Como ajudar a proteger a entrega de mensagens de clientes de SMTP no Exchange 2003

Traduções de Artigos Traduções de Artigos
Artigo: 823019 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como configurar definições de segurança para ligações de entrada de clientes do protocolo simples de transferência de correio (SMTP, Simple Mail Transfer Protocol) nos computadores com o Exchange 2003. Estas definições permitem que os utilizadores sejam autenticados e recebam informações importantes, como também ajudam a impedir que o nome de utilizador, a palavra-passe ou o conteúdo da mensagem sejam interceptados. Determinados utilizadores poderão necessitar de utilizar o POP3 (Post Office Protocol 3) ou o IMAP4 (Internet Message Access Protocol 4) para ligar ao computador do Exchange 2003. Ambos os protocolos dependem do SMTP para a entrega de mensagens.

Nota: numa instalação predefinida do Exchange 2003, não necessita de configurar opções adicionais para clientes do POP3 ou do IMAP4 que estabeleçam ligação com o servidor. Este artigo aborda algumas predefinições de segurança e contém informações sobre opções adicionais disponíveis no Exchange 2003.

Considerações

Tenha em conta as seguintes considerações:

Criar um servidor virtual de SMTP adicional



Crie um novo servidor virtual de SMTP para utilizar para ligações de entrada de clientes.

Controlo de ligação



O controlo de ligação restringe as ligações que têm por base um endereço IP ou nome de domínio, incluindo pesquisas inversas (reverse lookups) do sistema de nomes de domínio (DNS, Domain Name System). As opções do controlo de ligação não encriptam palavras-passe nem dados de mensagens.

Controlo de acesso



Pode configurar a autenticação base, a autenticação anónima ou a autenticação integrada do Windows (designada anteriormente por autenticação NTLM ou desafio/resposta do Windows NT). Uma vez que a autenticação base envia nomes de utilizadores e palavras-passe em texto simples, não é segura. Para activar a encriptação de nomes de utilizadores e palavras-passe, utilize a autenticação base com o protocolo de segurança da camada de transporte (TLS, Transport Layer Security) ou utilize a autenticação integrada do Windows. Tal como a camada segura de sockets (SSL, Secure Sockets Layer), o TLS encripta nomes de utilizadores, palavras-passe e dados de mensagens. Tenha em conta que a autenticação integrada do Windows só funciona em cenários em que o computador cliente consegue contactar com um controlador de domínio baseado no Windows para validar as respectivas credenciais. Na maioria das configurações de firewall, este tipo de contacto não é possível. No entanto, as implementações internas do acesso de SMTP (em que o início de sessão não atravessa a Internet) podem utilizar a autenticação integrada do Windows.

Encriptação



A comunicação com segurança melhorada encripta a sessão de SMTP, incluindo o nome de utilizador, a palavra-passe e os dados da mensagem, utilizando a encriptação SSL. É conveniente utilizar o protocolo SSL para todas as ligações de SMTP ao Exchange 2003 que atravessem redes públicas, como a Internet. Tem de instalar um certificado no servidor virtual de SMTP. Pode utilizar uma autoridade de certificação externa ou pode instalar os serviços de certificados na floresta do serviço de directório do Active Directory da Microsoft para instalar um certificado.

Controlo de retransmissão



Por predefinição, quando cria um servidor virtual de SMTP no Exchange 2003, este é configurado para impedir a retransmissão de mensagens de correio electrónico. Repare que se os clientes de POP3 ou IMAP4 não tiverem permissões para retransmitir, os utilizadores não poderão enviar correio de SMTP para domínios externos através do servidor virtual de SMTP. No entanto, se permitir a retransmissão de mensagens, um utilizador poderá ser usado para propagar mensagens de correio electrónico comercial não solicitado. Quando utiliza as predefinições de retransmissão, apenas os clientes autenticados poderão retransmitir mensagens através do servidor virtual de SMTP. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
319278 How to secure Internet Message Access Protocol client access in Exchange 2000

