Cómo: Proteger el acceso de cliente de protocolo de acceso de mensajes de Internet en Exchange 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 319278 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo paso a paso describe cómo configurar la seguridad para conexiones entrantes de protocolo de acceso a mensajes de Internet (IMAP4) a los equipos de Exchange 2000 de modo que los usuarios pueden autenticar y recibir material confidencial sin el riesgo de que tanto el nombre de usuario, contraseña o contenido del mensaje se interceptan.

Puede que los usuarios que necesiten utilizar IMAP4 para conectarse a los equipos Exchange 2000. Normalmente, se utilizan conexiones IMAP4 si existen limitaciones de ancho de banda o las restricciones de puerto de servidor de seguridad, pero requiere mayor flexibilidad que la flexibilidad que proporciona si utiliza conexiones de protocolo de oficina de correos v.3 (POP3). Sin embargo, al igual que POP3, IMAP4 autenticación y la transmisión de mensajes utilizan comandos de texto sin cifrar que están abiertos a la interceptación.

Requisitos

En la lista siguiente se describe el hardware, el software, la infraestructura de red y los service pack recomendados que se necesitarán:
  • Microsoft Windows 2000 Server con Service Pack 2 (SP2)
  • Active Directory
  • Exchange Server 2000 con Service Pack 1 (SP1) instalado en un servidor miembro basado en Windows 2000 en el dominio.
  • Un cliente IMAP4 como Outlook Express v5.0 o posterior
En este artículo se supone que está familiarizado con los temas siguientes:
  • Administrador del sistema de Exchange
  • Problemas de configuración de TCP/IP
  • Conceptos de seguridad como Secure Sockets Layer (SSL) y cifrado
  • Certificados de seguridad
  • El Monitor de red captura

Cómo planear el nivel de seguridad

Antes de empezar a configurar el servidor virtual IMAP4, debe considerar el nivel de seguridad que desee implementar. Puede configurar la seguridad de IMAP4 en tres niveles principales:
  • Control de conexión:

    Control de conexión restringe las conexiones según el protocolo de Internet (IP) dirección o nombre de dominio, incluyendo las búsquedas DNS inversas. Este nivel de seguridad es un nivel básico que utiliza sólo si puede garantizar la dirección IP de la conexión entrante. Este nivel de seguridad no cifra las contraseñas o datos de mensaje; sin embargo, puede utilizar este nivel con la configuración de seguridad.
  • Control de acceso:

    Control de acceso le permite configurar autenticación básica o autenticación de Windows integrada (autenticación NTLM). Puesto que autenticación básica permite cifrar nombres de usuario y contraseñas, se recomienda que deshabilite a este tipo de autenticación. Si deshabilitar la autenticación básica, deberá habilitar el inicio de sesión mediante autenticación de contraseña segura en el software de cliente de IMAP4. Haga clic en las propiedades de cuentas para habilitar la autenticación de contraseña segura en Microsoft Outlook Express en la ficha de servidores . Tenga en cuenta que la autenticación de contraseña segura cifra la sesión del inicio de sesión, no el cuerpo del mensaje.

    Nota : la autenticación de Windows integrada sólo funciona en escenarios donde el equipo de cliente puede establecer contacto con un controlador de dominio para validar sus credenciales. En la mayoría de los configuraciones de servidor de seguridad, este escenario no es posible y no deseable. Sin embargo, las implementaciones internas de acceso IMAP4 (donde el inicio de sesión no atraviesa Internet) pueden utilizar la autenticación NTLM.
  • Comunicación segura:

    Comunicación segura codifica toda la sesión IMAP4, incluidos la secuencia de inicio de sesión y la transmisión del cuerpo del mensaje mediante cifrado SSL. Se recomienda que utilice SSL para todas las conexiones de IMAP4 a Exchange 2000 que atraviesen redes públicas como Internet. Debe instalar un certificado a su servidor virtual IMAP4. Puede utilizar una entidad externa o puede instalar servicios de Certificate Server en el bosque de Active Directory para instalar un certificado.
Nota : si se cifra el protocolo IMAP4, las sesiones están protegidas sólo cuando está recopilando correo desde el servidor virtual IMAP4 de Exchange 2000; sin embargo, no se cifran la entrega de mensajes de simple de transferencia de correo (SMTP). Se recomienda que tome precauciones adicionales para cifrar la entrega de mensajes SMTP. Para obtener información adicional acerca de cómo cifrar la entrega de correo SMTP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
319267Cómo: Secure Simple Message Transfer Protocol Client Message Delivery

Cómo tener acceso al objeto de servidor virtual IMAP4

  1. Haga clic en Inicio , seleccione programas , seleccione Microsoft Exchange y, a continuación, haga clic en Administrador del sistema .
  2. En el panel izquierdo, haga clic en servidores .
  3. Haga clic en el servidor que desea configurar, haga clic en protocolos y, a continuación, haga clic en IMAP4 .
  4. Haga clic con el botón secundario en Servidor Virtual IMAP4 predeterminado y, a continuación, haga clic en Propiedades .
  5. Haga clic en la ficha acceso para configurar el control de acceso.

