Como ajudar a enviar uma mensagem de cliente SMTP com segurança no Exchange 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 823019 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como configurar as configurações de segurança para conexões SMTP cliente de entrada para os computadores com o Exchange 2003. Estas configurações permitem que os usuários autentiquem e recebam material potencialmente sensível e ajudem a evitar que o nome de usuário, a senha ou o conteúdo da mensagem sejam interceptados. Pode haver usuários que precisem usar o POP3 (Post Office Protocol 3) ou o IMAP4 (Internet Message Access Protocol 4) para conectar ao computador com o Exchange 2003. Os dois produtos confiam no SMTP para enviar mensagens.

Observação Em uma instalação padrão do Exchange 2003, não é necessário configurar opções adicionais para clientes POP3 ou IMAP4 que conectam a um servidor. Este artigo descreve algumas configurações de segurança padrão e contém informações sobre as opções adicionais disponíveis no Exchange 2003.

Considerações

Observe as seguintes considerações que se aplicam a:

Criação de um servidor virtual SMTP adicional.



Crie um novo servidor virtual SMTP para se usado nas conexões de cliente de entrada.

Controle de conexão



O controle de conexão restringe conexões com base no endereço IP ou no nome do domínio, incluindo consultas de DNS reversas. As opções de controle de conexão não criptografam senhas ou dados de mensagem.

Controle de acesso



É possível configurar as autenticações básica, anônima ou integrada com o Windows (antes chamada de NTLM ou autenticação de desafio/resposta do Windows NT). Porque a autenticação básica envia nomes de usuário e senhas em texto não criptografado, ela não é segura. Para habilitar a criptografia dos nomes de usuário e senhas, use a autenticação básica com o protocolo TLS ou use a autenticação integrada do Windows. Assim como o SSL, o protocolo TLS criptografa nomes de usuário, senhas e dados da mensagem. A autenticação integrada do Windows só funciona nas situações em que o computador cliente pode contatar um controlador de domínio com base no Windows para validar suas credenciais. N maioria das configurações de firewall, este contato não ocorre. No entanto, as implementações internas de acesso SMTP (no qual a sessão de logon não atravessa a Internet) podem usar a autenticação integrada do Windows.

Criptografia



A comunicação com segurança avançada criptografa a sessão SMTP, incluindo o nome de usuário, a senha e os dados da mensagem usando a criptografia SSL. É recomendável usar o SSL para todas as conexões SMTP para o Exchange 2003 que cruzem redes públicas como a Internet. É necessário instalar um certificado no servidor virtual SMTP. É possível usar uma autoridade de certificação externa ou instalar os Serviços de Certificado na floresta do Active Directory para instalar um certificado.

Controle de retransmissão



Por padrão, ao criar um servidor virtual SMTP no Exchange 2003, ele é configurado para evitar a retransmissão de emails. Observe que ser os clientes POP3 ou IMAP4 não tiverem permissões para retransmissão, os usuários não poderão enviar emails SMTP para os domínios externos pelo servidor virtual SMTP. No entanto, se você permitir a retransmissão de mensagens, um usuário poderá ser usado para divulgar emails comerciais não solicitados (lixo eletrônico). Ao usar uma configuração de retransmissão padrão, apenas clientes autenticados poderão retransmitir mensagens pelo servidor virtual SMTP. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
319278 Como tornar seguro o acesso de cliente IMAP no Exchange 2000