Criar um novo servidor virtual de SMTP

  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Clique com o botão direito do rato em SMTP, aponte para Novo e clique em Servidor virtual de SMTP.
  4. Na caixa Nome, escreva o nome do servidor virtual e clique em Seguinte.
  5. Clique no endereço IP que pretende utilizar e clique em Concluir.
  6. Depois de criar o servidor virtual de SMTP, confirme se o novo servidor virtual está a utilizar o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) correcto. Para o fazer:
    1. Clique com o botão direito do rato no servidor virtual de SMTP criado e clique em Propriedades.
    2. Clique no separador Entrega e, em seguida, clique em Avançadas.
    3. Confirme se o nome de domínio na caixa Nome de domínio completo corresponde ao nome que os utilizadores escreveram quando configuraram o software cliente para entregar correio de SMTP. Para confirmar se o nome de domínio resolve correctamente, clique em Verificar DNS.
    4. Clique em OK e, em seguida, clique em OK.
Nota: se estiver a configurar um servidor virtual de SMTP para clientes que acedem a este servidor virtual de SMTP através da Internet, poderá ter de configurar servidores de DNS externos porque o FQDN do servidor virtual de SMTP tem de resolver para um endereço da Internet externo. Para o fazer, clique em Configurar na caixa de diálogo Entrega avançada, clique em Adicionar e escreva o endereço IP do servidor de DNS externo. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
326992 As mensagens de correio SMTP de saída não são enviadas


Configurar restrições de endereços IP

Para configurar restrições de endereços IP:
  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do rato em Servidor virtual de SMTP predefinido e clique em Propriedades.
  4. Clique no separador Acesso e clique em Ligação.
  5. Na caixa de diálogo Ligação, clique em Só a lista abaixo.

    Deste modo, apenas os endereços IP e os domínios listados têm permissão para ligar ao servidor virtual de SMTP.
  6. Clique em Adicionar e efectue um dos seguintes procedimentos para adicionar um único computador, um grupo de computadores, ou um domínio, conforme a situação:
    • Para adicionar um único computador, clique em Computador individual, escreva o endereço IP do servidor de processamento de mensagens de correio electrónico do fornecedor de serviços Internet (ISP, Internet Service Provider) na caixa Endereço IP e clique em OK.

      Como alternativa, clique em Pesquisa de DNS, escreva um nome de anfitrião e clique em OK.
    • Para adicionar um grupo de computadores, clique em Grupo de computadores, escreva o endereço de sub-rede e a máscara de sub-rede do grupo nas caixas correspondentes e clique em OK.

      A Microsoft recomenda esta opção se o seu ISP tiver tendência para alterar o endereço IP do servidor de processamento de mensagens de correio electrónico, sem avisar.
    • Para adicionar um domínio, clique em Domínio, escreva o nome do domínio que pretende adicionar na caixa Nome e clique em OK.

      Tenha em atenção que esta opção necessita de uma pesquisa inversa de DNS para cada ligação de entrada. Este requisito pode afectar de forma adversa o desempenho do servidor do Exchange. Para obter mais informações, consulte a secção Resolução de problemas, mais abaixo neste artigo.

Configurar o controlo de acesso

Para configurar o controlo de acesso:
  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do rato no servidor virtual de SMTP e clique em Propriedades.
  4. Clique no separador Acesso e clique em Autenticação.

    Por predefinição, o acesso anónimo está desactivado e a autenticação base e a autenticação integrada do Windows estão activadas. Configure o servidor virtual de SMTP para utilizar a autenticação base com encriptação TLS ou autenticação integrada do Windows e clique em OK.
Nota: também tem de activar o início de sessão utilizando a opção Autenticação por palavra-passe segura do software cliente de SMTP. Para o fazer no Microsoft Outlook Express:
  1. Inicie o Outlook Express.
  2. No menu Ferramentas, clique em Contas.
  3. Clique no separador Correio e clique em Propriedades.
  4. Clique no separador Servidores, clique para seleccionar a caixa de verificação Iniciar sessão com autenticação por palavra-passe segura, clique em OK e clique em Fechar.
    Repare que o nome de utilizador e a palavra-passe são encriptados. Os dados da mensagem não são encriptados.

