HOW TO: Secure Internet del client di accesso ai messaggi Protocol in Exchange 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 319278 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come configurare la protezione per le connessioni di Internet Message Access Protocol (IMAP4) in ingresso verso computer con Exchange 2000 in modo che gli utenti possono eseguire l'autenticazione e ricevere materiale potenzialmente riservato senza il rischio di essere il nome utente, la password o il contenuto del messaggio vengano intercettati.

Si dispone di utenti che desiderano utilizzare IMAP4 per connettersi al computer con Exchange 2000. Le connessioni IMAP4 in genere utilizzato se non esistono limiti di larghezza di banda o le restrizioni di porta del firewall, ma si richiede una maggiore flessibilitÓ rispetto la flessibilitÓ fornita se si utilizzano connessioni di Post Office Protocol v.3 (POP3). Tuttavia, analogamente a POP3, l'autenticazione di IMAP4 e trasmissione di messaggi utilizzare comandi di testo non crittografato che sono aperti per l'intercettazione.

Requisiti

Nell'elenco seguente sono indicati hardware, software, infrastruttura di rete e i service pack Ŕ necessario:
  • Microsoft Windows 2000 Server con Service Pack 2 (SP2)
  • Active Directory
  • Exchange Server 2000 con Service Pack 1 (SP1) installato in un server membro basato su Windows 2000 nel dominio.
  • Un client IMAP4, ad esempio Outlook Express 5.0 o versioni successive
In questo articolo si presume la conoscenza dei seguenti argomenti:
  • Gestore di sistema
  • Problemi di configurazione TCP/IP
  • Concetti di protezione, ad esempio SSL (Secure Sockets Layer) e crittografia
  • Certificati di protezione
  • Acquisizione di Network Monitor

Come per pianificare il livello di protezione

Prima di iniziare a configurare il server virtuale IMAP4, Ŕ necessario considerare il livello di protezione che si desidera implementare. ╚ possibile configurare protezione IMAP4 su tre livelli principali:
  • Controllo della connessione:

    Controllo della connessione limita le connessioni basate sul protocollo IP (Internet Protocol) indirizzo o dominio nome, incluse le ricerche DNS inverse. Questo livello di protezione Ŕ un livello base che Ŕ possibile utilizzare solo se Ŕ possibile garantirne l'indirizzo IP di connessione in ingresso. Questo livello di protezione non crittografa la password o dati del messaggio; tuttavia, Ŕ possibile utilizzare questo livello con le altre impostazioni di protezione.
  • Controllo di accesso:

    Controllo di accesso consente di configurare autenticazione di base o autenticazione integrata di Windows (autenticazione NTLM). PoichÚ l'autenticazione di base consente nomi di testo non crittografato utente e password, Ŕ consigliabile disattivare questo tipo di autenticazione. Se si disattiva l'autenticazione di base, Ŕ necessario attivare l'accesso utilizzando l'autenticazione SPA sul software client IMAP4. Fare clic sulla scheda server nelle proprietÓ dell'account per attivare l'autenticazione SPA in Microsoft Outlook Express. Si noti che l'autenticazione tramite password di protezione consente di crittografare solo la sessione di accesso, non il corpo del messaggio.

    Nota : l'autenticazione Windows integrata funziona solo in scenari in cui il computer client grado di contattare un controller di dominio per convalidare le credenziali. Nella maggior parte delle configurazioni del firewall, questo scenario non Ŕ possibile e non auspicabile. Tuttavia, implementazioni interne dell'accesso IMAP4 (in cui la sessione di accesso non attraversare Internet) possono utilizzare l'autenticazione NTLM.
  • Comunicazione protetta:

    Comunicazione protetta consente di codificare l'intera sessione IMAP4, inclusi la sequenza di accesso e la trasmissione del corpo del messaggio mediante la crittografia SSL. ╚ consigliabile utilizzare SSL per tutte le connessioni IMAP4 in Exchange 2000 che attraversano reti pubbliche come Internet. ╚ necessario installare un certificato al server virtuale IMAP4. ╚ possibile utilizzare un'autoritÓ di certificazione esterna oppure Ŕ possibile installare Servizi certificati in insieme di strutture di Active Directory per installare un certificato.
Nota : se si crittografa il protocollo IMAP4, le sessioni sono protetti solo quando si raccolgono posta dal server virtuale IMAP4 di Exchange 2000; tuttavia, non Ŕ crittografato recapito dei messaggi SMTP (Simple Mail Transfer Protocol). Si consiglia di adottare ulteriori precauzioni per crittografare il recapito di messaggi SMTP. Per ulteriori informazioni su come crittografare il recapito della posta SMTP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
319267HOW TO: Secure Simple Message Transfer Protocol Client Message Delivery

Come accedere l'oggetto server virtuale IMAP4

  1. Fare clic su Start , scegliere programmi , quindi Microsoft Exchange e quindi fare clic su Gestore di sistema .
  2. Nel riquadro sinistro, fare clic su server .
  3. Fare clic sul server che si desidera configurare, fare clic su protocolli e quindi fare clic su IMAP4 .
  4. Fare clic con il pulsante destro del mouse su Server virtuale IMAP4 predefinito e quindi fare clic su ProprietÓ .
  5. Fare clic sulla scheda accesso per configurare le impostazioni controllo di accesso.

