Escenario de partners regulados con TLS forzada

  • Artículo

 

Se aplica a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tema modificado por última vez: 2011-10-20

Las organizaciones pueden configurar un canal de flujo de correo seguro con los partners de confianza configurando el enrutamiento de su correo con conectores de Forefront Online Protection para Exchange (FOPE). Algunos partners empresariales podrían requerir que una organización se comunique a través de Seguridad de la capa de transporte (TLS) o inicie sesión con un certificado validado de terceros. Mediante los conectores de FOPE, puede configurar tanto TLS de entrada como de salida con certificados validados por entidades de certificación o autofirmados. TLS es un protocolo criptográfico que proporciona seguridad a las comunicaciones a través de Internet. Para obtener más información detallada sobre cómo utilizar TLS en FOPE, veaDescripción de Seguridad de la capa de transporte (TLS) en FOPE.

En este escenario de ejemplo, contoso.com ha configurado un canal de enrutamiento de correo seguro con fabrikambank.com. Contoso usa Microsoft Exchange Online una solución de correo hospedada en la nube de para hospedar sus buzones de correo. Cuando intercambian correo con Fabrikam Bank mediante FOPE, el correo se protege mediante cifrado TLS en ambas direcciones.

Sugerencia: Para ver un vídeo donde se describe este escenario y se muestran los pasos de configuración de los conectores de FOPE, vea Escenario de partners regulados con TLS forzada.

Flujo de correo bidireccional

Al recibir el correo de entrada o de salida en la nube, la arquitectura regulada del partner es la siguiente:

Escenario de partners empresariales regulados

Con este escenario, el correo que fluye entre la organización Exchange Online de Contoso y Fabrikam se transfiere a través de un cable seguro mediante TLS de entrada y de salida forzada. Además, todo el correo entre las dos organizaciones se valida con un certificado de una CA.

Configurar un partner regulado

Para configurar una relación con un partner regulado, debe crear conectores de entrada y de salida de FOPE.

Para configurar un conector FOPE de entrada para un partner regulado

  1. En el FOPE Centro de administración, haga clic en la pestaña Administración y luego en la pestaña Compañía.

  2. En la sección Conectores, en Conectores de entrada, haga clic en Agregar. Se abre el cuadro de diálogo Agregar conector de entrada.

    La imagen siguiente muestra la configuración del conector de entrada para el escenario de muestra con partners regulados con TLS forzada.

    Conector de entrada de partners regulados

  3. En el campo Nombre, escriba un nombre descriptivo para el conector de entrada.

  4. En el campo Descripción, escriba información descriptiva adicional acerca del conector de entrada.

  5. En el cuadro de texto Dominios de remitente, escriba el nombre de dominio de la organización con la que desea establecer un canal seguro, por ejemplo, fabrikambank.com.

  6. En el campo Direcciones IP de remitente, escriba la dirección o direcciones IP del partner. Direcciones IP deben especificarse en el formato nnn.nnn.nnn.nnn, donde nnn es un número entre 1 y 255. También puede especificar rangos de Enrutamiento de interdominios sin clases (CIDR) en el formato nnn.nnn.nnn.nnn/rr, donde rr es un número de 24 a 31. Varias direcciones IP deben separarse con una coma. Si bien se recomienda que especifique sus direcciones IP aquí, si no conoce la dirección o las direcciones IP específicas asociadas con su dominio, o si desea crear un conector de amplio alcance, puede dejar este campo en blanco.

  7. Seleccione Agregar estas direcciones IP a la lista segura, y aceptar solo el correo electrónico que proceda de estas direcciones IP de los dominios especificados anteriormente. De este modo se garantiza que el correo que se origine en el dominio del remitente especificado solo proceda de las direcciones IP del remitente especificadas. (Si no especificó direcciones IP de un remitente en el paso anterior, seleccione Agregar estas direcciones IP a la lista segura de los dominios especificados anteriormente.)