Configurar a encriptação

Para configurar a encriptação:
  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do rato no servidor virtual de SMTP e clique em Propriedades.
  4. Clique no separador Acesso e clique em Certificado. O Assistente de certificados de servidor da Web é iniciado.
  5. Clique em Seguinte.
  6. Siga as instruções das restantes páginas do assistente para criar um novo certificado ou para atribuir um certificado existente.
Depois de ter o certificado instalado no servidor, configure o método de comunicações. Para o fazer:
  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do rato no servidor virtual de SMTP e clique em Propriedades.
  4. Clique no separador Acesso e clique em Comunicação.
  5. Clique para seleccionar a caixa de verificação Exigir canal seguro.
  6. Se o computador do Exchange 2003 e o do cliente suportarem encriptação de 128 bits, clique em Exigir encriptação de 128 bits.
  7. Clique em OK e, em seguida, clique em OK.
  8. Pare e reinicie o servidor virtual de SMTP.
Se os clientes estiverem a utilizar o Outlook Express, configure o Outlook Express para utilizar SSL. Para o fazer:
  1. Inicie o Outlook Express.
  2. No menu Ferramentas, clique em Contas.
  3. Clique no separador Correio.
  4. Faça duplo clique na conta de correio do Exchange Server e clique no separador Avançadas.
  5. Em Correio a enviar (SMTP), clique para seleccionar a caixa de verificação Este servidor requer uma ligação segura (SSL).
  6. Clique em OK e, em seguida, clique em Fechar.

Configurar a retransmissão

Para configurar a retransmissão:
  1. Clique em Iniciar, aponte para Programas, aponte para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos administrativos (se adequado), expanda GrupoAdministrativo (se adequado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do rato no servidor virtual de SMTP e clique em Propriedades.
  4. Clique no separador Acesso e clique em Transmissão.

    As predefinições permitem que os clientes autenticados retransmitam mensagens. Normalmente, estas definições são suficientes para que só clientes com as credenciais correctas possam retransmitir mensagens através do servidor virtual de SMTP. Também pode restringir as permissões de retransmissão a endereços IP únicos, intervalos de endereços IP ou sufixos de DNS.
  5. Clique em OK.

Testar se as definições configuradas no servidor virtual de SMTP funcionam correctamente

Para testar se as definições configuradas no servidor virtual de SMTP funcionam correctamente:
  • Para confirmar se as restrições de IP funcionam correctamente, utilize um cliente do POP3 e um cliente do IMAP4 para tentar ligar ao servidor a partir de um endereço IP excluído. Se as restrições IP estiverem correctamente configuradas, receberá uma mensagem a informar que uma ligação ao servidor foi rejeitada.
  • Para verificar a encriptação de autenticação:
    1. Execute o Monitor de rede no computador do Exchange 2003 e utilize as predefinições de autenticação para iniciar uma sessão de SMTP a partir do cliente enquanto captura o tráfego enviado do computador com o Exchange 2003.
    2. Observe a sessão de SMTP e anote os pacotes enviados pelo cliente para o servidor na porta 25 (0019h).

      Repare que o nome de início de sessão do utilizador e a palavra-passe são enviados em texto simples.
    3. Remova o suporte de autenticação base, configure o cliente para exigir Autenticação por palavra-passe segura, inicie outra sessão de SMTP a partir do cliente e capture o tráfego no Monitor de rede.

      A conta de utilizador e a palavra-passe agora estão encriptadas.
  • Para testar a encriptação SSL:
    1. Adicione um certificado, configure as definições para um canal com segurança melhorada no servidor virtual de SMTP e configure o cliente para utilizar SSL.
    2. Inicie uma captura do Monitor de rede e inicie uma sessão de recolha de correio do SMTP a partir do cliente.
    3. Pare a captura e examine os pacotes enviados.

      Repare que todos os pacotes do cliente para o servidor na porta 25 (0019h) estão encriptados.
    Nota: se não tiver activado a encriptação na recolha de correio do POP3 ou do IMAP4, poderá visualizar alguns pacotes não encriptados do cliente para a porta 110 (006Eh) ou porta 143 (008Fh).
  • Para testar se as restrições de retransmissão funcionam correctamente, envie correio de um endereço IP excluído para um domínio externo. Receberá uma mensagem de erro a indicar que não foi possível ao servidor retransmitir para o endereço do destinatário.

Resolução de problemas

Quaisquer restrições baseadas na pesquisa de DNS podem afectar de forma adversa o desempenho do computador com o Exchange 2003. Uma vez que o servidor executa uma pesquisa inversa de DNS em cada ligação de entrada, tem de existir uma zona de pesquisa inversa de DNS disponível e o anfitrião remetente tem de estar registado nessa zona.

Referências

Para obter mais informações sobre o Exchange Server 2003, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/exchange/library

Propriedades

Artigo: 823019 - Última revisão: 26 de novembro de 2007 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbhowto KB823019

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com