Configurazione di restrizioni indirizzi IP

  1. Aprire le proprietÓ del server virtuale IMAP4 predefinito.

    Per effettuare questa operazione, attenersi alla procedura nella sezione precedente.
  2. Fare clic sulla scheda Access e quindi fare clic su connessione .
  3. Fare clic su solo i computer indicati nell'elenco .

    In questo caso, solo degli indirizzi IP e dei domini nell'elenco consentiti connettersi al server virtuale IMAP4. Per aggiungere elementi all'elenco utilizzare uno dei seguenti metodi:
    • Aggiungere un singolo indirizzo IP alla volta. A tale scopo, digitare un nome host e quindi fare clic su ricerca DNS per risolvere tale nome automaticamente un indirizzo IP. Utilizzare questo metodo se si dispone di utenti remoti che sempre connetteranno da indirizzi IP fissi gli indirizzi IP non sono contigui.
    • Aggiungere un intervallo di indirizzi, ad esempio 131.107.2.0 con una subnet mask 255.255.255.0. ╚ possibile utilizzare subnet mask, ad esempio 255.255.255.252 per limitare gli host a un intervallo di indirizzi solo sei accettabili.
    • Impostare restrizioni in base al dominio. Ad esempio, Ŕ possibile limitare le connessioni in modo che vengano accettate solo le connessioni con contoso.com. Tuttavia, se si utilizza questo metodo, Ŕ necessario eseguire una ricerca DNS inversa su ciascuna connessione di in ingresso, pu˛ influire negativamente sulle prestazioni del computer Exchange 2000. Per ulteriori informazioni, vedere la sezione "Risoluzione dei problemi" alla fine di questo articolo.
  4. Fare clic su OK per accettare le restrizioni di indirizzi IP.

Configurazione di controllo di accesso

  1. Aprire le proprietÓ del server virtuale IMAP4 predefinito.
  2. Fare clic sulla scheda Access e quindi fare clic su autenticazione .

    Per impostazione predefinita, sono selezionati metodi autenticazione Windows integrata sia l'autenticazione di base. Se l'ambiente supporta l'autenticazione di Windows, Ŕ possibile deselezionare la casella di controllo Autenticazione di base . Fare clic su OK per accettare la modifica.
  3. Avviare Outlook Express e quindi configurare le impostazioni di account di IMAP4 per utilizzare l'autenticazione SPA. Per effettuare questa operazione:
    1. Scegliere account dal menu Strumenti .
    2. Fare clic sulla scheda posta e quindi fare doppio clic sull'account di posta elettronica IMAP4.
    3. Fare clic sulla scheda server e quindi fare clic su per selezionare la casella di controllo accesso tramite autenticazione password di protezione .
  4. Fare clic su OK e quindi fare clic su Chiudi .

Configurazione di protezione delle comunicazioni (parte 1)

  1. Aprire le proprietÓ del server virtuale IMAP4 predefinito.
  2. Fare clic sulla scheda Access e quindi fare clic su certificati .
  3. Dopo il certificato di IIS guidata viene avviata, fare clic su Crea un nuovo certificato o Assegna un certificato da un'autoritÓ di certificazione esterna esistente e quindi fare clic su Avanti .
  4. In caso di un'autoritÓ di certificazione (CA) installata, fare clic su Invia la richiesta immediatamente a un'autoritÓ di certificazione in linea .

    Se non si dispone di una CA installata, fare clic su preparare la richiesta di ora ma inviarlo in un secondo momento e quindi fare clic su Avanti .
  5. Se si invia la richiesta a una CA in linea, entrambi consentono la richiesta di un nome appropriato o accettare il nome predefinito "Server virtuale IMAP4 predefinito", digitare una lunghezza in bit e quindi fare clic su Avanti .

    Nota : lunghezze di chiave pi¨ influire sulle prestazioni.
  6. Digitare l'organizzazione e informazioni di unitÓ di organizzazione per la CA da cui si richiesta un certificato nelle caselle appropriate e quindi fare clic su Avanti .
  7. Digitare il nome comune per il sito e quindi fare clic su Avanti .

    Nota : se si abilita l'accesso da Internet, Ŕ necessario utilizzare un nome di esternamente risolvibile di dominio completo (FQDN).
  8. Digitare il paese, lo stato o provincia e le informazioni cittÓ o localitÓ per la CA nelle caselle appropriate e quindi fare clic su Avanti .
  9. Se si sceglie di inviare immediatamente la richiesta a una CA in linea nel passaggio 4, verificare che la CA dell'organizzazione viene visualizzata e quindi fare clic su Avanti .

    Tuttavia, se si sceglie di preparare la richiesta ma invio in un secondo momento nel passaggio 4, accettare il nome di file predefinito per la richiesta di certificato o salvarlo in un file diverso e quindi fare clic su Avanti .
  10. Esaminare le informazioni Invio di richieste di certificato e quindi fare clic su Avanti .
  11. Fare clic su Fine .

