ID do artigo: 823019 - �ltima revis�o: segunda-feira, 26 de novembro de 2007 - Revis�o: 1.4

Como ajudar a enviar uma mensagem de cliente SMTP com seguran�a no Exchange 2003

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Este artigo descreve como configurar as configura��es de seguran�a para conex�es SMTP cliente de entrada para os computadores com o Exchange 2003. Estas configura��es permitem que os usu�rios autentiquem e recebam material potencialmente sens�vel e ajudem a evitar que o nome de usu�rio, a senha ou o conte�do da mensagem sejam interceptados. Pode haver usu�rios que precisem usar o POP3 (Post Office Protocol 3) ou o IMAP4 (Internet Message Access Protocol 4) para conectar ao computador com o Exchange 2003. Os dois produtos confiam no SMTP para enviar mensagens.

Observa��o Em uma instala��o padr�o do Exchange 2003, n�o � necess�rio configurar op��es adicionais para clientes POP3 ou IMAP4 que conectam a um servidor. Este artigo descreve algumas configura��es de seguran�a padr�o e cont�m informa��es sobre as op��es adicionais dispon�veis no Exchange 2003.

Voltar para o in�cio

Considera��es

Observe as seguintes considera��es que se aplicam a:

Cria��o de um servidor virtual SMTP adicional.

Crie um novo servidor virtual SMTP para se usado nas conex�es de cliente de entrada.

Controle de conex�o

O controle de conex�o restringe conex�es com base no endere�o IP ou no nome do dom�nio, incluindo consultas de DNS reversas. As op��es de controle de conex�o n�o criptografam senhas ou dados de mensagem.

Controle de acesso

� poss�vel configurar as autentica��es b�sica, an�nima ou integrada com o Windows (antes chamada de NTLM ou autentica��o de desafio/resposta do Windows NT). Porque a autentica��o b�sica envia nomes de usu�rio e senhas em texto n�o criptografado, ela n�o � segura. Para habilitar a criptografia dos nomes de usu�rio e senhas, use a autentica��o b�sica com o protocolo TLS ou use a autentica��o integrada do Windows. Assim como o SSL, o protocolo TLS criptografa nomes de usu�rio, senhas e dados da mensagem. A autentica��o integrada do Windows s� funciona nas situa��es em que o computador cliente pode contatar um controlador de dom�nio com base no Windows para validar suas credenciais. N maioria das configura��es de firewall, este contato n�o ocorre. No entanto, as implementa��es internas de acesso SMTP (no qual a sess�o de logon n�o atravessa a Internet) podem usar a autentica��o integrada do Windows.

Criptografia

A comunica��o com seguran�a avan�ada criptografa a sess�o SMTP, incluindo o nome de usu�rio, a senha e os dados da mensagem usando a criptografia SSL. � recomend�vel usar o SSL para todas as conex�es SMTP para o Exchange 2003 que cruzem redes p�blicas como a Internet. � necess�rio instalar um certificado no servidor virtual SMTP. � poss�vel usar uma autoridade de certifica��o externa ou instalar os Servi�os de Certificado na floresta do Active Directory para instalar um certificado.

Controle de retransmiss�o

Por padr�o, ao criar um servidor virtual SMTP no Exchange 2003, ele � configurado para evitar a retransmiss�o de emails. Observe que ser os clientes POP3 ou IMAP4 n�o tiverem permiss�es para retransmiss�o, os usu�rios n�o poder�o enviar emails SMTP para os dom�nios externos pelo servidor virtual SMTP. No entanto, se voc� permitir a retransmiss�o de mensagens, um usu�rio poder� ser usado para divulgar emails comerciais n�o solicitados (lixo eletr�nico). Ao usar uma configura��o de retransmiss�o padr�o, apenas clientes autenticados poder�o retransmitir mensagens pelo servidor virtual SMTP. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a p�gina pode estar em ingl�s):

319278� (http://support.microsoft.com/kb/319278/ ) Como tornar seguro o acesso de cliente IMAP no Exchange 2000

Voltar para o in�cio

Criar um novo servidor virtual SMTP

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Clique com o bot�o direito do mouse em SMTP, aponte para Novo e clique em SMTP Virtual Server.
Na caixa Name, digite seu nome de usu�rio e clique em Avan�ar.
Clique no endere�o IP que deseja usar e em Concluir.
Ap�s a cria��o do servidor virtual SMTP, confirme se o novo servidor virtual est� usando o FQDN (nome de dom�nio totalmente qualificado). Para fazer isto:
1. Clique com o bot�o direito do mouse no servidor virtual SMTP criado e clique em Propriedades.
2. Clique na guia Delivery e em Advanced.
3. Confirme se o nome de dom�nio na caixa Fully-qualified domain name corresponde aos nomes que os usu�rios digitam ao configurar o software cliente para entregar o email SMTP. Para confirmar se o nome de dom�nio resolve o problema corretamente, clique em Check DNS.
4. Clique em OK e clique em OK.