Criar um novo servidor virtual SMTP

  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Clique com o botão direito do mouse em SMTP, aponte para Novo e clique em SMTP Virtual Server.
  4. Na caixa Name, digite seu nome de usuário e clique em Avançar.
  5. Clique no endereço IP que deseja usar e em Concluir.
  6. Após a criação do servidor virtual SMTP, confirme se o novo servidor virtual está usando o FQDN (nome de domínio totalmente qualificado). Para fazer isto:
    1. Clique com o botão direito do mouse no servidor virtual SMTP criado e clique em Propriedades.
    2. Clique na guia Delivery e em Advanced.
    3. Confirme se o nome de domínio na caixa Fully-qualified domain name corresponde aos nomes que os usuários digitam ao configurar o software cliente para entregar o email SMTP. Para confirmar se o nome de domínio resolve o problema corretamente, clique em Check DNS.
    4. Clique em OK e clique em OK.
Observação Se você estiver configurando um servidor virtual SMTP para clientes que acessam este servidor pela Internet, pode ser necessário configurar os servidores DNS externos, pois o FQDN para o servidor virtual SMTP deve resolver para um endereço de Internet externo. Para fazer isto, clique em Configure na caixa de diálogo Advanced Delivery, clique em Add e digite o endereço IP para o servidor DNS externo. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
326992 Emails SMTP de saída não são enviados


Configurar restrições de endereço IP

Para configurar restrições de endereço IP:
  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do mouse em Default SMTP Virtual Server e clique em Properties.
  4. Clique na guia Access e em Connection.
  5. Na caixa de diálogo Connection , clique em Only the list below.

    Isso indica que somente os endereços IP e os domínios na lista têm permissão de se conectar ao servidor virtual SMTP.
  6. Clique em Add e execute uma das seguintes etapas para adicionar um único computador, um grupo de computadores ou um domínio, conforme arpopriado à situação:
    • Para adicionar um único computador, clique em Single computer, digite o endereço IP do servidor de email do provedor na caixa IP address e clique em OK.

      Além disso, clique em DNS Lookup, digite um nome de host e clique em OK.
    • Para adicionar um grupo de computadores, clique em Group of computers, digite o endereço de sub-rede e a máscara de sub-rede do grupo nas caixas correspondentes e clique em OK.

      A Microsoft recomenda esta opção se o provedor tiver uma tendência a alterar, sem aviso, o endereço IP de seu servidor de email.
    • Para adicionar um domínio, clique em Domain, digite o nome do domínio desejado na caixa Name e clique em OK.

      Observe que essa opção requer uma pesquisa de DNS inversa em cada conexão de entrada. Esse requisito pode afetar desfavoravelmente o desempenho do servidor do Exchange. Para obter mais informações, consulte a seção Solução de problemas mais adiante neste artigo.

Configurar o controle de acesso

Para configurar o controle de acesso:
  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do mouse em no servidor virtual SMTP e clique em Propriedades.
  4. Clique na guia Access e em Authentication.

    Por padrão, o acesso anônimo está desabilitado e, as autenticações básicas e integradas do Windows, são habilitadas. Configure o servidor virtual SMTP para usar a autenticação básica com a criptografia TLS ou a autenticação integrada do Windows, e clique em OK.
Observação Também é necessário habilitar o logon usando a opção Autenticação de senha de segurança (SPA) no software cliente SMTP. Para fazer isto no Microsoft Outlook Express:
  1. Inicie o Outlook Express.
  2. No menu Ferramentas, clique em Contas.
  3. Clique na guia Email e clique em Propriedades.
  4. Clique na guia Servidores, marque a caixa de seleção Fazer logon usando autenticação de senha de segurança, clique em OK e em Fechar.
    Observe que o nome do usuário e a senha estão criptografados. Os dados da mensagem não estão criptografados.

Configurar a criptografia

Para configurar a criptografia:
  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do mouse em no servidor virtual SMTP e clique em Propriedades.
  4. Clique na guia Access e em Certificate. O Assistente de certificado de servidor Web inicia.
  5. Clique em Avançar.
  6. Execute as instruções nas páginas restantes do assistente para criar um novo certificado ou para atribuir um existente.
Após o certificado ser instalado no servidor, configure o método de comunicações. Para fazer isto:
  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do mouse em no servidor virtual SMTP e clique em Propriedades.
  4. Clique na guia Access e em Communication.
  5. Marque a caixa de seleção Require secure channel .
  6. Se o computador com o Exchange 2003 e os clientes forem compatíveis com a criptografia de 128 bits, clique em Require 128-bit encryption.
  7. Clique em OK e clique em OK.
  8. Pare e reinicie o servidor virtual SMTP.
Se os clientes estiverem usando o Outlook Express, configure-o para usar o SSL. Para fazer isto:
  1. Inicie o Outlook Express.
  2. No menu Ferramentas, clique em Contas.
  3. Clique na guia Email.
  4. Clique duas vezes na conta de email do Exchange Server e clique na guia Avançado.
  5. Em Email de saída (SMTP), marque a caixa de verificação Este servidor requer uma conexão de segurança (SSL).
  6. Clique em OK e em OK novamente.

