Protezione del recapito dei messaggi dei client SMTP in Exchange 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 823019 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come configurare le impostazioni di protezione per le connessioni client SMTP (Simple Mail Transfer Protocol) in ingresso dirette ai computer Exchange 2003. Queste impostazioni consentono agli utenti di autenticare e di ricevere materiale potenzialmente riservato e di impedire l'intercettazione del nome utente, della password o del contenuto dei messaggi. Alcuni utenti potrebbero utilizzare il protocollo POP3 (Post Office Protocol 3) o IMAP4 (Internet Message Access Protocol 4) per connettersi al computer che esegue Exchange 2003. Entrambi questi protocolli si basano sul protocollo SMTP per il recapito dei messaggi.

Nota In un'installazione predefinita di Exchange 2003 non è necessario configurare ulteriori opzioni per i client POP3 o IMAP4 che si collegano al server. In questo articolo vengono prese in esame alcune impostazioni di protezione predefinite e sono incluse informazioni su ulteriori opzioni disponibili in Exchange 2003.

Considerazioni

Tenere presenti le seguenti considerazioni:

Creare un ulteriore server virtuale SMTP



Creare un nuovo server virtuale SMTP da utilizzare per le connessioni client in ingresso.

Controllo delle connessioni



Il controllo delle connessioni limita le connessioni basate sull'indirizzo IP o sul nome di dominio, comprese le ricerche DNS (Domain Name System) inverse. Le opzioni di controllo delle connessioni non consentono la crittografia delle password o dei dati dei messaggi.

Controllo di accesso



È possibile configurare l'autenticazione di base, anonima o Windows integrata (in precedenza denominata NTLM o autenticazione Challenge/Response di Windows NT). Poiché l'autenticazione di base consente l'invio di nomi utente e di password non crittografati, non è uno strumento sicuro. Per attivare la crittografia dei nomi utente e delle password, utilizzare l'autenticazione di base con la crittografia TLS (Transport Layer Security) oppure l'autenticazione Windows integrata. Come la crittografia SSL (Secure Sockets Layer), la crittografia TLS consente la crittografia dei nomi utente, delle password e dei dati dei messaggi. L'autenticazione Windows integrata funziona solo in casi in cui il computer client può contattare un controller di dominio basato su Windows per la convalida delle credenziali. Nella maggior parte delle configurazioni dei firewall questo contatto potrebbe non avvenire. Tuttavia le implementazioni interne dell'accesso SMTP (in cui la sessione di accesso non transita su Internet) possono utilizzare l'autenticazione Windows integrata.

Crittografia



La comunicazione protetta consente di crittografare la sessione SMTP, compresi nome utente, password e dati dei messaggi, mediante la crittografia SSL. È consigliabile utilizzare la crittografia SSL per tutte le connessioni SMTP a Exchange 2003 che transitano su reti pubbliche come Internet. È necessario installare un certificato nel server virtuale SMTP. Si può utilizzare un'autorità di certificazione esterna o installare i Servizi certificati nella foresta di servizio directory di Microsoft Active Directory per l'installazione di un certificato.

Controllare l'inoltro



Per impostazione predefinita, quando si crea un server virtuale SMTP in Exchange 2003, tale server viene configurato per impedire l'inoltro dei messaggi di posta elettronica. Se i client POP3 o IMAP4 non dispongono dell'autorizzazione per l'inoltro, gli utenti non potranno inviare messaggi SMTP a domini esterni attraverso il server virtuale SMTP. Se tuttavia è consentito l'inoltro dei messaggi, un utente potrebbe essere sfruttato per diffondere messaggi di posta elettronica commerciali indesiderati. Quando si utilizzano le impostazioni di inoltro predefinite, solo i client autenticati possono inoltrare i messaggi attraverso il server virtuale SMTP. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
319278 Protezione dell'accesso dei client IMAP (Internet Message Access Protocol) in Exchange 2000

