Noções sobre TLS (Transport Layer Security) no FOPE

 

Aplica-se a: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Última modificação do tópico: 2012-05-02

O TLS (Transport Layer Security) é um protocolo que encripta mensagens e entrega as mesmas em segurança, impedindo intercepção e "spoofing" entre servidores de correio. O TLS utiliza dois métodos básicos para garantir a segurança do correio eletrónico:

  1. Encriptar mensagens: utilizando a Infra-estrutura de Chaves Públicas (PKI), o TLS encripta as mensagens entre servidores de correio. Isto dificulta a intercepção e visualização de mensagens por parte dos hackers.

  2. Autenticar mensagens: utilizando certificados digitais, a autenticação TLS verifica se os servidores que enviam (ou recebem) as mensagens são realmente aquilo que os respectivos IDs indicam. Isto ajuda a impedir o spoofing.

Todas as mensagens processadas pelo Forefront Online Protection for Exchange (FOPE) são encriptadas utilizando o TLS. Para ajudar a garantir a privacidade e a integridade das mensagens, o serviço tentará enviar e receber mensagens de servidores utilizando TLS, mas efectuará automaticamente o rollover para SMTP se os servidores de envio ou destino não estiverem configurados para utilizar TLS.

Se o TLS estiver configurado com um certificado no seu servidor, incluindo os certificados gerados pelo seu próprio servidor de autoridade de certificação (AC), todo o tráfego a enviar e a receber entre os centros de dados do FOPE e a sua rede será encriptado por TLS. O serviço FOPE suporta TLS oportunista, o que significa que tentará primeiro estabelecer uma ligação TLS com o servidor de destino mas, se não conseguir, efetuará a entrega através de SMTP normal.

Os servidores de correio poderão ou não "marcar" uma mensagem indicando que esta foi encriptada com TLS. Se a mensagem tiver sido "marcada", o cabeçalho terá uma linha semelhante ao exemplo seguinte:

"using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)" (utilizando TLSv1 com a cifra EDH-RSA-DES-CBC3-SHA (168/168 bits))

O exemplo acima mostra os algoritmos e os tamanhos de bits que foram utilizados para encriptar a mensagem.

O serviço FOPE permite criar regras de política, utilizando a secção Ação do painel Definições de Regra de Política, que permite ativar Forçar TLS. Esta regra de política impõe o TLS entre o agente de transferência de correio (MTA) de envio e o MTA do destinatário. Quando configura esta Regra de Política, as restrições de Forçar TLS são aplicadas ao correio electrónico de envio correspondente e impostas em todo o domínio.

NoteNota:
Se não for possível estabelecer uma ligação TLS entre os serviços de envio e o ambiente de mensagens do destinatário, a mensagem será diferida durante 24 horas. Se a entrega da mensagem falhar, será enviada uma mensagem de devolução ao remetente. Para receber a mensagem de devolução, o servidor necessita de um certificado válido e conhecido.

Quando cria uma regra de política que activa Forçar TLS, tem a opção de activar o TLS Oportunista para destinatários não especificados (na área Destinatário, em Corresponder – Nova Regra de Política). Seleccionar esta caixa continuará a impor o TLS autenticado no destinatário correspondente à regra, mas também permite que todos os outros destinatários sejam transmitidos utilizando o TLS Oportunista se falharem todas as tentativas de imposição do TLS. O serviço FOPE utilizará sempre o nível de encriptação mais elevado disponível para a transmissão das mensagens. Se esse nível estiver indisponível, utilizará o nível imediatamente inferior. Se a caixa de verificação Activar TLS Oportunista para destinatários não especificados não estiver seleccionada, as mensagens de envio não serão bifurcadas. Isto significa que o TLS autenticado será imposto na entrega de todos os destinatários na mensagem, em que qualquer um dos destinatários corresponda à regra do Filtro de Políticas e o agente de transferência de correio (MTA) do destinatário esteja configurado para aceitar ligações baseadas em TLS (incluindo certificados públicos válidos). Se um dos destinatários tiver um MTA que não suporte ligações TLS, a mensagem para este destinatário será rejeitada. Para mais informações sobre esta regra de política e respetivas definições, consulte Noções sobre Definições da Regra de Política.

O serviço FOPE necessita do certificado TLS/SSL X.509 padrão. Tem de ter o certificado de Raiz GTE Cybertrust instalado juntamente com o seu certificado. Os certificados deverão ser adquiridos diretamente a uma Autoridade de Certificação (AC) ou a um revendedor de certificados autorizado. O FOPE suporta muitos dos ACs de raiz comuns. Como política, o FOPE só suportará ACs de raiz actualmente válidas que façam parte do Microsoft Root Certificate Program. Se estiver a pensar utilizar um certificado digital para utilizar com o FOPE, obtenha um certificado actual de um membro do Microsoft Root Certificate Program. Se a sua AC preferida não estiver listada, consulte Microsoft Root Certificate Program (em inglês) para obter informações sobre como a AC se poderá candidatar ao programa.

Ocasionalmente, os clientes do FOPE poderão registar uma falha do handshake do TLS. Um handshake de TLS pode falhar por várias razões; os cenários mais comuns são os seguintes:

  1. O certificado TLS/SSL utilizado no handshake expirou ou foi revogado.

  2. O seu MTA não tem o TLS activado. Certifique-se de que o seu MTA tem o TLS activado.

  3. A firewall que processa a ligação pode não estar configurada para permitir comunicações TLS através da porta 25.

Além disso, os relatórios de erros detalhados utilizados no TLS constituem um método excelente para efectuar a resolução de quaisquer problemas de handshake ou conectividade que possa encontrar.

Apresentamos em seguida algumas das perguntas mais frequentes dos clientes do serviço FOPE sobre o TLS.

R. O seu servidor de correio tem de ter a pilha de protocolos TLS/SSL instalada (esta pilha é instalada por predefinição com a maior parte dos sistemas operativos recentes) e tem de estar configurado para iniciar ligações SMTP utilizando o TLS. Além disso, tem de ter um certificado actual instalado.

R. A maior parte das firewalls estão pré-configuradas para permitir tráfego TLS/SSL na porta 25. Contacte o fornecedor da sua firewall se não tiver a certeza se a sua firewall suporta esta funcionalidade ou se a mesma necessitar de ser configurada.

R. Existem dois métodos básicos para determinar se um servidor tem capacidade para TLS:

  1. Enviar e receber uma mensagem a partir do servidor e examinar os cabeçalhos da mensagem. Se vir algo relacionado com TLS, é bastante provável que o servidor tenha capacidade para TLS.

  2. Testar o servidor utilizando uma ligação Telnet.

Apresentamos em seguida um exemplo de uma sessão Telnet num centro de dados do FOPE que mostra a opção STARTTLS. Poderá efectuar este teste em qualquer servidor de correio. O exemplo seguinte foi retirado de servidores do FOPE:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

A mensagem “220 Ready to start TLS” indica que o servidor está preparado para iniciar uma ligação TLS.

 
Mostrar: