Planen der Domänensicherheit
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-02-27
Die Domänensicherheit bezieht sich auf eine Gruppe von Funktionen in Microsoft Exchange Server 2007 und Microsoft Office Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME oder anderen Sicherheitslösungen auf Nachrichtenebene bereitstellt. Der Zweck der Domänensicherheitsfunktion besteht darin, Administratoren eine Möglichkeit zur Verwaltung sicherer Nachrichtenpfade über das Internet mit Geschäftspartnern bereitzustellen. Nach Konfiguration dieser sicheren Nachrichtenpfade werden Nachrichten, die erfolgreich von einem authentifizierten Absender über den gesicherten Pfad übertragen wurden, in der Benutzeroberfläche von Outlook und Outlook Web Access als domänengesichert angezeigt.
Die Domänensicherheit verwendet TLS (Transport Layer Security) mit gegenseitiger Authentifizierung, um sitzungsbasierte Authentifizierung und Verschlüsselung bereitzustellen. TLS mit gegenseitiger Authentifizierung unterscheidet sich von der üblichen TLS-Implementierung. Hierbei prüft normalerweise der Client, dass eine sichere Verbindung zum gewünschten Server hergestellt wird, indem er das Serverzertifikat überprüft. Dies geht im Rahmen einer TLS-Aushandlung ein. In diesem Szenario authentifiziert der Client den Server, bevor der Client Daten überträgt. Der Server authentifiziert die Sitzung mit dem Client jedoch nicht.
Bei der gegenseitigen TLS-Authentifizierung prüft jeder Server die Verbindung mit dem jeweils anderen Server, indem er dessen Zertifikat überprüft. In diesem Szenario, in dem Nachrichten von externen Domänen über überprüfte Verbindungen in einer Exchange 2007-Umgebung eingehen, zeigt Outlook 2007 das Symbol für eine gesicherte Domäne an.
Wichtig
Eine ausführliche Erläuterung der Technologien und Konzepte von Kryptografie und Zertifikaten geht über den Rahmen dieses Themas hinaus. Bevor Sie eine Sicherheitslösung bereitstellen, die Kryptografie und digitale Zertifikate verwendet, sollten Sie sich mit den grundlegenden Konzepten von Vertrauensstellungen, Authentifizierung, Verschlüsselung sowie Austausch von öffentlichen und privaten Schlüsseln im Zusammenhang mit Kryptografie vertraut machen. Weitere Informationen finden Sie in den Referenzressourcen, die am Ende dieses Themas aufgeführt werden.
Überprüfung von TLS-Zertifikaten
Um sich einen Begriff von der allgemeinen Sicherheit und der durch Übertragungen mit gegenseitiger TLS-Authentifizierung bedingten Vertrauenswürdigkeit zu machen, müssen Sie die Überprüfung des zugrunde liegenden TLS-Zertifikats verstehen.
Exchange 2007 beinhaltet eine Gruppe von Cmdlets zum Erstellen, Anfordern und Verwalten von TLS-Zertifikaten. Standardmäßig sind diese Zertifikate selbstsigniert. Bei einem selbstsignierten Zertifikat handelt es sich um ein Zertifikat, das vom eigenen Ersteller signiert ist. In Exchange 2007 werden die selbstsignierten Zertifikate von dem Computer mit Microsoft Exchange unter Verwendung der Microsoft Windows Certificate API (CAPI) erstellt. Da die Zertifikate selbstsigniert sind, sind sie weniger vertrauenswürdig als Zertifikate, die durch eine Public-Key-Infrastruktur (PKI) oder die Zertifizierungsstelle eines Drittanbieters generiert werden. Selbstsignierte Zertifikate sollten daher nur für interne E-Mails verwendet werden. Wenn die empfangenden Organisationen, mit denen Sie domänengesicherte E-Mails austauschen, Ihr selbstsigniertes Zertifikat auf jedem Edge-Transport-Server für eingehende Nachrichten zum vertrauenswürdigen Stammzertifikatspeicher manuell hinzufügen, wird den selbstsignierten Zertifikaten ausdrücklich vertraut.
Eine bewährte Methode für Verbindungen über das Internet besteht darin, TLS-Zertifikate mit PKI oder der Zertifizierungsstelle eines Drittanbieters zu generieren. Durch die Generierung von TLS-Schlüsseln mit einer vertrauenswürdigen PKI oder Zertifizierungsstelle eines Drittanbieters wird der allgemeine Verwaltungsaufwand der Domänensicherheit verringert. Weitere Informationen zu den Optionen für vertrauenswürdige Zertifikate und Domänensicherheit finden Sie unter Aktivieren einer PKI auf dem Edge-Transport-Server für die Domänensicherheit.
Mit den Cmdlets des Exchange 2007-Zertifikats können Sie Zertifikatsanforderungen für Ihre eigene PKI oder für Zertifizierungsstellen eines Drittanbieters generieren. Weitere Informationen finden Sie unter Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.
Weitere Informationen zum Konfigurieren der Domänensicherheit finden Sie in folgenden Dokument:
Verwenden von Exchange Hosted Services
Sicherheit auf Nachrichtenebene wird durch Microsoft Exchange Hosted Services erweitert oder steht dort als Dienst zur Verfügung. Exchange Hosted Services ist eine Gruppe von vier unterschiedlichen Hosted Services:
Hosted Filtering unterstützt Organisationen beim Schutz vor per E-Mail übertragener Malware.
Mit Hosted Archive können Aufbewahrungsanforderungen bezüglich Kompatibilität eingehalten werden.
Mit Hosted Encryption können vertrauliche Daten verschlüsselt werden.
Mit Hosted Continuity bleibt der E-Mail-Zugriff während und im Anschluss an Notfallsituationen erhalten.
Diese Dienste werden auf allen intern verwalteten Exchange-Servern vor Ort oder in Hosted Exchange-E-Mail-Dienste integriert, die über Dienstanbieter zur Verfügung gestellt werden. Weitere Informationen zu Exchange Hosted Services finden Sie unter Microsoft Exchange Hosted Services.
Weitere Informationen
Weitere Informationen zu Technologien und Konzepten von Kryptografie und Zertifikaten finden Sie in den folgenden Ressourcen:
Housley, Russ und Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.
Adams, Carlisle und Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.
Bewährte Methoden zum Implementieren einer Microsoft Windows Server 2003-Public-Key-Infrastruktur