Cómo configurar restricciones de direcciones IP

  1. Abra las propiedades de servidor virtual IMAP4 predeterminado.

    Para ello, siga el procedimiento en la sección anterior.
  2. Haga clic en la ficha acceso y, a continuación, haga clic en conexión .
  3. Haga clic en sólo los del lista siguiente .

    Si lo hace, sólo las direcciones IP y dominios en la lista pueden conectarse al servidor virtual IMAP4. Utilice cualquiera de los métodos siguientes para agregar elementos a esta lista:
    • Agregar una única dirección IP a la vez. Para ello, escriba un nombre de host y, a continuación, haga clic en búsqueda DNS para resolver ese nombre automáticamente a una dirección IP. Utilice este método si tiene usuarios remotos que siempre conectarse desde direcciones IP fijas en esas direcciones IP no son contiguas.
    • Agregar un intervalo de direcciones, como 131.107.2.0 con una máscara de subred de 255.255.255.0. Puede utilizar máscaras de subred como 255.255.255.252 para restringir los hosts aceptables para un intervalo de direcciones IP sólo seis.
    • Establecer restricciones en una base de dominio. Por ejemplo, puede limitar las conexiones para que se aceptan conexiones sólo desde contoso.com. Sin embargo, si utiliza este método, debe realizar una búsqueda DNS inversa en cada conexión entrante, que puede afectar negativamente al rendimiento del equipo de Exchange 2000. Para obtener más información, consulte la sección "solución de problemas" al final de este artículo.
  4. Haga clic en Aceptar para aceptar las restricciones de dirección IP.

Cómo configurar el control de acceso

  1. Abra las propiedades de servidor virtual IMAP4 predeterminado.
  2. Haga clic en la ficha acceso y, a continuación, haga clic en autenticación .

    De forma predeterminada, se seleccionan métodos tanto la autenticación básica como la autenticación integrada de Windows. Si el entorno admite autenticación de Windows, puede desactivar la casilla de verificación Autenticación básica . Haga clic en Aceptar para aceptar el cambio.
  3. Inicie Outlook Express y, a continuación, configure la configuración de cuenta de IMAP4 para utilizar autenticación de contraseña segura. Para ello:
    1. En el menú Herramientas , haga clic en cuentas .
    2. Haga clic en la ficha correo y, a continuación, haga doble clic en la cuenta de correo IMAP4.
    3. Haga clic en la ficha servidores y, a continuación, active la casilla de verificación iniciar sesión usando autenticación de contraseña segura .
  4. Haga clic en Aceptar y, a continuación, haga clic en Cerrar .

Cómo configurar Secure Communications (una parte)

  1. Abra las propiedades de servidor virtual IMAP4 predeterminado.
  2. Haga clic en la ficha acceso y, a continuación, haga clic en certificado .
  3. Después el certificado IIS inicia el asistente, haga clic en crear un nuevo certificado o asignar un certificado ya existente de una entidad de certificación externa y, a continuación, haga clic en siguiente .
  4. Si tiene una entidad emisora de certificados (CA) instalada, haga clic en enviar la petición inmediatamente a una entidad emisora de certificados en línea .

    Si no tiene una entidad emisora instalada, haga clic en Preparar la petición ahora pero enviarla más tarde y, a continuación, haga clic en siguiente .
  5. Si enviar tu solicitud a una CA en línea, bien dar la solicitud de un nombre apropiado o acepte el nombre predeterminado "Default IMAP4 Virtual Server", escriba una longitud en bits y, a continuación, haga clic en siguiente .

    Nota : las longitudes de clave más afectan al rendimiento.
  6. Escriba la organización y la información de la unidad de organización para la entidad emisora de CERTIFICADOS desde la que está solicitando un certificado en los cuadros apropiados y, a continuación, haga clic en siguiente .
  7. Escriba el nombre común de su sitio y, a continuación, haga clic en siguiente .

    Nota : Si habilita el acceso desde Internet, debe utilizar un nombre de dominio completo puede resolver externamente (FQDN).
  8. Escriba el país, el estado o provincia y la información de ciudad o localidad de la entidad emisora de CERTIFICADOS en los cuadros apropiados y, a continuación, haga clic en siguiente .
  9. Si elige enviar la petición inmediatamente a una CA en línea en el paso 4, confirme que la CA para su organización se muestra y, a continuación, haga clic en siguiente .

    Sin embargo, si elige preparar la petición ahora pero enviar más adelante en el paso 4, acepte el nombre de archivo predeterminado para la solicitud de certificado o guardarlo en un archivo diferente y a continuación, haga clic en siguiente .
  10. Revise la información en el Envío de solicitud de certificado y, a continuación, haga clic en siguiente .
  11. Haga clic en Finalizar .

