Aviso de segurança de 5 minutos – Configurando o Outlook Web Access

  • Artigo

O Outlook Web Access (OWA) para Exchange 2000 é uma excelente maneira de acessar e-mail em locais diferentes. Ele funciona melhor com Internet Explorer para Windows, mas também funciona com Netscape, Opera e outros navegadores para Windows, Mac OS, Linux e até Solaris!

Configurando SSL

Por padrão, todo o tráfego da Internet não é criptografado. Isso é proposital; os arquitetos que criaram originalmente os protocolos básicos e a infra-estrutura da Internet não previram (e nem tinham como fazer isso) como seu uso seria disseminado, e nem que os avanços na tecnologia da computação possibilitassem o uso de criptografia para proteger o tráfego de modo que ele não pudesse ser lido nem alterado. A Netscape originalmente desenvolveu o protocolo SSL(Secure Sockets Layer - Camada de soquetes de segurança) (site em inglês) para proteger o tráfego entre navegadores e servidores Web; a idéia foi aceita rapidamente e hoje o SSL (e seu descendente mais seguro, o TLS) é onipresente.

O IIS (Internet Information Server) 5.0 oferece suporte total a SSL, bem como a todas as versões do Internet Explorer, do Netscape e da maioria dos navegadores de outros fabricantes. Quando você usa o SSL entre um servidor Web e um navegador, outras pessoas não conseguem ler os dados transmitidos, e o cliente pode autenticar a identidade do servidor verificando a validade do seu certificado de criptografia. Estas proteções são muito úteis para o OWA, pois impedem a leitura de nomes de conta de usuário, senhas e mensagens de e-mail durante a transmissão.

O primeiro passo para proteger o tráfego do OWA é habilitar o SSL no servidor Exchange 2000. As etapas para isso são bem simples: você precisa obter um certificado SSL, instalá-lo e orientar o IIS para usá-lo no diretório do OWA do servidor Exchange. Você pode usar o Servidor de certificados da Microsoft (incluído no Windows 2000 Server e posteriores) para emitir seu próprio certificado ou pode adquirir um certificado comercialde um emissor certificado, como a VeriSignou a  Thawte(sites em inglês).

Ação Obtenha um certificado de servidor, seja de terceiros ou usando seu próprio servidor de certificados. Com ele em mãos, use o Assistente de certificado de servidor Webpara instalá-lo(sites em inglês).

Aplicando o SSL a usuários do OWA

Só é possível ativar o SSL se você instalou um certificado. Feito isso, você pode habilitar ou exigir o SSL para todos os diretórios da máquina servidos pelo IIS. No nosso caso, queremos proteger o diretório virtual do Exchange, pois esse é o diretório que os usuários acessam para chegar ao OWA. Embora seja possível simplesmente habilitar o SSL, é melhor exigi-lo — não deixe a segurança dos usuários por conta deles. Aplicar o SSL é algo bem fácil de se fazer:

  1. Abra o snap-in Gerenciamento do computador no servidor Exchange. Expanda o nó Serviços e Aplicativos e, em seguida, o nó Internet Information Services.

  2. Expanda o nó Site Padrão para encontrar o diretório do Exchange. Clique nele com o botão direito do mouse e selecione o comando Propriedades.

  3. Clique na guia Segurança de Diretório. No grupo de controle Comunicações de Segurança, os botões Exibir Certificado e Editar devem estar ativos. Se não estiverem, o certificado não foi instalado corretamente. Corrija esse problema antes de prosseguir.

  4. Clique no botão Editar do grupo Comunicações de Segurança. Você verá a caixa de diálogo Comunicações de Segurança.

    Dd569787.Min20101(pt-br,TechNet.10).gif

  5. Marque a caixa de seleção "Exigir canal de segurança (SSL)". Como opção, você pode marcar também a caixa "Exigir criptografia de 128 bits". Isso aumenta a segurança, mas alguns clientes talvez não consigam estabelecer conexão.

Feitas essas alterações, você deve conseguir abrir sua caixa de correio digitando https://NomedoServidor/exchange/suaCaixadeCorreio. Você não deve conseguir abri-la usando uma URL http comum.

Ação Tente abrir sua caixa de correio com e sem o SSL. Confirme se você não consegue abri-la sem usar https:// como prefixo da URL.

Redirecionando automaticamente os usuários para o site do OWA com SSL

Configurado o IIS para exigir o uso do SSL, convém também redirecionar automaticamente os usuários para o diretório de segurança; dessa forma, os usuários que não lembrarem de usar https:// ainda conseguirão acessar suas mensagens sem incomodar você. Para isso, você precisará criar um arquivo chamado ssl-redirect.asp no diretório inetpub\wwwroot\owaasp do servidor Exchange. Nesse arquivo, cole o seguinte código:

<%
If Request.ServerVariables("SERVER_PORT")=80 Then
Dim strRedirURL
strRedirURL = "https://" & Request.ServerVariables("SERVER_NAME")
strRedirURL = strRedirURL & "/exchange"
Response.Redirect strRedirURL
End If
%>

Em seguida, siga estas instruções(site em inglês) para orientar o IIS a mapear o erro 403.4 para o arquivo ssl-redirect.asp. Sempre que o IIS encontrar esse erro, executará o código ASP, que redirecionará automaticamente o usuário para a página correta.