Creazione di un nuovo server virtuale SMTP

  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Fare clic con il pulsante destro del mouse su SMTP, scegliere Nuovo, quindi Server virtuale SMTP.
  4. Nella casella Nome digitare il nome del server virtuale e scegliere Avanti.
  5. Fare clic sull'indirizzo IP che si desidera utilizzare, quindi scegliere Fine.
  6. Dopo la creazione del server virtuale SMTP, verificare che il nuovo server virtuale utilizzi il nome di dominio completo (FQDN) corretto. Per effettuare questa operazione:
    1. Fare clic con il pulsante destro del mouse sul server virtuale SMTP creato e scegliere Proprietà.
    2. Fare clic sulla scheda Recapito, quindi scegliere Avanzate.
    3. Verificare che il nome di dominio contenuto nella casella Nome dominio completo corrisponda al nome che gli utenti digitano al momento della configurazione del software del client per recapitare i messaggi SMTP. Per verificare che la risoluzione del nome di dominio sia corretta, fare clic su Controlla DNS.
    4. Scegliere OK, quindi di nuovo OK.
Nota Se si configura un server virtuale SMTP per client che accedono a questo server da Internet, potrebbe essere necessario configurare server DNS esterni perché il nome di dominio completo del server virtuale SMTP deve essere risolto in un indirizzo Internet esterno. Per effettuare questa operazione, fare clic su Configura nella finestra di dialogo Impostazioni avanzate recapito, fare clic su Aggiungi e digitare l'indirizzo IP del server DNS esterno. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
326992 I messaggi di posta SMTP in uscita non vengono inviati


Configurazione delle restrizioni relative agli indirizzi IP

Per configurare le restrizioni relative agli indirizzi IP:
  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Espandere SMTP, fare clic con il pulsante destro del mouse su Server virtuale SMTP predefinito, quindi scegliere Proprietà.
  4. Scegliere la scheda Accesso e fare clic su Connessione.
  5. Nella finestra di dialogo Connessione fare clic su Solo i computer indicati nell'elenco.

    In questo modo si indica che solo gli indirizzi IP e i domini elencati sono autorizzati a connettersi al server virtuale SMTP.
  6. Fare clic su Aggiungi ed effettuare una delle seguenti operazioni per aggiungere un solo computer, un gruppo di computer o un dominio in base alla situazione:
    • Per aggiungere un singolo computer, fare clic su Computer singolo, digitare l'indirizzo IP del server di posta elettronica del provider di servizi Internet nella casella Indirizzo IP e scegliere OK.

      In alternativa fare clic su Trova DNS, digitare un nome host e scegliere OK.
    • Per aggiungere un gruppo di computer, fare clic su Gruppo di computer, digitare l'indirizzo della subnet e la subnet mask del gruppo nelle caselle corrispondenti e scegliere OK.

      Microsoft consiglia di seguire questa procedura se il provider di servizi Internet tende a cambiare l'indirizzo IP del server di posta elettronica senza preavviso.
    • Per aggiungere un dominio, fare clic su Dominio, digitare il nome del dominio desiderato nella casella Nome e scegliere OK.

      Questa opzione richiede una ricerca DNS inversa per ciascuna connessione in ingresso. Questo requisito potrebbe influire negativamente sulle prestazioni del server di Exchange. Per ulteriori informazioni, vedere la sezione Risoluzione dei problemi di questo articolo.

Configurazione del controllo di accesso

Per configurare il controllo di accesso:
  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Espandere SMTP, fare clic con il pulsante destro del mouse sul server virtuale SMTP, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Accesso, quindi scegliere Autenticazione.

    Per impostazione predefinita, l'accesso anonimo è disattivato e l'autenticazione di base e quella Windows integrata sono attive. Configurare il server virtuale SMTP per l'utilizzo dell'autenticazione di base con la crittografia TLS o l'autenticazione Windows integrata e scegliere OK.
Nota È anche necessario attivare l'accesso mediante l'opzione relativa all'autenticazione della password di protezione nel software del client SMTP. Per effettuare questa operazione in Microsoft Outlook Express:
  1. Avviare Outlook Express.
  2. Scegliere Account dal menu Strumenti.
  3. Scegliere la scheda Posta elettronica, quindi fare clic su Proprietà.
  4. Scegliere la scheda Server, selezionare la casella di controllo Accesso tramite autenticazione password di protezione, scegliere OK, quindi Chiudi.
    Il nome utente e la password risulteranno crittografati, al contrario dei dati dei messaggi.

Configurazione della crittografia

Per configurare la crittografia:
  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Espandere SMTP, fare clic con il pulsante destro del mouse sul server virtuale SMTP, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Accesso, quindi scegliere l'opzione relativa al certificato. Verrà avviata la procedura Gestione guidata certificati server Web.
  5. Scegliere Avanti.
  6. Seguire le istruzioni delle schermate restanti della procedura guidata per creare una nuova certificazione o per assegnare un certificato esistente.
Dopo l'installazione del certificato nel server, configurare il metodo di comunicazione. Per effettuare questa operazione:
  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Espandere SMTP, fare clic con il pulsante destro del mouse sul server virtuale SMTP, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Accesso, quindi scegliere l'opzione relativa alla comunicazione.
  5. Selezionare la casella di controllo Richiedi canale protetto.
  6. Se il computer in cui è installato Exchange 2003 e i client supportano la crittografia a 128 bit, fare clic su Richiedi crittografia a 128 bit.
  7. Scegliere OK, quindi di nuovo OK.
  8. Arrestare e riavviare il server virtuale SMTP.
Se i client utilizzano Outlook Express, configurare Outlook Express per l'utilizzo della crittografia SSL. Per effettuare questa operazione:
  1. Avviare Outlook Express.
  2. Scegliere Account dal menu Strumenti.
  3. Scegliere la scheda Posta elettronica.
  4. Fare doppio clic sull'account di posta elettronica di Exchange Server e scegliere la scheda Impostazioni avanzate.
  5. In corrispondenza di Posta in uscita (SMTP) selezionare la casella di controllo Il server necessita di una connessione protetta (SSL).
  6. Scegliere OK, quindi Chiudi.