Observa��o Se voc� estiver configurando um servidor virtual SMTP para clientes que acessam este servidor pela Internet, pode ser necess�rio configurar os servidores DNS externos, pois o FQDN para o servidor virtual SMTP deve resolver para um endere�o de Internet externo. Para fazer isto, clique em Configure na caixa de di�logo Advanced Delivery, clique em Add e digite o endere�o IP para o servidor DNS externo. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a p�gina pode estar em ingl�s):

326992� (http://support.microsoft.com/kb/326992/ ) Emails SMTP de sa�da n�o s�o enviados

Voltar para o in�cio

Configurar restri��es de endere�o IP

Para configurar restri��es de endere�o IP:

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Expanda SMTP, clique com o bot�o direito do mouse em Default SMTP Virtual Server e clique em Properties.
Clique na guia Access e em Connection.
Na caixa de di�logo Connection , clique em Only the list below.

Isso indica que somente os endere�os IP e os dom�nios na lista t�m permiss�o de se conectar ao servidor virtual SMTP.
Clique em Add e execute uma das seguintes etapas para adicionar um �nico computador, um grupo de computadores ou um dom�nio, conforme arpopriado � situa��o:
- Para adicionar um �nico computador, clique em Single computer, digite o endere�o IP do servidor de email do provedor na caixa IP address e clique em OK.
  
  Al�m disso, clique em DNS Lookup, digite um nome de host e clique em OK.
- Para adicionar um grupo de computadores, clique em Group of computers, digite o endere�o de sub-rede e a m�scara de sub-rede do grupo nas caixas correspondentes e clique em OK.
  
  A Microsoft recomenda esta op��o se o provedor tiver uma tend�ncia a alterar, sem aviso, o endere�o IP de seu servidor de email.
- Para adicionar um dom�nio, clique em Domain, digite o nome do dom�nio desejado na caixa Name e clique em OK.
  
  Observe que essa op��o requer uma pesquisa de DNS inversa em cada conex�o de entrada. Esse requisito pode afetar desfavoravelmente o desempenho do servidor do Exchange. Para obter mais informa��es, consulte a se��o Solu��o de problemas mais adiante neste artigo.

Voltar para o in�cio

Configurar o controle de acesso

Para configurar o controle de acesso:

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Expanda SMTP, clique com o bot�o direito do mouse em no servidor virtual SMTP e clique em Propriedades.
Clique na guia Access e em Authentication.

Por padr�o, o acesso an�nimo est� desabilitado e, as autentica��es b�sicas e integradas do Windows, s�o habilitadas. Configure o servidor virtual SMTP para usar a autentica��o b�sica com a criptografia TLS ou a autentica��o integrada do Windows, e clique em OK.

Observa��o Tamb�m � necess�rio habilitar o logon usando a op��o Autentica��o de senha de seguran�a (SPA) no software cliente SMTP. Para fazer isto no Microsoft Outlook Express:

Inicie o Outlook Express.
No menu Ferramentas, clique em Contas.
Clique na guia Email e clique em Propriedades.
Clique na guia Servidores, marque a caixa de sele��o Fazer logon usando autentica��o de senha de seguran�a, clique em OK e em Fechar.
Observe que o nome do usu�rio e a senha est�o criptografados. Os dados da mensagem n�o est�o criptografados.

Voltar para o in�cio

Configurar a criptografia

Para configurar a criptografia:

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Expanda SMTP, clique com o bot�o direito do mouse em no servidor virtual SMTP e clique em Propriedades.
Clique na guia Access e em Certificate. O Assistente de certificado de servidor Web inicia.
Clique em Avan�ar.
Execute as instru��es nas p�ginas restantes do assistente para criar um novo certificado ou para atribuir um existente.

