COMO: Secure Internet Message Access Protocol Client Access no Exchange 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 319278 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como configurar a segurança para conexões de entrada Internet Message Access Protocol (IMAP4) para os computadores Exchange 2000 para que os usuários possam autenticar e receber material potencialmente sensível sem o risco do nome de usuário, senha ou conteúdo da mensagem sendo interceptados.

Você pode ter usuários que precisam usar IMAP4 para se conectar ao computador Exchange 2000. Normalmente, você usa conexões IMAP4 se existem limitações de largura de banda ou restrições de porta do firewall, mas você precisa maior flexibilidade do que a flexibilidade fornecida se você usar conexões do Post Office Protocol v.3 (POP3). No entanto, como POP3, IMAP4 autenticação e transmissão de mensagens usam comandos de texto não criptografado que estão abertos para interceptação.

Requisitos

A lista a seguir descreve o hardware recomendado, software, infra-estrutura de rede e service packs que você precisa:
  • Microsoft Windows 2000 Server com Service Pack 2 (SP2)
  • O Active Directory
  • Exchange Server 2000 com Service Pack 1 (SP1) instalado em um servidor membro baseado no Windows 2000 no domínio.
  • Um cliente IMAP4, como o Outlook Express v5.0 ou posterior
Este artigo pressupõe que você esteja familiarizado com os seguintes tópicos:
  • Exchange System Manager
  • Problemas de configuração TCP/IP
  • Conceitos de segurança como Secure Sockets Layer (SSL) e criptografia
  • Certificados de segurança
  • O Monitor de rede captura

Como planejar para o nível de segurança

Antes de começar a configurar o servidor virtual IMAP4, você deve considerar o nível de segurança que você deseja implementar. Você pode configurar a segurança IMAP4 em três níveis principais:
  • Controle de conexão:

    Controle de conexão restringe conexões baseadas em IP (Internet Protocol) endereço ou domínio nome, incluindo pesquisas inversas de DNS. Esse nível de segurança é um nível básico que você use somente se você pode garantir o endereço IP da conexão de entrada. Esse nível de segurança não criptografa senhas ou dados de mensagem; no entanto, você pode usar esse nível com as outras configurações de segurança.
  • Controle de acesso:

    Controle de acesso permite configurar a autenticação básica ou autenticação integrada do Windows (autenticação NTLM). Como autenticação básica permite nomes de usuário de texto não criptografado e senhas, é recomendável que você desative esse tipo de autenticação. Se você desabilitar a autenticação básica, você precisa ativar o logon usando autenticação de senha de segurança no software de cliente IMAP4. Clique na guia servidores nas propriedades de contas para habilitar a autenticação de senha segura no Microsoft Outlook Express. Observe que a autenticação de senha segura criptografa somente a sessão de logon, não o corpo da mensagem.

    Observação : autenticação integrada do Windows funciona apenas em cenários em que o computador cliente possa contatar um controlador de domínio para validar suas credenciais. Na maioria das configurações firewall, esse cenário não é possível e não é desejável. No entanto, implementações internas de acesso de IMAP4 (onde a sessão de logon não atravessa a Internet) podem usar a autenticação NTLM.
  • Comunicação segura:

    Comunicação segura codifica a sessão inteira do IMAP4, incluindo a seqüência de logon e a transmissão do corpo da mensagem usando criptografia SSL. É recomendável que você usar SSL para todas as conexões IMAP4 para o Exchange 2000 que passam por redes públicas como a Internet. Você deve instalar um certificado ao servidor virtual de IMAP4. Você pode usar uma autoridade de certificação externa ou você pode instalar serviços de certificados em sua floresta do Active Directory para instalar um certificado.
Observação : se você criptografar o protocolo IMAP4, sessões são protegidas somente quando você está coletando correio do servidor virtual IMAP4 do Exchange 2000; no entanto, a entrega de mensagem SMTP (Simple Mail Transfer Protocol) não está criptografada. É recomendável que você tomar precauções adicionais para criptografar a entrega de mensagem SMTP. Para obter informações adicionais sobre como criptografar a entrega de email SMTP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
319267COMO: Proteger Simple Message transferência protocolo cliente mensagem Delivery

Como acessar o objeto de servidor virtual IMAP4

  1. Clique em Iniciar , aponte para programas , aponte para Microsoft Exchange e, em seguida, clique em System Manager .
  2. No painel esquerdo, clique em servidores .
  3. Clique no servidor que você deseja configurar, clique em protocolos e, em seguida, clique em IMAP4 .
  4. Clique com o botão direito do mouse em Servidor Virtual IMAP4 padrão e, em seguida, clique em Propriedades .
  5. Clique na guia Access para configurar o controle de acesso.

