibile da Microsoft che controlla se il nome oggetto alternativo sul certificato corrisponde a quanto specificato nella casella di testo.

  8. Fare clic su Salva.

A questo punto il connettore è presente nell'elenco Connettori in uscita. È possibile espandere il connettore per visualizzare le rispettive impostazioni. È possibile fare clic su Modifica per modificare le impostazioni di configurazione del connettore.

Per applicare la configurazione di questo connettore a tutta l'azienda o a domini aziendali specifici oppure per rimuovere il connettore, vedere Imposizione e rimozione delle associazioni di connettori FOPE.