Ap�s o certificado ser instalado no servidor, configure o m�todo de comunica��es. Para fazer isto:

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Expanda SMTP, clique com o bot�o direito do mouse em no servidor virtual SMTP e clique em Propriedades.
Clique na guia Access e em Communication.
Marque a caixa de sele��o Require secure channel .
Se o computador com o Exchange 2003 e os clientes forem compat�veis com a criptografia de 128 bits, clique em Require 128-bit encryption.
Clique em OK e clique em OK.
Pare e reinicie o servidor virtual SMTP.

Se os clientes estiverem usando o Outlook Express, configure-o para usar o SSL. Para fazer isto:

Inicie o Outlook Express.
No menu Ferramentas, clique em Contas.
Clique na guia Email.
Clique duas vezes na conta de email do Exchange Server e clique na guia Avan�ado.
Em Email de sa�da (SMTP), marque a caixa de verifica��o Este servidor requer uma conex�o de seguran�a (SSL).
Clique em OK e em OK novamente.

Voltar para o in�cio

Configurar a retransmiss�o

Para configurar a retransmiss�o:

Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
Expanda SMTP, clique com o bot�o direito do mouse em no servidor virtual SMTP e clique em Propriedades.
Clique na guia Access e em Relay.

As configura��es padr�o permitem que clientes autenticados retransmitam mensagens. Normalmente, estas configura��es s�o suficientes para que apenas os clientes com credenciais corretas retransmitam mensagens pelo servidor virtual SMTP. Tamb�m � poss�vel restringir as permiss�es de retransmiss�o para endere�os IP, intervalos de endere�o IP ou sufixos DNS �nicos.
Clique em OK.

Voltar para o in�cio

Testar se as configura��es do servidor virtual SMTP funcionam corretamente

Para testar se as configura��es do servidor virtual SMTP funcionam corretamente:

Para confirmar se as restri��es de IP funcionam corretamente, use um cliente POP3 e um IMAP4 para tentar estabelecer a conex�o com o servidor a partir de um endere�o IP exclu�do. Se as restri��es de IP estiverem configuradas corretamente, voc� receber� uma mensagem informando que a conex�o com o servidor foi recusada.
Para verificar a criptografia de autentica��o:
1. Execute o monitor de rede no computador com o Exchange 2003 e use as configura��es de autentica��o padr�o para iniciar uma sess�o SMTP do cliente enquanto voc� captura o tr�fego que est� entrando no computador com o Exchange 2003.
2. Revise a sess�o SMTP e anote os pacotes do cliente para o servidor na porta 25 (0019h).
  
  Observe que o nome de logon do usu�rio e a senha est�o sendo enviados em texto n�o criptografado.
3. Remova o suporte para a autentica��o b�sica, configure o cliente para requerer a Autentica��o de senha de seguran�a (SPA), inicie outra sess�o SMTP do cliente e capture o tr�fego no monitor de rede.
  
  A conta de usu�rio e senha agora est�o criptografados.
Para testar a criptografia SSL:
1. Adicione um certificado, configure as configura��es de modo que voc� requeira um canal seguro no servidor virtual SMTP e configure o cliente para usar o SSL.
2. Inicie uma captura de monitor de rede e uma sess�o de conjunto de email SMTP do cliente.
3. Interrompa a captura e examine os pacotes enviados.
  
  Observe que todos os cliente para os pacotes de servidor com um destino de porta 25 (0019h) s�o criptografados.
Observa��o Se voc� n�o estiver habilitado para criptografar no conjunto de email POP3 ou IMAP4 , ainda ser� poss�vel ver alguns pacotes n�o criptografados pelo cliente destinado para a porta 110 (006Eh) ou para a porta 143 (008Fh).
Para testar se as restri��es de retransmiss�o funcionam corretamente, envie um email de um endere�o IP exclu�do para um dom�nio externo. Uma mensagem de erro afirmando que o servidor n�o p�de retransmitir para o endere�o do destinat�rio � exibida.

Voltar para o in�cio

Solu��o de problemas

Todas as restri��es com base na consulta DNS podem afetar inversamente o desempenho do computador com o Exchange 2003. Como o servidor realiza uma pesquisa de DNS inversa em cada conex�o de entrada, uma zona de pesquisa de DNS inversa deve estar dispon�vel, sendo que o host de envio deve ser registrado com essa zona.

Voltar para o in�cio