Configurar a retransmissão

Para configurar a retransmissão:
  1. Clique em Iniciar, aponte para Todos os programas, para Microsoft Exchange e clique em System Manager.
  2. Expanda Grupos_administrativos (se apropriado), expanda Grupo_administrativo (se apropriado), expanda Servers, expanda Nome_do_servidor e expanda Protocols.
  3. Expanda SMTP, clique com o botão direito do mouse em no servidor virtual SMTP e clique em Propriedades.
  4. Clique na guia Access e em Relay.

    As configurações padrão permitem que clientes autenticados retransmitam mensagens. Normalmente, estas configurações são suficientes para que apenas os clientes com credenciais corretas retransmitam mensagens pelo servidor virtual SMTP. Também é possível restringir as permissões de retransmissão para endereços IP, intervalos de endereço IP ou sufixos DNS únicos.
  5. Clique em OK.

Testar se as configurações do servidor virtual SMTP funcionam corretamente

Para testar se as configurações do servidor virtual SMTP funcionam corretamente:
  • Para confirmar se as restrições de IP funcionam corretamente, use um cliente POP3 e um IMAP4 para tentar estabelecer a conexão com o servidor a partir de um endereço IP excluído. Se as restrições de IP estiverem configuradas corretamente, você receberá uma mensagem informando que a conexão com o servidor foi recusada.
  • Para verificar a criptografia de autenticação:
    1. Execute o monitor de rede no computador com o Exchange 2003 e use as configurações de autenticação padrão para iniciar uma sessão SMTP do cliente enquanto você captura o tráfego que está entrando no computador com o Exchange 2003.
    2. Revise a sessão SMTP e anote os pacotes do cliente para o servidor na porta 25 (0019h).

      Observe que o nome de logon do usuário e a senha estão sendo enviados em texto não criptografado.
    3. Remova o suporte para a autenticação básica, configure o cliente para requerer a Autenticação de senha de segurança (SPA), inicie outra sessão SMTP do cliente e capture o tráfego no monitor de rede.

      A conta de usuário e senha agora estão criptografados.
  • Para testar a criptografia SSL:
    1. Adicione um certificado, configure as configurações de modo que você requeira um canal seguro no servidor virtual SMTP e configure o cliente para usar o SSL.
    2. Inicie uma captura de monitor de rede e uma sessão de conjunto de email SMTP do cliente.
    3. Interrompa a captura e examine os pacotes enviados.

      Observe que todos os cliente para os pacotes de servidor com um destino de porta 25 (0019h) são criptografados.
    Observação Se você não estiver habilitado para criptografar no conjunto de email POP3 ou IMAP4 , ainda será possível ver alguns pacotes não criptografados pelo cliente destinado para a porta 110 (006Eh) ou para a porta 143 (008Fh).
  • Para testar se as restrições de retransmissão funcionam corretamente, envie um email de um endereço IP excluído para um domínio externo. Uma mensagem de erro afirmando que o servidor não pôde retransmitir para o endereço do destinatário é exibida.

Solução de problemas

Todas as restrições com base na consulta DNS podem afetar inversamente o desempenho do computador com o Exchange 2003. Como o servidor realiza uma pesquisa de DNS inversa em cada conexão de entrada, uma zona de pesquisa de DNS inversa deve estar disponível, sendo que o host de envio deve ser registrado com essa zona.

Referências

Para obter mais informações sobre o Exchange Server 2003, visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/exchange/library

Propriedades

ID do artigo: 823019 - Última revisão: segunda-feira, 26 de novembro de 2007 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbhowto KB823019

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com