Pianificazione della protezione del dominio
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-02-27
Per protezione del dominio si intende un insieme di funzionalità di Microsoft Exchange Server 2007 e Microsoft Office Outlook 2007 che costituiscono un'alternativa relativamente economica rispetto a S/MIME o ad altre soluzioni per la protezione dei messaggi. Lo scopo di questo insieme di funzionalità per la protezione del dominio consiste nel fornire agli amministratori un modo per gestire percorsi dei messaggi sicuri in Internet con partner aziendali. Una volta configurati i percorsi dei messaggi sicuri, i messaggi trasferiti correttamente nel percorso sicuro da un mittente autenticato vengono visualizzati dagli utenti come "Dominio protetto" nell'interfaccia di Outlook e Outlook Web Access.
La protezione del dominio utilizza Transport Layer Security (TLS) con autenticazione reciproca per fornire una crittografia e un'autenticazione basate sulla sessione. TLS con autenticazione reciproca è diverso da TLS come normalmente implementato. In genere, quando TLS viene implementato, il client verifica che la connessione al server desiderato avvenga in modo sicuro convalidando il certificato del server, che viene ricevuto come parte della negoziazione di TLS. In questo scenario, il client autentica il server prima della trasmissione dei dati. Il server, tuttavia, non autentica la sessione con il client.
Con l'autenticazione TLS reciproca, ogni server verifica la connessione con l'altro server convalidando il certificato fornito dall'altro server. In questo scenario, in cui i messaggi sono ricevuti da domini esterni in connessioni verificate di un ambiente di Exchange 2007, Outlook 2007 visualizza un'icona di "Dominio protetto".
Importante
La spiegazione dettagliata delle tecnologie e dei concetti relativi a crittografia e certificato esula dall'ambito di questo argomento. Prima di distribuire qualsiasi soluzione per la protezione che utilizzi la crittografia e i certificati digitali, si consiglia di comprendere i concetti fondamentali di trust, autenticazione, crittografia e modifica a chiave pubblica e privata relativi alla crittografia. Per ulteriori informazioni, vedere i riferimenti elencati alla fine di questo argomento:
Convalida dei certificati TLS
Per comprendere la protezione globale e la conseguente affidabilità di qualsiasi trasmissione TLS reciproca, è necessario comprendere come viene convalidato il certificato TLS sottostante.
Exchange 2007 comprende un insieme di cmdlet necessari per creare, richiedere e gestire i certificati TLS. Per impostazione predefinita, tali certificati sono autofirmati. Un certificato autofirmato viene firmato dal suo stesso autore. In Exchange 2007, il certificato autofirmato viene creato dal computer su cui è in esecuzione Microsoft Exchange utilizzando l'API del certificato (CAPI) di Microsoft Windows sottostante. Essendo autofirmati, i certificati ottenuti sono meno affidabili dei certificati generati da un'infrastruttura a chiave pubblica (PKI) o da un'Autorità di certificazione (CA, certification authority) di terze parti. Si consiglia, pertanto, di utilizzare i certificati autofirmati solo per la posta interna. In alternativa, se le organizzazioni destinatarie con cui si scambia la posta elettronica con dominio protetto aggiungono manualmente il certificato autofirmato al certificato principale attendibile memorizzato in tutti i server Trasporto Edge in ingresso, i certificati autofirmati vengono considerati esplicitamente attendibili.
Per le connessioni attraverso Internet, si consiglia di generare certificati TLS con una PKI o una CA di terze parti. La generazione di chiavi TLS con una PKI o una CA di terze parti attendibile riduce la gestione globale della protezione del dominio. Per ulteriori informazioni sulle opzioni dei certificati attendibili e della protezione del dominio, vedere Come abilitare l'infrastruttura a chiave pubblica (PKI) sul server Trasporto Edge per la protezione del dominio.
È possibile utilizzare i cmdlet del certificato di Exchange 2007 per generare le richieste di certificato per la propria PKI o CA di terze parti. Per ulteriori informazioni, vedere Creazione di un certificato o di una richiesta di certificato per TLS.
Per ulteriori informazioni su come configurare la protezione del dominio, vedere quanto segue:
Come configurare il TLS reciproco per la protezione del dominio
Domain Security White Paper (informazioni in lingua inglese)
Utilizzo di Exchange Hosted Services
La protezione a livello dei messaggi viene potenziata, o può essere disponibile come servizio, da Microsoft Exchange Hosted Services. Exchange Hosted Services è un gruppo di quattro servizi ospitati diversi:
Hosted Filtering, che consente alle organizzazioni di proteggersi dal malware prodotto dalla posta elettronica
Hosted Archive, che consente di soddisfare i requisiti di mantenimento della conformità
Hosted Encryption, che consente di crittografare i dati per mantenere la riservatezza dei dati
Hosted Continuity, che consente di mantenere la riservatezza dell'accesso alla posta elettronica durante e dopo situazioni di emergenza
Questi servizi possono essere integrati con qualunque server di Exchange on-premise gestito internamente o con servizi di posta elettronica di Exchange ospitato offerti attraverso provider di servizi. Per ulteriori informazioni su Exchange Hosted Services, vedere Microsoft Exchange Hosted Services (informazioni in lingua inglese).
Ulteriori informazioni
Per ulteriori informazioni sulle tecnologie e i concetti relativi alla crittografia e al certificato, vedere le seguenti risorse:
Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.
Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.
Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure