Jak chránit SMTP komunikaci pomocí protokolu Transport Layer Security v Exchange Server

Souhrn

Tento článek obsahuje informace o tom, jak zvýšit zabezpečení komunikace Simple Mail Transfer Protocol (SMTP) v Microsoft Exchange Server 2003 a Microsoft Exchange 2000 Server pomocí protokolu zabezpečení TLS (Transport Layer).

Použití protokolu zabezpečení TLS (Transport Layer) přes SMTP nabízí ověřování založené na certifikátech a pomáhá zajistit zabezpečené datové přenosy pomocí symetrických šifrovacích klíčů. V šifrování symetrického klíče (označovaný také jako sdílený tajný klíč) se používá stejný klíč k šifrování a dešifrování zprávy. TLS lze použít základě Hash zpráva ověřování kódu (HMAC). HMAC používá algoritmus hash v kombinaci s sdíleného tajného klíče k pomoci zajistit, že data nebyla změněna během přenosu. Sdílený tajný klíč je připojen k dat chcete použít algoritmus hash. To pomáhá zvýšit zabezpečení algoritmu hash, protože obě strany musejí mít stejného sdíleného tajného klíče k ověření, že data jsou platná.


Certifikát X.509 server je digitální formu identifikace, který je obvykle vydán certifikační autoritou (CA) a obsahuje identifikační informace, doba platnosti, veřejný klíč, sériové číslo a digitální podpis vystavitele. Můžete chránit komunikace zvýšením úrovně šifrování dvojici klíčů ze 40 bitů (výchozí) na 128 bitů. Čím větší počet bitů, tím složitější je položka dešifrovat. Z důvodů vývozních omezení je funkce šifrování 128bitovým klíčem k dispozici pouze ve Spojených státech a Kanadě.

Podrobnější informace naleznete na následujících webech IETF Internet Engineering Task Force () a zobrazení následující požadavky for Comments (RFC):Při konfiguraci virtuálních serverů, které vyžadují základní ověřování, důrazně doporučujeme použít také šifrování TLS. Bez šifrování uživatelská jména a hesla mohou být snadno zachycena. Uživatelé, kteří se pokusí získat přístup musí používat stejnou úroveň zabezpečení, které jste nastavili; jinak jsou vraceny a je generována nedoručení zprávy (NDR).


Protokol TLS je určen k ochraně odchozí zprávy, ale TLS nechrání data přenášená z klientů k serveru. Tyto klienty patří zejména Microsoft Outlook Web Access (OWA), POP3 a IMAP4. Chcete-li tento problém vyřešit, můžete povolit použití z protokol SSL (Secure Sockets Layer) protokolem SSL pomocí aplikace Outlook Web Access. Můžete také navrhnout, aby uživatelé POP3 nebo IMAP4 pomocí klienta, který podporuje protokol SSL s protokoly POP3 a IMAP4 (například Microsoft Outlook Express).

Jak šifrování přepravy vrstvy zabezpečení pro klienty

Chcete-li vyžadovat šifrování TLS pro klienty, postupujte takto:
  1. Vytvoření a správě certifikátů klíčů. Chcete-li to provést, postupujte takto:
    1. Certifikát X.509 server nainstalujte na server. Další informace o X.509 certifikáty, klepněte na následující číslo článku databáze Microsoft Knowledge Base:

      319574 způsob použití certifikátů na virtuálních serverech serveru Exchange 2000 Server

    2. Spusťte správce Exchange System Manager.
    3. Rozbalte položku Exchange Server klepněte protokoly, klepněte na tlačítko SMTP, klepněte pravým tlačítkem myši na Virtuální Server SMTPa potom klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu přístup a klepněte na certifikát , nastavení nové certifikáty s klíčem a správě certifikátů klíčů, které jsou nainstalovány pro virtuální server SMTP.
  2. Nastavení úrovní šifrování TLS na serveru. Chcete-li to provést, postupujte takto:
    1. Spusťte správce Exchange System Manager.
    2. Klepněte pravým tlačítkem myši na Virtuální Server SMTPa pak klepněte na příkaz Vlastnosti.
    3. Klepněte na kartu přístup a potom klepněte na tlačítko ověřování.
    4. Klepnutím zaškrtněte políčko Základní ověřování , zaškrtněte políčko šifrování TLS požaduje a klepněte na tlačítko OK.

Povolení přepravy vrstvy zabezpečení šifrování pro určitou vzdálenou doménu v organizaci Exchange

Chcete-li povolit šifrování TLS pro určitou vzdálenou doménu v Exchange Server, postupujte takto:
  1. Certifikát X.509 server nainstalujte na server. Další informace o X.509 certifikáty, klepněte na následující číslo článku databáze Microsoft Knowledge Base:

    319574 způsob použití certifikátů na virtuálních serverech serveru Exchange 2000 Server

  2. Vytvořte nový konektor SMTP. Další informace o tom, jak vytvořit nový konektor SMTP klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    314961 postup instalace a konfigurace SMTP konektory na serveru Exchange 2000 Server

  3. Chcete-li povolit šifrování TLS, klepněte pravým tlačítkem myši konektor SMTP a potom klepněte na příkaz Vlastnosti. Klepněte na kartu Upřesnit , klepněte na tlačítko Výstupní zabezpečenía potom klepnutím zaškrtněte políčko Šifrování TLS .
Poznámka: Pokud vzdálené doméně není šifrování TLS podporováno, všechny zprávy budou vráceny a je vygenerována zpráva o Nedoručení.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

329061 Exchange Server nemůže komunikovat s doménami non-TLS

Povolení přepravy vrstvy zabezpečení šifrování pro všechny odchozí připojení SMTP v Exchange Server

Chcete-li povolit šifrování TLS pro všechny odchozí připojení SMTP, postupujte takto:
  1. Certifikát X.509 Server nainstalujte na server. Další informace o X.509 certifikáty, klepněte na následující číslo článku databáze Microsoft Knowledge Base:

    319574 způsob použití certifikátů na virtuálních serverech serveru Exchange 2000 Server

  2. Spusťte správce Exchange System Manager.
  3. Klepněte pravým tlačítkem myši na Virtuální Server SMTPa pak klepněte na příkaz Vlastnosti.
  4. Na kartě doručování virtuální server SMTP klepněte na tlačítko Výstupní zabezpečenía potom klepnutím zaškrtněte políčko Šifrování TLS .

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

319278 secure Internet Message Access Protocol klientského přístupu na serveru Exchange 2000

282835 šifrované e-mailové zprávy přejít úspěšně nedůvěryhodné příjemce, ale zobrazí se žádné upozornění a události

823019 jak lépe zabezpečené doručování zpráv klienta SMTP na serveru Exchange 2003

Vlastnosti

ID článku: 829721 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor