Planejando segurança de domínio
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-02-27
A Segurança do Domínio está relacionada ao conjunto de funcionalidades contido em Microsoft Exchange Server 2007 e em Microsoft Office Outlook 2007 que é uma alternativa relativamente barata para o S/MIME ou outras soluções de segurança no nível de mensagens. O objetivo do recurso Segurança de Domínio é oferecer aos administradores um método de gerenciar caminhos de mensagem protegidos pela Internet com parceiros de negócios. Após a configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários como "Domínio Seguro" na interface do Outlook e do Outlook Web Access.
A Segurança de Domínio usa o padrão TLS (Transport Layer Security) com autenticação mútua para fornecer autenticação e criptografia baseadas em sessão. A TLS com autenticação mútua é diferente da TLS normalmente implementada. Geralmente, quando a TLS é implementada, o cliente verifica se a conexão é estabelecida de modo seguro com o servidor desejado, validando o certificado do servidor. Esse certificado é recebido como parte da negociação de TLS. Nesse cenário, o cliente autentica o servidor antes de transmitir os dados. Contudo, o servidor não autentica a sessão com o cliente.
Com a autenticação mútua de TLS, cada servidor verifica a conexão estabelecida com o outro servidor, validando um certificado fornecido por esse outro servidor. Nesse cenário, quando as mensagens forem recebidas de domínios externos através de conexões verificadas em um ambiente do Exchange 2007, o Outlook 2007 exibirá um ícone "Domínio Seguro".
Importante
Está além do escopo deste tópico apresentar uma explicação detalhada das tecnologias e conceitos de criptografia e certificação. Para implantar qualquer solução de segurança que use criptografia e certificados digitais, é recomendável que você conheça os conceitos básicos de confiança, autenticação, criptografia e intercâmbio de chaves públicas e privadas, visto que estão relacionados à criptografia. Para obter mais informações, consulte as referências listadas no final deste tópico.
Validação de certificados TLS
Para conhecer a segurança geral e a fidelidade resultante de uma transmissão mútua de TLS, você precisa saber como o certificado TLS básico é validado.
O Exchange 2007 dispõe de um conjunto de cmdlets para criar, solicitar e gerenciar certificados TLS. Por padrão, esses certificados são auto-assinados. Um certificado auto-assinado é aquele assinado pelo próprio criador. No Exchange 2007, o certificado auto-assinado é criado pelo computador que está executando o Microsoft Exchange, usando a CAPI (Certificate API) subjacente do Microsoft Windows. Como os certificados são auto-assinados, os certificados resultantes são menos confiáveis do que aqueles gerados pela infra-estrutura de chaves públicas (PKI) ou por uma CA (autoridade de certificação). Portanto, é recomendável usar certificados auto-assinados somente para mensagens internas. Como alternativa, se as organizações receptoras com as quais você troca emails de domínio seguro, adicionarem manualmente seu certificado auto-assinado a um armazenamento de certificados raiz confiável, em cada um de seus servidores de Transporte de Borda de entrada, os certificados auto-assinados serão explicitamente confiáveis.
Para as conexões que atravessam a Internet, uma prática recomendada é gerar certificados TLS com uma PKI ou CA de terceiros. Gerar chaves TLS com uma PKI ou CA de terceiros confiáveis reduz o gerenciamento geral de Segurança do Domínio. Para obter mais informações sobre as opções relacionadas a certificados confiáveis e Segurança de Domínio, consulte Como habilitar PKI no servidor de Transporte de Borda para segurança de domínio.
Você pode usar os cmdlets do certificado Exchange 2007 para gerar solicitações de certificado para sua própria PKI ou CAs de terceiros. Para obter mais informações, consulte Criando um certificado ou uma solicitação de certificado de TLS.
Para obter mais informações sobre como configurar a Segurança do Domínio, consulte o seguinte:
Usando os Serviços Hospedados pelo Exchange
A segurança no nível da mensagem é aperfeiçoada pelos Serviços Hospedados pelo Microsoft Exchange ou também está disponível como um de seus serviços. Os Serviços Hospedados pelo Exchange são um conjunto de quatro serviços hospedados diferentes:
Filtragem Hospedada, que ajuda organizações a se protegerem contra malwares provenientes de email
Arquivamento Hospedado, que as ajuda a atender aos requisitos de retenção quanto à conformidade
Criptografia Hospedada, que as ajuda a criptografar dados para preservar o sigilo
Continuidade Hospedada, que as ajuda a preservar o acesso ao email durante e após situações de emergência
Esses serviços se integram com todos os servidores Exchange no local, que são gerenciados internamente ou serviços de email do Hosted Exchange, que são oferecidos por meio de provedores de serviço. Para obter mais informações sobre os Serviços Hospedados pelo Exchange, consulte Serviços Hospedados pelo Microsoft Exchange (em inglês).
Para obter mais informações
Para obter mais informações sobre tecnologias e conceitos de criptografia e certificados, consulte os recursos a seguir:
Housley, Russ e Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. Nova York: John Wiley & Son, Inc., 2001.
Adams, Carlisle e Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2ª edição. Nova York: John Wiley & Son, Inc., 1996.