Configurazione di protezione delle comunicazioni (parte 2)

Dopo aver installato un certificato sul server, Ŕ possibile imporre comunicazioni protette:
  1. Aprire le proprietÓ del server virtuale IMAP4 predefinito.
  2. Fare clic sulla scheda Access e quindi fare clic su comunicazioni .
  3. Fare clic per selezionare la casella di controllo Richiedi un canale protetto .
  4. Se sia il computer Exchange 2000 e i client supportano la crittografia a 128 bit, fare clic su crittografia Require 128-bit .
  5. Fare clic su OK e quindi fare clic su OK .
  6. Arrestare e riavviare il servizio IMAP4 di Exchange 2000.
  7. Avviare Outlook Express, scegliere account dal menu Strumenti , quindi scegliere la scheda posta elettronica .
  8. Fare doppio clic sull'account di Posta di Exchange Server , fare clic sulla scheda Avanzate e quindi scegliere il server richiede una connessione protetta (SSL) .

    In arrivo (IMAP4) di posta elettronica porta numeriche per le modifiche da 143 993.
  9. Fare clic su OK e quindi fare clic su Chiudi .

Come verificare se correttamente configurato protezione IMAP4

  • Per verificare che le restrizioni IP funzionino come previsto, provare a connettersi con un nome utente valido da un indirizzo IP escluso.

    ╚ visualizzato un messaggio che informa che la connessione al server Ŕ stata rifiutata.
  • Per verificare la crittografia dell'autenticazione:
    1. Eseguire Network Monitor sul computer Exchange 2000 e quindi utilizzare le impostazioni di autenticazione predefinite per avviare una sessione IMAP4 dal client, mentre Ŕ acquisire il traffico che proviene computer che esegue Exchange 2000.
    2. Esaminare la sessione IMAP4 e osservare i pacchetti dal client al server sulla porta 143 (008Fh).

      Si noti che nome di accesso e la password dell'utente vengono vengano inviati in testo non crittografato.
    3. Rimuovere il supporto per l'autenticazione di base, configurare il client richiedono l'autenticazione SPA, avviare un'altra sessione IMAP4 dal client e quindi acquisire il traffico in Network Monitor.

      Le informazioni di account e la password dell'utente sono ora crittografate.
  • Per verificare la crittografia SSL completa:
    1. Aggiungere un certificato, configurare le impostazioni in modo che richiedono un canale protetto sul server virtuale IMAP4 e quindi configurare il client per utilizzare SSL.
    2. Avviare un'acquisizione di Network Monitor e avviare una sessione di insieme di posta elettronica IMAP4 dal client.
    3. Interrompere l'acquisizione ed esaminare i pacchetti che sono stati inviati.

      Si noti che tutti i client ai server di pacchetti con una destinazione di porta 993 (03E1h) vengono crittografate.
Nota : se non si Ŕ attivato crittografia del recapito della posta SMTP, sarÓ comunque possibile visualizzare alcuni pacchetti non crittografati dal client destinati alla porta 25 (0019h).

Dopo avere verificato che sia configurato correttamente protezione IMAP4, si consiglia di configurare il recapito SMTP protetto per i client IMAP4.Per ulteriori informazioni su come crittografare il recapito della posta SMTP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
319267HOW TO: Secure Simple Message trasferimento Protocol Client Message Delivery in Exchange 2000

Risoluzione dei problemi

Se si limitano gli indirizzi IP basati sulla ricerca DNS, si possono influire negativamente sulle prestazioni di computer che esegue Exchange 2000. PoichÚ il computer Exchange 2000 viene eseguita una ricerca DNS inversa su ciascuna connessione in ingresso, una zona di ricerca inversa DNS funziona deve essere disponibile e il client IMAP4 deve essere registrato con tale zona. Si dispone di numerose connessioni IMAP4 in ingresso, si consiglia di disattivare la ricerca DNS inversa. Per ulteriori informazioni su come configurare zone di ricerca inversa, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
251509XFOR: Impossibile limitare l'accesso per nome di dominio se DNS non Ŕ configurato correttamente
Se non si specifica i valori corretti per il nome del server o per l'organizzazione, quando si crea il certificato SSL nel server virtuale IMAP4 predefinito, Ŕ necessario che gli utenti analogo il seguente messaggio:
Il server si connette utilizza un certificato di protezione che non corrisponde all'indirizzo Internet. Si desidera continuare a utilizzare questo server?
Per impedire che venga visualizzato questo messaggio, verificare che il nome comune del certificato corrisponda all'indirizzo Internet.




Riferimenti

Per ulteriori informazioni su come configurare la protezione di IMAP4, fare riferimento alla Guida in linea di Exchange 2000 ed Exchange 2000 Server Resource Kit.

ProprietÓ

Identificativo articolo: 319278 - Ultima modifica: sabato 28 ottobre 2006 - Revisione: 1.5
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange 2000 Server Standard Edition
Chiavi:á
kbmt kbhowto kbhowtomaster KB319278 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 319278
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com