COMO: Secure acesso de cliente de protocolo de mensagem de acesso à Internet no Exchange 2000

Traduções de Artigos Traduções de Artigos
Artigo: 319278 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como configurar a segurança para receber ligações de Internet Message Access Protocol (IMAP4) a computadores com os Exchange 2000 para que os utilizadores possam autenticar e receber material potencialmente importantes sem o risco do nome de utilizador, palavra-passe ou conteúdo da mensagem a ser interceptadas.

Poderá ter utilizadores que necessitem de utilizar IMAP4 para ligar a computadores com os Exchange 2000. Normalmente, utiliza ligações de IMAP4 se existem limitações de largura de banda ou restrições de porta de firewall mas necessitar de uma maior flexibilidade do que a flexibilidade fornecida se utilizar o Post Office Protocol (POP3) v.3 ligações. No entanto, como POP3, IMAP4 autenticação e transmissão de mensagens utilizam comandos de texto simples que estão abertos a intercepção.

Requisitos

A lista seguinte descreve o hardware recomendado, software, infra-estrutura de rede e service packs que necessita:
  • Microsoft Windows 2000 Server com Service Pack 2 (SP2)
  • O Active Directory
  • Exchange Server 2000 com Service Pack 1 (SP1) instalado num servidor membro baseado no Windows 2000 no domínio.
  • Um cliente IMAP4 tal como o Outlook Express v5.0 ou posterior
Este artigo pressupõe que está familiarizado com os seguintes tópicos:
  • Exchange System Manager
  • Problemas de configuração de TCP/IP
  • Conceitos de segurança, tais como Secure Sockets Layer (SSL) e encriptação
  • Certificados de segurança
  • Captura do Monitor de rede

Como planear o nível de segurança

Antes de começar configurar o servidor virtual IMAP4, tem de considerar o nível de segurança que pretende implementar. Pode configurar segurança IMAP4 em três níveis principais:
  • Controlo de ligação:

    Controlo de ligação restringe as ligações com base no IP (protocolo Internet) endereço ou nome de domínio, incluindo pesquisas inversas de DNS. Este nível de segurança é um nível básico que utiliza apenas se pode garantir o endereço IP de ligação a receber. Este nível de segurança não encripta palavras-passe ou dados da mensagem; no entanto, pode utilizar este nível com as outras definições de segurança.
  • Controlo de acesso:

    Controlo de acesso permite-lhe configurar a autenticação base ou a autenticação integrada do Windows (autenticação NTLM). Porque a autenticação básica permite nomes de utilizador de texto simples e palavras-passe, é recomendado que desactive este tipo de autenticação. Se desactivar a autenticação básica, terá de activar o início de sessão com autenticação por palavra-passe segura no software de cliente IMAP4. Clique no separador servidores nas propriedades de contas para activar a autenticação por palavra-passe segura no Microsoft Outlook Express. Tenha em atenção que a autenticação por palavra-passe segura encripta apenas o início de sessão, não o corpo da mensagem.

    Nota : A autenticação integrada do Windows funciona apenas em cenários em que o computador cliente pode contactar um controlador de domínio para validar as respectivas credenciais. Na maioria das configurações firewall, este cenário não é possível e não desejável. No entanto, implementações internas de acesso de IMAP4 (onde o início de sessão não atravessar a Internet) podem utilizar a autenticação NTLM.
  • Comunicações seguras:

    Comunicações seguras codifica a sessão IMAP4 inteira, incluindo a sequência de início de sessão e a transmissão do corpo da mensagem utilizando a encriptação SSL. Recomenda-se que utilize SSL para todas as ligações IMAP4 para o Exchange 2000 que entre redes públicas, tais como a Internet. Tem de instalar um certificado ao servidor virtual IMAP4. Pode utilizar uma autoridade de certificação externa ou pode instalar serviços de certificados numa floresta do Active Directory para instalar um certificado.
Nota : Se encriptar o protocolo IMAP4, as sessões estão protegidas quando estão a recolher o correio do servidor virtual IMAP4 do Exchange 2000; no entanto, a entrega de mensagens SMTP (Simple Mail Transfer Protocol) não está encriptada. É recomendável que tomar precauções adicionais para encriptar a entrega de mensagens SMTP. Para obter informações adicionais sobre como encriptar a entrega de correio SMTP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
319267COMO: Secure entrega de cliente de protocolo de mensagem de transferência de mensagens simples

Como o objecto de servidor virtual IMAP4 do Access

  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. No painel esquerdo, clique em servidores .
  3. Clique no servidor que pretende configurar, clique em protocolos e, em seguida, clique em IMAP4 .
  4. Clique com o botão direito do rato em Default servidor virtual IMAP4 e, em seguida, clique em Propriedades .
  5. Clique no separador acesso configurar as definições de controlo de acesso.

