Entendendo o Transport Layer Security (TLS) no FOPE

  • Artigo

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tópico modificado por último: 2012-05-02

O TLS (Transport Layer Security) é um protocolo que criptografa mensagens e as envia com segurança, trabalhando para evitar a violação de confidencialidade e "falsificação" entre servidores de email. O TLS funciona de duas maneiras básicas para garantir a segurança de email:

  1. Criptografando mensagens: Usando infraestrutura de chave pública (PKI, Public Key Infrastructure), o TLS criptografa mensagens de servidor de email para servidor de email. Isso torna difícil para os hackers interceptar e exibir mensagens.

  2. Autenticando mensagens: Usando certificados digitais, a autenticação TLS verifica se os servidores que estão enviando (ou recebendo) as mensagens são de fato o que os seus IDs indicam que são. Isso ajuda a evitar falsificação.

Todas as mensagens processadas por Forefront Online Protection for Exchange (FOPE) são criptografadas usando-se TLS. Para ajudar a garantir a privacidade e a integridade das mensagens, o serviço tentará enviar e receber mensagens para/de servidores usando o TLS, mas passará automaticamente para o SMTP se os servidores de envio ou destino não estiverem configurados para usar o TLS.

Criptografia TLS do FOPE

Se o TLS estiver configurado com um certificado no servidor, incluindo os que foram gerados pelo seu próprio servidor de autoridade de certificação (CA), todo o tráfego de entrada e saída entre os datacenters do FOPE e a sua rede será criptografado pelo TLS. O serviço FOPE suporta TLS oportunista, o que significa que ele primeiro tentará entregar o TLS, mas, se não conseguir estabelecer uma conexão TLS com o servidor de destino, ele entregará através de SMTP regular.

Os servidores de email poderão ou não "carimbar" uma mensagem indicando que ela foi criptografada por TLS. Se ela foi "carimbada", você verá uma linha nos cabeçalhos da mensagem similar ao exemplo a seguir:

"usando TLSv1 com criptografia EDH-RSA-DES-CBC3-SHA (168/168 bits)"

O exemplo acima mostra que algoritmos e tamanhos de bits foram usados para criptografar a mensagem.

Mensagens de saída e TLS Forçado

O serviço FOPE permite criar regras de política usando a seção Ação do painel Configurações de Regra de Política que habilita Forçar TLS. Essa configuração de regra de política impõe o protocolo TLS entre o agente de transferência de mensagens (MTA) de saída e o MTA do seu destinatário. Quando você configura essa Regra de Diretiva, as restrições de Forçar TLS serão aplicadas a todos os emails de saída e serão impostas para todo o domínio.

Dica

Se a conexão TLS não for estabelecida entre os serviços de saída e o ambiente de sistema de mensagens do destinatário, a mensagem será adiada por 24 horas. Se a entrega da mensagem falhar, uma mensagem de devolução será enviada ao remetente. Para receber a mensagem de devolução, o servidor deverá ter um certificado válido e conhecido.

Quando você cria uma regra de política que ativa Forçar TLS, você tem a opção de habilitar TLS Oportunista para destinatários não especificados (na área Destinatário em Corresponder – Nova Regra de Diretiva). Marcar essa caixa ainda reforçará o TLS autenticado no destinatário que corresponda à regra, mas também permitirá que todos os outros destinatários sejam transmitidos por meio de TLS Oportunista, se todas as tentativas de reforçar o TLS falharem. O serviço FOPE sempre usará o nível mais alto de criptografia disponível para a transmissão das mensagens e se não houver uma etapa abaixo disponível. Se a caixa Habilitar TLS Oportunista para destinatários não especificados estiver desmarcada, as mensagens de saída não serão bifurcadas. Isso significa que o TLS autenticado será imposto para a entrega de todos os destinatários da mensagem, quando qualquer um dos destinatários corresponder à regra Filtro de Política e o agente de transferência de mensagens (MTA) do destinatário estiver configurado para aceitar conexões baseadas em TLS (incluindo certificados públicos válidos). Se um dos destinatários tiver um MTA que não ofereça suporte a conexões baseadas em TLS, a mensagem para esse destinatário será rejeitada. Para obter mais informações sobre essa regra de política e suas configurações, consulteEntendendo as Configurações de Regra de Política

Certificados TLS

O serviço FOPE requer o certificado TLS/SSL X.509 padrão. Você deve ter o certificado GTE Cybertrust Root mais atual instalado com o seu certificado. Os certificados devem ser comprados diretamente de uma autoridade de certificação (CA) ou de um revendedor de certificado autorizado. O FOPE suporta muitas CAs raiz populares. Como uma política, o FOPE só dará suporte no momento a CAs raiz válidas que fazem parte do Microsoft Root Certificate Program. Se você estiver pensando em um certificado digital para usar com o FOPE, obtenha um atual de um membro do Microsoft Root Certificate Program. Se sua CA preferida não estiver listada, consulte Microsoft Root Certificate Program para informações sobre como elas podem se aplicar ao programa.

Falha de Handshake de TLS

Ocasionalmente, os clientes do FOPE passam por uma falha de handshake de TLS. Um handshake de TLS pode falhar por várias razões; os cenários mais comuns são os seguintes:

  1. O certificado TLS/SSL usado no handshake expirou ou foi revogado.

  2. O seu MTA pode não ter o TLS habilitado. Verifique se o MTA possui o TLS habilitado.

  3. O firewall que gerencia a conexão pode não estar configurado para permitir comunicação TLS através da porta 25.

Também, o relatório de erros abrangente usado no TLS é uma excelente forma de solucionar problemas de handshake ou de conectividade que podem ocorrer.

Perguntas frequentes sobre o TLS

A seguir estão algumas das perguntas mais comuns que os clientes do serviço FOPE têm sobre o TLS.

P. Como faço para invocar uma sessão TLS ao enviar email?

R. O servidor de email precisa ter a pilha de protocolo TLS/SSL instalada (ela é instalada por padrão na maioria dos novos sistemas operacionais) e deve estar configurado para iniciar conexões SMTP usando o TLS. Você também precisa ter um certificado atual instalado.

P. Eu preciso configurar o firewall se estiver usando TLS?

R. A maioria dos firewalls é pré-configurado para permitir o tráfego TLS/SSL na porta 25. Entre em contato com o fornecedor de firewall se você não tiver certeza de que o seu firewall suporta isso ou se ele precisa ser configurado.

P. Como posso saber se um servidor de email é compatível com TLS?

R. Existem duas maneiras básicas de saber se um servidor é compatível com TLS:

  1. Enviar e receber uma mensagem do servidor e depois examinar os cabeçalhos da mensagem. Se você vir algo relacionado com TLS, o servidor provavelmente está habilitado para TLS.

  2. Testar o servidor usando uma conexão Telnet.

A seguir está um exemplo de uma sessão Telnet em datacenters do FOPE que mostra a opção STARTTLS. Você pode executar esse teste em qualquer servidor de email. O exemplo a seguir foi obtido de servidores FOPE:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

“220 Ready to start TLS” indica que o servidor está pronto para iniciar uma conexão TLS.