Configurazione dell'inoltro

Per configurare l'inoltro:
  1. Fare clic sul pulsante Start, scegliere Programmi, Microsoft Exchange, quindi Gestore di sistema.
  2. Espandere Gruppi amministrativi (se appropriato), GruppoAmministrativo (se appropriato), Server, NomeServer, quindi Protocolli.
  3. Espandere SMTP, fare clic con il pulsante destro del mouse sul server virtuale SMTP, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Accesso, quindi scegliere Inoltro.

    Le impostazioni predefinite consentono ai client autenticati l'inoltro dei messaggi. In genere queste impostazioni sono sufficienti perché solo i client con le credenziali corrette possano inoltrare i messaggi attraverso il server virtuale SMTP. È inoltre possibile limitare le autorizzazioni di inoltro a singoli indirizzi IP, a intervalli di indirizzi IP o a suffissi DNS.
  5. Scegliere OK.

Verifica del corretto funzionamento delle impostazioni configurate del server virtuale SMTP

Per verificare se le impostazioni del server virtuale SMTP configurate funzionano correttamente:
  • Per verificare che le restrizioni IP funzionino in modo appropriato, utilizzare un client POP3 e un client IMAP4 per effettuare il tentativo di connessione al server da un indirizzo IP escluso. Se le restrizioni IP sono configurate correttamente, viene visualizzato un messaggio che notifica che è stata rifiutata una connessione al server.
  • Per verificare la crittografia dell'autenticazione:
    1. Eseguire Network Monitor nel computer in cui è installato Exchange 2003 e utilizzare le impostazioni di autenticazione predefinite per iniziare una sessione SMTP nel client mentre si acquisisce il traffico diretto al computer che esegue Exchange 2003.
    2. Esaminare la sessione SMTP e prendere nota dei pacchetti dal client al server sulla porta 25 (0019h).

      Il nome e la password di accesso dell'utente non sono crittografati.
    3. Rimuovere il supporto per l'autenticazione di base, configurare il client perché richieda l'autenticazione della password di protezione, iniziare un'altra sessione SMTP dal client e acquisire il traffico in Network Monitor.

      L'account utente e la password saranno ora crittografati.
  • Per verificare la crittografia SSL:
    1. Aggiungere un certificato, configurare le impostazioni perché sia necessario un canale protetto nel server virtuale SMTP e configurare il client per l'utilizzo della crittografia SSL.
    2. Avviare un'acquisizione di Network Monitor e iniziare una sessione di raccolta dei messaggi di posta elettronica SMTP dal client.
    3. Interrompere l'acquisizione ed esaminare i pacchetti inviati.

      Tutti i pacchetti da client a server con destinazione relativa alla porta 25 (0019h) risulteranno crittografati.
    Nota Se non è stata attivata la crittografia relativa alla raccolta dei messaggi di posta elettronica POP3 o IMAP4, potrebbero ancora essere presenti pacchetti non crittografati nel client destinati alla porta 110 (006Eh) o 143 (008Fh).
  • Per verificare se le restrizioni di inoltro funzionano correttamente, inviare messaggi di posta elettronica da un indirizzo IP escluso a un dominio esterno. Viene visualizzato un messaggio di errore che indica che il server non è stato in grado di eseguire l'inoltro all'indirizzo del destinatario.

Risoluzione dei problemi

Qualsiasi restrizione basata su una ricerca DNS può influire negativamente sulle prestazioni del computer in cui è installato Exchange 2003. Poiché il server esegue una ricerca DNS inversa per ciascuna connessione in ingresso, deve essere disponibile una zona di ricerca inversa DNS e l'host mittente deve essere registrato in relazione a tale zona.

Riferimenti

Per ulteriori informazioni su Exchange Server 2003, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/prodtechnol/exchange/2003/library/default.mspx

Proprietà

Identificativo articolo: 823019 - Ultima modifica: lunedì 26 novembre 2007 - Revisione: 1.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Chiavi: 
kbhowto KB823019
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com