Como configurar restrições de endereço IP

  1. Abra as propriedades de servidor virtual IMAP4 predefinido.

    Para o fazer, siga o procedimento na secção anterior.
  2. Clique no separador acesso e, em seguida, clique em ligação .
  3. Clique apenas na lista abaixo .

    Se o fizer, apenas os endereços IP e domínios na lista têm permissão para ligar ao servidor virtual IMAP4. Utilize um dos seguintes métodos para adicionar itens a esta lista:
    • Adicione um único endereço IP de cada vez. Para o fazer, escreva um nome de anfitrião e, em seguida, clique em pesquisa de DNS para resolver este nome automaticamente para um endereço IP. Utilize este método se tiver utilizadores remotos estabelecer sempre ligação de endereços IP fixos onde os endereços IP não são contíguos.
    • Adicione um intervalo de endereços, tal como 131.107.2.0 com uma máscara de sub-rede de 255.255.255.0. Pode utilizar máscaras de sub-rede como 255.255.255.252 para restringir os anfitriões aceitáveis para um intervalo de endereços apenas seis.
    • Definir restrições numa base de domínio. Por exemplo, pode limitar ligações de modo a que apenas ligações de contoso.com são aceites. No entanto, se utilizar este método, terá de efectuar uma pesquisa inversa de DNS em cada ligação a receber, que pode afectar negativamente o desempenho do computador do Exchange 2000. Para mais informações, consulte a secção "Resolução de problemas" no fim deste artigo.
  4. Clique em OK para aceitar as restrições de endereço IP.

Como configurar o controlo de acesso

  1. Abra as propriedades de servidor virtual IMAP4 predefinido.
  2. Clique no separador acesso e, em seguida, clique em autenticação .

    Por predefinição, são seleccionados os métodos de autenticação base e a autenticação integrada do Windows. Se o ambiente suporta autenticação do Windows, pode desmarcar a caixa de verificação Autenticação básica . Clique em OK para aceitar a alteração.
  3. Inicie o Outlook Express e, em seguida, configure as definições de conta IMAP4 para utilizar autenticação por palavra-passe segura. Para o fazer:
    1. Clique em contas no menu Ferramentas .
    2. Clique no separador correio e, em seguida, faça duplo clique na conta de correio IMAP4.
    3. Clique no separador servidores e, em seguida, clique para seleccionar a caixa de verificação Iniciar sessão com autenticação por palavra-passe segura .
  4. Clique em OK e, em seguida, clique em Fechar .

Como configurar o Secure Communications (parte um)

  1. Abra as propriedades de servidor virtual IMAP4 predefinido.
  2. Clique no separador acesso e, em seguida, clique em certificados .
  3. Depois do certificado de IIS assistente for iniciado, clique em criar um novo certificado ou atribuir um certificado existente de uma autoridade de certificação externa e, em seguida, clique em seguinte .
  4. Se tiver uma autoridade de certificação (AC) instalada, clique em Enviar a requisição imediatamente a uma autoridade de certificação online .

    Se não tiver uma AC instalada, clique em Preparar agora a requisição, mas enviá-la mais tarde e, em seguida, clique em seguinte .
  5. Se enviar o pedido para uma AC online, ou dar o pedido um nome adequado ou aceite o nome predefinido "Predefinido IMAP4 Virtual Server", escreva um comprimento de bits e, em seguida, clique em seguinte .

    Nota : os comprimentos de chave mais afectam o desempenho.
  6. Escreva a organização e informações de unidade da organização para a AC a partir do qual está a pedir um certificado nas caixas apropriadas e, em seguida, clique em seguinte .
  7. Escreva o nome comum do site e, em seguida, clique em seguinte .

    Nota : Se activar o acesso a partir da Internet, tem de utilizar um nome de externamente passíveis de resolução de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name).
  8. Escreva o país, o estado ou província e Cidade ou localidade informações da AC nas caixas apropriadas e, em seguida, clique em seguinte .
  9. Se optar por enviar o pedido imediatamente a uma AC online no passo 4, confirme se a AC da organização é apresentada e, em seguida, clique em seguinte .

    No entanto, se optar por preparar o pedido agora mas enviar mais tarde no passo 4, aceite o nome de ficheiro predefinido para o pedido de certificado ou guardá-lo num ficheiro diferente e, em seguida, clique em seguinte .
  10. Reveja as informações sobre a Submissão de pedido de certificado e, em seguida, clique em seguinte .
  11. Clique em Concluir .