Cómo configurar Secure Communications (segunda parte)

Después de instalar un certificado en el servidor, forzar a comunicaciones seguras:
  1. Abra las propiedades de servidor virtual IMAP4 predeterminado.
  2. Haga clic en la ficha acceso y, a continuación, haga clic en comunicación .
  3. Haga clic para activar la casilla de verificación Requerir canal seguro .
  4. Si el equipo con Exchange 2000 y los clientes admiten el cifrado de 128 bits, haga clic en cifrado requieren 128 bits .
  5. Haga clic en Aceptar y, a continuación, haga clic en Aceptar .
  6. Detenga y reinicie el servicio IMAP4 de Exchange 2000.
  7. Inicie Outlook Express, haga clic en cuentas en el menú Herramientas y haga clic en la ficha correo .
  8. Haga doble clic en la cuenta de Correo de Exchange Server , haga clic en la ficha Avanzadas y, a continuación, haga clic en el servidor requiere una conexión segura (SSL) .

    La entrada correo (IMAP4) puerto número cambia de 143 a 993.
  9. Haga clic en Aceptar y, a continuación, haga clic en Cerrar .

Cómo confirmar que es correcta la seguridad de IMAP4

  • Para comprobar que las restricciones IP funcionan como se esperaba, intente conectar con un nombre de usuario válido desde una dirección IP excluida.

    Recibe un mensaje que indica que se rechazó la conexión con el servidor.
  • Para comprobar el cifrado de autenticación:
    1. Ejecute a Monitor de red en el equipo de Exchange 2000 y utilice la configuración de autenticación predeterminado para iniciar una sesión de IMAP4 desde el cliente mientras captura el tráfico que procede el equipo con Exchange 2000.
    2. Revise la sesión de IMAP4 y observe los paquetes del cliente al servidor en el puerto 143 (008Fh).

      Observe que el nombre de inicio de sesión y contraseña del usuario se se envían en texto sin cifrar.
    3. Quitar el soporte para la autenticación básica, configurar el cliente para que requiera autenticación de contraseña segura, iniciar otra sesión de IMAP4 desde el cliente y, a continuación, capturar el tráfico en Monitor de red.

      Ahora se cifran los detalles de cuenta y contraseña del usuario.
  • Para comprobar el cifrado SSL completo:
    1. Agregar un certificado, configure la configuración para que requieren un canal seguro en el servidor virtual IMAP4 y, a continuación, configurar el cliente para utilizar SSL.
    2. Inicie una captura de Monitor de red e iniciar una sesión de colección de correo IMAP4 desde el cliente.
    3. Detener la captura y, a continuación, examine los paquetes que se enviaron.

      Tenga en cuenta que todos los clientes a paquetes de servidor con un destino del puerto 993 (03E1h) están cifrados.
Nota : si no ha habilitado el cifrado en la entrega de correo SMTP, todavía puede ver algunos paquetes sin cifrar desde el cliente que están destinados para el puerto 25 (0019h).

Después de confirmar que configurado correctamente la seguridad de IMAP4, se recomienda que configure la entrega de SMTP segura para los clientes IMAP4.Para obtener información adicional acerca de cómo cifrar la entrega de correo SMTP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
319267Cómo: Secure Simple Message Transfer Protocol Client Message Delivery in Exchange 2000

Solución de problemas

Si restringir direcciones IP basadas en búsquedas DNS, puede afectar negativamente al rendimiento del equipo Exchange 2000. Debido a que el equipo con Exchange 2000 realiza una búsqueda DNS inversa en cada conexión entrante, una zona de búsqueda inversa de DNS funciona debe estar disponible y el cliente IMAP4 debe registrarse en esa zona. Si tiene un gran número de conexiones IMAP4 entrantes, deberá deshabilitar la búsqueda DNS inversa. Para obtener información adicional acerca de cómo configurar zonas de búsqueda inversa, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
251509XFOR: No se puede restringir el acceso por nombre de dominio si DNS no está configurado correctamente
Si no especifica los valores correctos para el nombre del servidor o la organización, cuando crea el certificado SSL en el servidor virtual IMAP4, los usuarios posible que reciba el mensaje siguiente:
El servidor está conectado está utilizando un certificado de seguridad no coincide con su dirección de Internet. ¿Desea continuar utilizando este servidor?
Para impedir que se muestre este mensaje, asegúrese de que el nombre común del certificado coincide con su dirección de Internet.




Referencias

Para obtener más información acerca de cómo configurar la seguridad de IMAP4, consulte la Ayuda de Exchange 2000 y el Kit de recursos de Exchange 2000 Server.

Propiedades

Id. de artículo: 319278 - Última revisión: sábado, 28 de octubre de 2006 - Versión: 1.5
La información de este artículo se refiere a:
  • Microsoft Exchange 2000 Server Standard Edition
Palabras clave: 
kbmt kbhowto kbhowtomaster KB319278 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 319278

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com