Como configurar restrições de endereço IP

  1. Abra as propriedades do servidor virtual IMAP4 padrão.

    Para fazer isso, siga o procedimento na seção anterior.
  2. Clique na guia Access e, em seguida, clique em conexão .
  3. Clique em Only the list below .

    Se você fizer isso, somente os endereços IP e domínios na lista têm permissão para se conectar ao servidor virtual IMAP4. Use qualquer um dos seguintes métodos para adicionar itens à lista:
    • Adicione um único endereço IP de cada vez. Para fazer isso, digite um nome de host e, em seguida, clique em pesquisa de DNS para resolver esse nome automaticamente para um endereço IP. Use este método se você tiver usuários remotos que sempre se conectar de endereços IP fixos onde esses endereços IP não são contíguos.
    • Adicionar um intervalo de endereços, como 131.107.2.0, com uma máscara de sub-rede de 255.255.255.0. Você pode usar máscaras de sub-rede como 255.255.255.252 para restringir os hosts aceitáveis a um intervalo de apenas seis endereços IP.
    • Definir restrições numa base de domínio. Por exemplo, você pode limitar conexões de modo que apenas as conexões de contoso.com sejam aceitas. No entanto, se você usar esse método, você deve executar uma pesquisa de DNS inversa em cada conexão de entrada, que pode afetar negativamente o desempenho do computador Exchange 2000. Para obter mais informações, consulte a seção "solução de problemas" no final deste artigo.
  4. Clique em OK para aceitar as restrições de endereço IP.

Como configurar o controle de acesso

  1. Abra as propriedades do servidor virtual IMAP4 padrão.
  2. Clique na guia Access e, em seguida, clique em autenticação .

    Por padrão, os métodos de autenticação básica e a autenticação integrada do Windows são selecionados. Se seu ambiente oferece suporte a autenticação do Windows, você pode desmarcar a caixa de seleção Autenticação básica . Clique em OK para aceitar a alteração.
  3. Inicie o Outlook Express e, em seguida, definir as configurações de conta IMAP4 para usar autenticação de senha segura. Para fazer isso:
    1. Clique em contas no menu Ferramentas .
    2. Clique na guia correio e, em seguida, clique duas vezes na conta de email IMAP4.
    3. Clique na guia servidores e, em seguida, clique para selecionar a caixa de seleção fazer logon usando autenticação de senha de segurança .
  4. Clique em OK e, em seguida, clique em Fechar .

Como configurar comunicações seguras (parte 1)

  1. Abra as propriedades do servidor virtual IMAP4 padrão.
  2. Clique na guia Access e, em seguida, clique em certificado .
  3. Após o certificado do IIS inicia o assistente, clique em criar um novo certificado ou atribuir um certificado existente de uma autoridade de certificação externa e, em seguida, clique em Avançar .
  4. Se você tiver uma autoridade de certificação (CA) instalada, clique em enviar a solicitação imediatamente a uma autoridade de certificação on-line .

    Se você não tiver uma CA instalada, clique em preparar a solicitação agora mas enviá-lo mais tarde e, em seguida, clique em Avançar .
  5. Se você enviar sua solicitação para uma CA online, tanto dar a solicitação de um nome apropriado ou aceite o nome padrão "Default IMAP4 Virtual Server", digite um comprimento de bit e, em seguida, clique em Avançar .

    Observação : comprimentos de chaves mais longos afetam o desempenho.
  6. Digite a organização e informações sobre a unidade da organização para a CA do qual estiver solicitando um certificado nas caixas apropriadas e, em seguida, clique em Avançar .
  7. Digite o nome comum para o seu site e, em seguida, clique em Avançar .

    Observação : se você habilitar o acesso da Internet, você deve usar um nome de domínio externamente resolvível totalmente qualificado (FQDN).
  8. Digite o país, o estado ou província e as informações de cidade ou localidade para sua CA nas caixas apropriadas e, em seguida, clique em Avançar .
  9. Se você optar por enviar a solicitação imediatamente para uma CA online na etapa 4, confirme se a CA da sua organização é exibida e, em seguida, clique em Avançar .

    No entanto, se você escolher preparar a solicitação agora mas enviar mais tarde na etapa 4, aceite o nome de arquivo padrão para a solicitação de certificado ou salvá-lo para um arquivo diferente e em seguida, clique em Avançar .
  10. Revise as informações sobre o Envio de solicitação de certificado e, em seguida, clique em Avançar .
  11. Clique em Concluir .