Como configurar o Secure Communications (parte dois)

Depois de instalar um certificado no servidor, força comunicações seguras:
  1. Abra as propriedades de servidor virtual IMAP4 predefinido.
  2. Clique no separador acesso e, em seguida, clique em comunicação .
  3. Clique para seleccionar a caixa de verificação Exigir canal seguro .
  4. Se o computador do Exchange 2000 e os clientes suportam encriptação de 128 bits, clique em encriptação Exigir 128 bits .
  5. Clique em OK e, em seguida, clique em OK .
  6. Pare e reinicie o serviço IMAP4 do Exchange 2000.
  7. Inicie o Outlook Express, clique em contas no menu Ferramentas e, em seguida, clique no separador correio .
  8. Clique duas vezes a conta de Correio do Exchange Server , clique no separador Avançadas e, em seguida, clique em este servidor requer uma ligação segura (SSL) .

    As recepção correio (IMAP4) porta números alterações de 143 993.
  9. Clique em OK e, em seguida, clique em Fechar .

Como confirmar que é configurado IMAP4 segurança correctamente

  • Para verificar que as restrições de IP funcionam como previsto, tente estabelecer ligação com um nome de utilizador válido do endereço IP excluído.

    Recebe uma mensagem que indica que a ligação ao servidor foi recusada.
  • Para verificar a encriptação de autenticação:
    1. Execute o Monitor de rede no computador do Exchange 2000 e, em seguida, utilizar as predefinições de autenticação para iniciar uma sessão de IMAP4 do cliente enquanto capturar o tráfego que provém computador do Exchange 2000.
    2. Reveja a sessão IMAP4 e tenha em atenção os pacotes do cliente para o servidor na porta 143 (008Fh).

      Tenha em atenção que estão a ser enviadas nome de início de sessão do utilizador e palavra-passe em texto simples.
    3. Remover o suporte para a autenticação base, configure o cliente para pedir autenticação por palavra-passe segura, iniciar outra sessão de IMAP4 do cliente e, em seguida, capturar o tráfego no Monitor de rede.

      Os detalhes de conta e palavra-passe de utilizador agora estão encriptados.
  • Para verificar a encriptação de SSL completa:
    1. Adicionar um certificado, configure as definições para que requerer um canal seguro no servidor virtual IMAP4 e, em seguida, configure o cliente para utilizar o SSL.
    2. Inicie uma captura do Monitor de rede e iniciar uma sessão de colecção de correio IMAP4 do cliente.
    3. Parar a captura e, em seguida, examine os pacotes que foram enviados.

      Tenha em atenção que todos os clientes para pacotes de servidor com um destino de porta 993 (03E1h) são encriptados.
Nota : Se não tiver activado encriptação na entrega de correio SMTP, poderá ainda visualizar alguns pacotes não encriptadas do cliente que são destinados a porta 25 (0019h).

Depois de confirmar que configurou IMAP4 segurança correctamente, recomenda-se que configure entrega SMTP segura para os clientes IMAP4.Para obter informações adicionais sobre como encriptar a entrega de correio SMTP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
319267COMO: Secure simples entrega de mensagens de cliente de protocolo de transferência de mensagens no Exchange 2000

Resolução de problemas

Se restringir os endereços IP com base na pesquisa de DNS, pode afectar negativamente o desempenho do computador do Exchange 2000. Porque o computador do Exchange 2000 executa uma pesquisa inversa de DNS em cada ligação a receber, uma zona de reverse lookup DNS a funcionar têm de estar disponível e cliente IMAP4 tem de ser registado nessa zona. Se tiver um grande número de ligações a receber do IMAP4, deverá considerar a desactivação de pesquisa inversa de DNS. Para obter informações adicionais sobre como configurar zonas de pesquisa inversa, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
251509XFOR: Não é possível restringir o acesso por nome de domínio se o DNS não está configurado correctamente
Se não especificar os valores correctos para o nome do servidor ou da organização, quando cria o certificado de SSL no servidor virtual IMAP4 predefinido, os utilizadores poderão receber a seguinte mensagem:
O servidor está a ligar para está a utilizar um certificado de segurança que não corresponde ao endereço Internet. Pretende continuar a utilizar este servidor?
Para evitar esta mensagem seja apresentada, certifique-se de que o nome comum do certificado corresponde ao endereço Internet.




Referências

Para obter mais informações sobre como configurar a segurança do IMAP4, consulte a ajuda do Exchange 2000 e Exchange 2000 Server Resource Kit.

Propriedades

Artigo: 319278 - Última revisão: 28 de outubro de 2006 - Revisão: 1.5
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbmt kbhowto kbhowtomaster KB319278 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 319278

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com