  8. En la sección Configuración del conector, en la opción Configuración de Seguridad de la capa de transporte (TLS), seleccione Forzar TLS. Esta opción obliga a los partners a utilizar una conexión TLS cuando envíen correo electrónico a usuarios hospedados en la nube. Si la conexión no se basa en TLS, FOPE rechaza el mensaje de correo electrónico.

    Para obtener más información detallada sobre cómo utilizar TLS en FOPE, veaDescripción de Seguridad de la capa de transporte (TLS) en FOPE.

  9. En la sección Configuración del conector, mediante las casillas puede especificar si desea aplicar u omitir las siguientes operaciones de Filtrado. Estas opciones de filtrado están habilitadas (aplicadas) de forma predeterminada.

    Aplicar el filtrado de reputación de IP: indica si se debe aplicar el filtrado de reputación de IP a los mensajes de correo electrónico entrantes. Esta opción no es funcional para este escenario.

    Aplicar filtrado contra correo no deseado: indica si se debe aplicar el filtrado de correo no deseado a los mensajes de correo electrónico entrantes.

    Aplicar reglas de directiva: indica si se deben aplicar las reglas de directiva a los mensajes de correo electrónico entrantes.

  10. Haga clic en Guardar.

El conector aparece ahora debajo de Conectores de entrada. Puede expandir el conector para ver su configuración. Puede hacer clic en Editar para cambiar los valores de configuración de este conector.

Para aplicar la configuración de este conector a toda la compañía o a dominios específicos de la misma, o para quitar este conector, vea Exigir y quitar asociaciones de conectores FOPE.

Para configurar un conector FOPE de salida en un escenario con partners regulados

  1. En el FOPE Centro de administración, haga clic en la pestaña Administración y luego en la pestaña Compañía.

  2. En la sección Conectores, en Conectores de salida, haga clic en Agregar. Se abre el cuadro de diálogo Agregar conector de salida.

    La imagen siguiente muestra la configuración del conector de salida para el escenario de muestra con partners regulados con TLS forzada.

    Conector de salida de partners regulados

  3. En el campo Nombre, escriba un nombre descriptivo para el conector de salida.

  4. En el campo Descripción, escriba información descriptiva adicional acerca del conector de salida.

  5. En el cuadro de texto Dominios de destinatario, escriba el nombre de dominio de la organización para la que desea establecer un canal seguro.

  6. Active la casilla Entregar todos los mensajes al siguiente destino y, después, especifique Nombre de dominio completo. En este campo, especifique el nombre de dominio completo al que FOPE debería enviar el correo electrónico (por ejemplo fabrikambank.com).

  7. En la sección Configuración de Seguridad de la capa de transporte (TLS), puede seleccionar una de varias opciones de certificado TLS:

    • La validación comparada con el certificado autofirmado: creado dentro de una organización, este certificado se usaba para cifrar el canal.

    • La entidad de certificación emisora (CA) es de confianza para Microsoft: confirma que el certificado del destinatario es emitido por una entidad de certificación autorizada. Por ejemplo, confirma que el certificado no expiró y que es auténtico.

    • El certificado del destinatario coincide con el dominio de destino: lleva la opción La entidad de certificación emisora (CA) es de confianza para Microsoft un paso más allá al confirmar también que el nombre de sujeto alternativo del certificado coincide con el del dominio del destinatario.

    • El certificado del destinatario coincide: lleva la opción La entidad de certificación emisora (CA) es de confianza para Microsoft un paso más allá confirmando que el nombre alternativo del sujeto en el certificado coincide con lo que escribió en el cuadro de texto.

  8. Haga clic en Guardar.

El conector aparece ahora debajo de Conectores de salida. Puede expandir el conector para ver su configuración. Puede hacer clic en Editar para cambiar los valores de configuración de este conector.

Para aplicar la configuración de este conector a toda la compañía o a dominios específicos de la misma, o para quitar este conector, vea Exigir y quitar asociaciones de conectores FOPE.