Como configurar comunicações seguras (parte 2)

Depois de instalar um certificado no servidor, força comunicações seguras:
  1. Abra as propriedades do servidor virtual IMAP4 padrão.
  2. Clique na guia Access e, em seguida, clique em comunicação .
  3. Clique para marcar a caixa de seleção Exigir canal de segurança .
  4. Se o computador com Exchange 2000 e os clientes oferecer suporte a criptografia de 128 bits, clique em Require 128-bit encryption .
  5. Clique em OK e, em seguida, clique em OK .
  6. Pare e reinicie o serviço IMAP4 do Exchange 2000.
  7. Inicie o Outlook Express, clique em contas no menu Ferramentas e, em seguida, clique na guia correio .
  8. Clique duas vezes na conta Mail do Exchange Server , clique na guia Avançado e, em seguida, clique em Este servidor requer uma conexão segura (SSL) .

    A entrada email (IMAP4) porta número muda de 143 para 993.
  9. Clique em OK e, em seguida, clique em Fechar .

Como confirmar se você configurou IMAP4 segurança corretamente

  • Para verificar se as restrições de IP funcionam conforme o esperado, tente conectar-se com um nome de usuário válido de um endereço IP excluído.

    Você recebe uma mensagem informando que a conexão com o servidor foi recusada.
  • Para verificar a criptografia de autenticação:
    1. Execute o Monitor de rede no computador Exchange 2000 e use as configurações de autenticação padrão para iniciar uma sessão de IMAP4 do cliente enquanto você capturar o tráfego que está sendo disponibilizados no computador Exchange 2000.
    2. Revise a sessão de IMAP4 e anote os pacotes do cliente para o servidor na porta 143 (008Fh).

      Observe que nome de logon do usuário e senha estão sendo enviadas em texto não criptografado.
    3. Remover o suporte para autenticação básica, configure o cliente exigir a autenticação de senha de segurança, iniciar outra sessão de IMAP4 do cliente e, em seguida, capturar o tráfego no Monitor de rede.

      Os detalhes de conta e senha de usuário agora são criptografados.
  • Para verificar a criptografia SSL completa:
    1. Adicionar um certificado, configure as configurações para que você exigem um canal seguro no servidor virtual IMAP4 e, em seguida, configurar o cliente para usar o SSL.
    2. Inicie uma captura do Monitor de rede e iniciar uma sessão de coleção de email IMAP4 do cliente.
    3. Parar a captura e examine os pacotes que foram enviados.

      Observe que todos os clientes para pacotes de servidor com um destino de porta 993 (03E1h) são criptografadas.
Observação : se você não tiver habilitado a criptografia na entrega de email SMTP, você ainda poderá ver alguns pacotes não criptografadas do cliente que estão destinados à porta 25 (0019h).

Depois de confirmar que você configurou a segurança de IMAP4 corretamente, é recomendável que você configure entrega SMTP segura para seus clientes IMAP4.Para obter informações adicionais sobre como criptografar a entrega de email SMTP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
319267COMO: Proteger a entrega de mensagem de cliente de protocolo de transferência de mensagem simples no Exchange 2000

Solução de problemas

Se você restringir os endereços IP com base na pesquisa de DNS, você pode afetar negativamente o desempenho do computador Exchange 2000. Como o computador Exchange 2000 realiza uma pesquisa DNS inversa em cada conexão entrante, uma zona de pesquisa inversa DNS funcionando deve estar disponível e o cliente IMAP4 deve ser registrado com essa zona. Se você tiver grandes números de conexões de entrada IMAP4, você deve considerar a desativação pesquisa reversa de DNS. Para obter informações adicionais sobre como configurar zonas de pesquisa inversa, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
251509XFOR: Não é possível restringir o acesso por nome de domínio se o DNS não está configurado corretamente
Se você não especificar os valores corretos para o nome do servidor ou da organização, quando você cria o certificado SSL no servidor virtual padrão IMAP4, os usuários poderão receber a seguinte mensagem de:
O servidor está se conectando está usando um certificado de segurança que não corresponde ao seu endereço. Deseja continuar usando este servidor?
Para impedir que essa mensagem seja exibida, verifique que o nome comum do certificado corresponde ao seu endereço.




Referências

Para obter mais informações sobre como configurar a segurança do IMAP4, consulte a Ajuda do Exchange 2000 e o Exchange 2000 Server Resource Kit.

Propriedades

ID do artigo: 319278 - Última revisão: sábado, 28 de outubro de 2006 - Revisão: 1.5
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbmt kbhowto kbhowtomaster KB319278 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 319278

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com