Al momento sei offline in attesa che la connessione Internet venga ristabilita

Protezione della comunicazione SMTP mediante il protocollo TLS (Transport Layer Security) in Exchange Server

Sommario
In questo articolo vengono riportate informazioni relative a come migliorare la protezione della comunicazione SMTP (Simple Mail Transfer Protocol) in Microsoft Exchange Server 2003 e in Microsoft Exchange 2000 Server tramite il protocollo TLS (Transport Layer Security).

L'utilizzo del protocollo TLS in SMTP offre autenticazione basata sui certificati e consente trasferimenti di dati con protezione avanzata utilizzando chiavi di crittografia simmetriche. Nella crittografia a chiave simmetrica, anche denominato segreto condiviso, la stessa chiave viene utilizzata per crittografare e decrittografare il messaggio. Il protocollo TLS applica il codice HMAC (Hash-based Message Authentication Code). Il codice HMAC utilizza un algoritmo in combinazione con una chiave segreta condivisa per garantire che i dati non sono stati modificati durante la trasmissione. La chiave segreta condivisa viene aggiunta ai dati su cui deve essere eseguito l'hashing. Ciò consente di migliorare la protezione dell'hash dal momento che entrambe le parti devono avere la stessa chiave segreta condivisa per verificare che i dati siano autentici.

Un certificato server X.509 è un modulo digitale di autenticazione che viene in genere rilasciato da un'autorità di certificazione e contiene informazioni identificative, un periodo di validità, una chiave pubblica, un numero di serie e la firma digitale dell'autorità emittente. È possibile aumentare il livello di protezione della comunicazione portando il livello di crittografia da 40 bit (valore predefinito) a 128 bit. Maggiore è il numero di bit, più difficile sarà decrittografare l'elemento. A seguito di limitazioni relative all'esportazione, la funzionalità di crittografia a 128 bit è disponibile solo negli Stati Uniti e in Canada.

Per ulteriori informazioni, visitare i seguenti siti Web IETF, Internet Engineering Task Force, e visualizzare le seguenti RFC (Requests for Comments) (informazioni in lingua inglese): Quando si configurano server virtuali per richiedere autenticazione di base, è consigliabile utilizzare la crittografia TLS. Senza crittografia, i nomi utente e le password possono essere facilmente intercettati. Gli utenti che tentano di accedere devono utilizzare lo stesso livello di crittografia impostato in fase di configurazione. In caso contrario i messaggi verranno restituiti e verrà generato un rapporto di mancato recapito.

Il protocollo TLS è stato progettato per migliorare la protezione dei messaggi in uscita, ma non contribuisce a proteggere il traffico dai client al server. Tali client includono, in particolare, Microsoft Outlook Web Access (OWA), POP3 e IMAP4. Per risolvere questo problema, è possibile attivare l'uso di SSL (Secure Sockets Layer) con Outlook Web Access. È anche possibile suggerire agli utenti POP3 o IMAP4 di utilizzare un client che supporti l'utilizzo di SSL con POP3 e IMAP4, ad esempio, Microsoft Outlook Express.

Richiesta di crittografia TLS (Transport Layer Security) per i client

Per richiedere la crittografia TLS per i client, attenersi alla seguente procedura:
  1. Creare e gestire certificati chiave. A questo scopo, attenersi alla seguente procedura:
    1. Installare sul server un certificato server X.509. Per ulteriori informazioni sui certificati X.509, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      319574 Utilizzo dei certificati con i server virtuali in Exchange 2000 Server
    2. Avviare il Gestore di sistema di Exchange.
    3. Espandere il server di Exchange, fare clic su Protocolli, SMTP, fare clic con il pulsante destro del mouse su Server virtuale SMTP, quindi scegliere Proprietà.
    4. Fare clic sulla scheda Accesso, quindi selezionare Certificato per configurare i nuovi certificati delle chiavi e gestire i certificati installati per il server virtuale SMTP.
  2. Impostare livelli di crittografia TLS per il server. A questo scopo, attenersi alla seguente procedura:
    1. Avviare il Gestore di sistema di Exchange.
    2. Fare clic con il pulsante destro del mouse su Server virtuale SMTP, quindi scegliere Proprietà.
    3. Fare clic sulla scheda Accesso, quindi scegliere Autenticazione.
    4. Selezionare la casella di controllo Autenticazione di base, selezionare la casella di controllo Richiedi crittografia TLS, quindi scegliere OK.

Attivare la crittografia TLS per un dominio remoto specifico in un'organizzazione di Exchange

Per attivare la crittografia TLS per un dominio remoto specifico nel server di Exchange, attenersi alla seguente procedura:
  1. Installare sul server un certificato server X.509. Per ulteriori informazioni sui certificati X.509, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    319574 Utilizzo dei certificati con i server virtuali in Exchange 2000 Server
  2. Creare un nuovo connettore SMTP. Per ulteriori informazioni su come creare un nuovo connettore SMTP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    314961 Modalità di configurazione del connettore SMTP in Exchange 2000 Server
  3. Per attivare la crittografia TLS fare clic con il pulsante destro del mouse sul connettore SMTP, quindi scegliere Proprietà. Scegliere la scheda Avanzate, Protezione recapito esterno, quindi selezionare la casella di controllo Crittografia TLS.
Nota Se il dominio remoto non supporta la crittografia TLS, tutti i messaggi verranno restituiti e verrà generato un rapporto di mancato recapito. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
329061 La comunicazione tra Exchange Server e domini non TLS è impossibile

Attivare la crittografia TLS per tutte le connessioni SMTP in uscita in Exchange Server

Per attivare la crittografia TLS per tutte le connessioni SMTP in uscita, attenersi alla seguente procedura:
  1. Installare sul server un certificato server X.509. Per ulteriori informazioni sui certificati X.509, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    319574 Utilizzo dei certificati con i server virtuali in Exchange 2000 Server
  2. Avviare il Gestore di sistema di Exchange.
  3. Fare clic con il pulsante destro del mouse su Server virtuale SMTP, quindi scegliere Proprietà.
  4. Scegliere la scheda Recapito del server virtuale SMTP, fare clic su Protezione recapito esterno, quindi selezionare la casella di controllo Crittografia TLS.
Riferimenti
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
319278 Protezione dell'accesso al client IMAP in Exchange 2000
282835 Mancata visualizzazione di eventi o avvisi quando messaggi di posta elettronica crittografati vengono inviati a destinatari non attendibili
823019 Protezione del recapito dei messaggi dei client SMTP in Exchange 2003
TLS transport security layer smtp exchange virtual server certificate 509 encryption secure XCON
Proprietà

ID articolo: 829721 - Ultima revisione: 11/26/2007 01:34:00 - Revisione: 3.3

  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
  • kbhowtomaster kbtransport KB829721
Feedback