Cenário de parceiro regulado com TLS forçado

  • Artigo

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Tópico modificado por último: 2011-10-20

As organizações podem configurar um canal do fluxo de emails protegido com parceiros confiáveis definindo seu roteamento do email de entrada com conectores do Forefront Online Protection for Exchange (FOPE). Alguns parceiros comerciais podem necessitar de uma organização para se comunicarem via TLS (Transport Layer Security) ou de acesso via certificado validado de terceiros. Ao usar os conectores do FOPE, você pode configurar o TLS forçado de entrada e saída usando certificados autoassinados ou validados pela autoridade de certificação. TLS é um protocolo criptográfico que fornece segurança para comunicação pela Internet. Para obter informações mais detalhadas sobre como usar o TLS no FOPE, consulte Entendendo o Transport Layer Security (TLS) no FOPE.

Neste cenário de exemplo, contoso.com definiu um canal de roteamento de email protegido com fabrikambank.com. A Contoso usa uma solução de email hospedada na nuvem do Microsoft Exchange Online para hospedar suas caixas de correio. Quando trocam email com o Fabrikam Bank através do FOPE, o email é protegido por meio da criptografia TLS em ambas as direções.

**Dica:**Para exibir um vídeo que descreve este cenário e demonstra as etapas de configuração dos conectores do FOPE, consulte Cenário de Parceiro Regulado com TLS Forçado (a página pode estar em inglês).

Fluxo de emails bidirecional

Durante o recebimento de email de entrada ou de saída na nuvem, a arquitetura do parceiro regulado é a seguinte:

Cenário de parceiro de negócios regulado

Com esse cenário, o fluxo de emails entre a organização Exchange Online da Contoso e a Fabrikam é transferido usando-se uma conexão protegida com TLS forçado de entrada e saída. Além disso, todos os emails entre as duas organizações são validados usando-se um certificado da autoridade de certificação.

Configurando um parceiro regulado

Para configurar uma relação de parceiro regulado, você deve criar conectores do FOPE de entrada e saída.

Para configurar um conector de entrada do FOPE de um parceiro regulado

  1. No Centro de Administração do FOPE, clique na guia Administração e na guia Empresa.

  2. Na seção Conectores, em Conectores de Entrada, clique em Adicionar. A caixa de diálogo Adicionar Conector de Entrada é aberta.

    A imagem a seguir mostra as configurações do conector de entrada para o cenário de amostra do parceiro regulado com TLS forçado.

    Conector de entrada do parceiro regulado

  3. No campo Nome, digite um nome descritivo para o conector de entrada.

  4. No campo Descrição, digite informações descritivas adicionais sobre o conector de entrada.

  5. Na caixa de texto Domínios dos Remetentes, digite o nome de domínio da organização com a qual você deseja estabelecer um canal protegido, por exemplo, fabrikambank.com.

  6. No campo Endereços IP de Remetentes, digite os endereços IP do parceiro. Os endereços IP devem ser especificados no formato nnn.nnn.nnn.nnn, em que nnn é um número de 1 a 255. Você também pode especificar intervalos de Roteamento entre Domínios sem Classificação (CIDR) no formato nnn.nnn.nnn.nnn/rr, em que rr é um número de 24 a 31. Vários endereços IP devem ser separados por uma vírgula. Embora seja recomendado especificar os endereços IP aqui, se você não souber os endereços IP específicos associados ao domínio ou se quiser criar um conector de escopo amplo, você poderá deixar este campos em branco.

  7. Selecione Adicionar estes endereços IP à lista de confiança e somente aceitar emails destes endereços IP para os domínios especificados acima. Isso garante que o email originado do domínio do remetente especificado seja somente dos endereços IP especificados do remetente. (Se não tiver especificado os endereços IP do remetente na etapa anterior, selecione Adicionar estes endereços IP à lista de confiança para os domínios especificados acima.)

  8. Na seção Configurações do Conector, na opção TLS (Transport Layer Security), selecione Forçar TLS. Essa opção força os parceiros a usar uma conexão TLS ao enviar email a usuários hospedados na nuvem. Se a conexão não se basear em TLS, o FOPE rejeitará a mensagem de email.

    Para obter informações mais detalhadas sobre como usar o TLS no FOPE, consulte Entendendo o Transport Layer Security (TLS) no FOPE.

  9. Na seção Configurações do Conector, usando as caixas de seleção, você pode especificar se deseja aplicar ou ignorar as seguintes operações de Filtragem. Essas opções de filtragem estão habilitadas (aplicadas) por padrão.

    Aplicar filtragem de reputação de IP — indica se é necessário aplicar a filtragem de reputação de IP nas mensagens de email de entrada. Essa opção não é funcional para este cenário.

    Aplicar filtragem de spam — indica se é necessário aplicar a filtragem de spam nas mensagens de email de entrada.

    Aplicar regras de política — indica se é necessário aplicar regras de política nas mensagens de email de entrada.

  10. Clique em Salvar.

Agora o conector está listado em Conectores de Entrada. Você pode expandir o conector para exibir suas configurações. É possível clicar em Editar para alterar as definições de configuração do conector.

Para aplicar essa configuração de conector a toda a empresa ou de domínios específicos na empresa, ou remover esse conector, consulte Impondo e removendo associações de conector do FOPE.

Para configurar um conector de saída do FOPE em um cenário de parceiro regulado

  1. No Centro de Administração do FOPE, clique na guia Administração e na guia Empresa.

  2. Na seção Conectores, em Conectores de Saída, clique em Adicionar. A caixa de diálogo Adicionar Conector de Saída é aberta.

    A imagem a seguir mostra as configurações do conector de saída para o cenário de amostra do parceiro regulado com TLS forçado.

    Conector de saída do parceiro regulado

  3. No campo Nome, digite um nome descritivo para o conector de saída.

  4. No campo Descrição, digite informações descritivas adicionais sobre o conector de saída.

  5. Na caixa de texto Domínios do Destinatário, digite o nome de domínio da organização com a qual você deseja estabelecer um canal protegido.

  6. Marque a caixa de seleção Entregar todas as mensagens no seguinte destino e, em seguida, especifique o Nome de Domínio Totalmente Qualificado. Neste campo, especifique o nome de domínio totalmente qualificado para o qual o FOPE deve enviar email (por exemplo, fabrikambank.com).

  7. Na seção Configurações de TLS (Transport Layer Security), é possível selecionar uma das várias opções de certificado TLS:

    • Validação com certificado autoassinado — criado dentro de uma organização, esse certificado é usado para criptografar o canal.

    • A CA (autoridade de certificação) emissora é confiável para a Microsoft — valida se o certificado do destinatário foi emitido por uma autoridade de certificação autorizada. Por exemplo, ela valida se o certificado não expirou e se é autêntico.

    • O certificado do destinatário corresponde ao domínio de destino — leva a opção A CA (autoridade de certificação) emissora é confiável para a Microsoft a uma etapa adicional, validando também se o nome alternativo do assunto no certificado corresponde ao nome de domínio do destinatário.

    • O certificado destinatário corresponde — leva a opção A CA (autoridade de certificação) emissora é confiável para a Microsoft uma outra etapa adiante, validando também se o nome alternativo do assunto no certificado corresponde ao que foi inserido na caixa de texto.

  8. Clique em Salvar.

Agora o conector está listado em Conectores de Saída. Você pode expandir o conector para exibir suas configurações. É possível clicar em Editar para alterar as definições de configuração do conector.

Para aplicar essa configuração de conector a toda a empresa ou de domínios específicos na empresa, ou remover esse conector, consulte Impondo e removendo associações de conector do FOPE.