Compartir a través de


Descripción de la seguridad de dominio

Se aplica a: Exchange Server 2010

Última modificación del tema: 2009-11-25

La seguridad de dominio se refiere al conjunto de funciones de Microsoft Exchange Server 2010 y Microsoft Office Outlook 2007, que proporciona una alternativa relativamente económica a S/MIME u otras soluciones de seguridad a nivel de mensajes. La finalidad del conjunto de funciones de seguridad de dominio es proporcionar a los administradores un método para administrar rutas de mensajes seguras en Internet con los socios empresariales. Una vez configuradas estas rutas de mensajes protegidas, los mensajes que han viajado correctamente a través de la ruta protegida desde un remitente autenticado se muestran a los usuarios como Dominio seguro en la interfaz de Outlook y Microsoft Office aplicación web de Outlook.

La seguridad de dominio utiliza la autenticación mutua de la Seguridad de nivel de transporte (TLS) para proporcionar autenticación y cifrado basados en la sesión. La autenticación de TLS mutua difiere de la TLS en que se implementa por regla general. Normalmente, al implementar la TLS, el cliente comprueba si la conexión se establece de forma segura con el servidor en cuestión mediante la validación del certificado del servidor. Este certificado se recibe como parte de la negociación de la TLS. En este escenario, el cliente autentica el servidor antes de que el cliente transmita los datos. No obstante, el servidor no autentica la sesión con el cliente.

Con la autenticación de TLS mutua, cada servidor comprueba la conexión con el otro servidor mediante la validación de un certificado proporcionado por el otro servidor. En este escenario, donde los mensajes se reciben de dominios externos mediante conexiones comprobadas en un entorno de Exchange 2010, Outlook 2007 muestra el icono de "Dominio seguro".

Importante

Proporcionar una explicación detallada de los conceptos y tecnologías de los certificados y la criptografía no entra dentro del ámbito de este tema. Antes de implementar cualquier solución de seguridad que use cifrado y certificados digitales, se recomienda entender los conceptos básicos de confianza, autenticación, cifrado e intercambios de claves públicas y privadas en su relación con la criptografía. Para obtener más información, vea las referencias incluidas al final de este tema.

¿Está buscando tareas de administración relacionadas con la administración de servidores de transporte? Consulte Administración de servidores de transporte.

Validación de certificados TLS

Para entender la seguridad general y la confianza resultante de cualquier transmisión TLS mutua, debe entender cómo se valida el certificado TLS subyacente.

Exchange 2010 incluye un conjunto de cmdlets para crear, solicitar y administrar certificados TLS. De forma predeterminada, estos certificados son autofirmados. Un certificado autofirmado es aquél que firma su propio creador. En Exchange 2010, el certificado autofirmado se crea con el equipo que ejecuta Microsoft Exchange mediante la API de criptografía (CAPI) Microsoft Windows subyacente. Dado que los certificados son autofirmados, los certificados resultantes son menos confiables que los certificados generados por la infraestructura de claves públicas (PKI) o una entidad emisora de certificados (CA) de otros fabricantes. Por lo tanto, se recomienda usar certificados autofirmados sólo para el correo interno. Además, si las organizaciones de recepción con las que intercambia correo electrónico de dominio seguro agregan manualmente el certificado autofirmado al almacén de certificados raíz de confianza de cada servidor de transporte de bordes entrante, los certificados autofirmados son de confianza de forma explícita.

Para las conexiones que pasan por Internet, la práctica recomendada es generar certificados TLS con una PKI o una CA de terceros. La generación de claves TLS con una PKI de confianza o una CA de otros fabricantes reduce la administración general de la seguridad de dominio. Para obtener más información acerca de las opciones relacionadas con los certificados de confianza y la seguridad de dominio, vea Uso de PKI en el servidor Transporte perimetral para la seguridad del dominio.

Puede usar los cmdlets de certificado de Exchange 2010 para generar solicitudes de certificado para su propia PKI o para las CA de otros fabricantes. Para obtener más información, vea Descripción de los certificados TLS.

Para obtener más información acerca de cómo configurar Domain Security, consulte lo siguiente:

Uso de los Servicios alojados de Exchange

La seguridad en el nivel de los mensajes se mejora mediante o está disponible como un servicio de los Servicios alojados de Microsoft Exchange.

Exchange Hosted Services es un conjunto de cuatro servicios hospedados distintos:

  • Hosted Filtering, que ayuda a las organizaciones a protegerse a sí mismas contra el software malintencionado que circula por el correo electrónico
  • Hosted Archive, que ayuda a las organizaciones a satisfacer los requisitos legales de conservación de datos
  • Hosted Encryption, que ayuda a las organizaciones a cifrar datos por cuestiones de confidencialidad
  • Hosted Continuity, que ayuda a las organizaciones a conservar el acceso al correo electrónico durante una emergencia y después de ésta

Estos servicios se integran con cualquier servidor de Exchange en las instalaciones que se administren de manera interna o con los servicios de correo electrónico hospedados en Exchange que se ofrecen a través de los proveedores de servicios. Para obtener más información acerca de Exchange Hosted Services, consulte Microsoft Exchange Hosted Services.

Recursos

Housley, Russ and Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.

Adams, Carlisle and Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.

Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure