S/MIME per la firma e la crittografia dei messaggi in Exchange Server
Si applica a: Exchange Server 2013
S/MIME (Secure/Multipurpose Internet Mail Extensions) è un metodo ampiamente accettato (o più precisamente un protocollo) per l'invio di messaggi crittografati e firmati digitalmente. S/MIME consente di crittografare i messaggi di posta elettronica e di apporvi la firma digitale. Quando si usa S/MIME con un messaggio di posta elettronica, consente alle persone che ricevono il messaggio di essere certi che ciò che vedono nella posta in arrivo sia il messaggio esatto avviato con il mittente. Aiuterà anche le persone che ricevono i messaggi ad essere certi che il messaggio provenga dal mittente specifico e non da qualcuno che finge di essere il mittente. A tale scopo, S/MIME fornisce servizi di protezione crittografica quali autenticazione, integrità dei messaggi e non-rifiuto dell'origine (utilizzando le firme digitali). Consente inoltre di migliorare la privacy e la sicurezza dei dati (usando la crittografia) per la messaggistica elettronica. Per un quadro completo della storia e dell'architettura di S/MIME nel contesto della posta elettronica, vedere Concetti relativi a S/MIME.
Gli amministratori di Exchange possono abilitare la sicurezza basata su S/MIME per le cassette postali dell'organizzazione. Usare le linee guida negli argomenti qui collegati insieme a Exchange Management Shell per configurare S/MIME. Per usare S/MIME nei client di posta elettronica supportati, gli utenti dell'organizzazione devono avere certificati emessi a scopo di firma e crittografia e i dati pubblicati nel servizio di dominio Active Directory locale. Active Directory Domain Services deve trovarsi in computer in una posizione fisica che si controlla e non in una struttura remota o in un servizio basato sul cloud in un punto qualsiasi di Internet. Per ulteriori informazioni su AD DS, vedere Servizi di dominio Active Directory.
Scenari supportati e considerazioni tecniche
È possibile configurare S/MIME per utilizzare uno qualsiasi dei seguenti endpoint:
Outlook 2010 o versioni successive
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
I passaggi da seguire per configurare S/MIME con ognuno di questi punti finali sono leggermente diversi. In genere, è necessario seguire questa procedura:
Installare un'autorità di certificazione basata su Windows e configurare un'infrastruttura a chiave pubblica per l'emissione di certificati S/MIME. Sono supportati anche i certificati rilasciati da provider di certificati di terze parti. Per informazioni dettagliate, vedere Panoramica di Servizi certificati Active Directory.
Pubblicare il certificato utente in un account Active Directory Domain Services locale negli attributi UserSMIMECertificate e/o UserCertificate .
Configurare una raccolta di certificati virtuali per convalidare S/MIME. Queste informazioni vengono usate da OWA per convalidare la firma di un messaggio di posta elettronica e assicurarsi che sia stata firmata da un certificato attendibile.
Configurare l'endpoint Outlook o EAS per utilizzare S/MIME.
Configurare S/MIME con Outlook Web App
La configurazione di S/MIME con OWA prevede i passaggi chiave seguenti:
Configurare le impostazioni S/MIME in Exchange Server per Outlook Web App
Configurare una raccolta di certificati virtuali in Exchange Server per convalidare S/MIME
Tecnologie di crittografia del messaggio correlato
Man mano che la sicurezza dei messaggi diventa più importante, gli amministratori devono comprendere i principi e i concetti della messaggistica sicura. Questa comprensione è particolarmente importante a causa della crescente varietà di tecnologie correlate alla protezione (tra cui S/MIME) disponibili. Per altre informazioni su S/MIME e sul suo funzionamento nel contesto della posta elettronica, vedere Informazioni su S/MIME. Un'ampia gamma di tecnologie di crittografia interagiscono per fornire protezione per i messaggi inattivi e in transito. S/MIME può funzionare contemporaneamente con le tecnologie seguenti, ma non dipende da esse:
Transport Layer Security (TLS) crittografa il tunnel o la route tra i server di posta elettronica per evitare intercettazioni e intercettazioni.
Secure Sockets Layer (SSL) crittografa la connessione tra i client di posta elettronica e i server microsoft 365 o Office 365.
BitLocker crittografa i dati in un disco rigido in un data center in modo che, se qualcuno ottiene l'accesso non autorizzato, non possa leggerli.
Confronto tra S/MIME e Crittografia messaggi
S/MIME richiede un certificato e un'infrastruttura di pubblicazione spesso utilizzata nelle situazioni interaziendali o tra azienda e consumatori. L'utente controlla le chiavi crittografiche in S/MIME e può scegliere se utilizzarle per ogni messaggio inviato. I programmi di posta elettronica come Outlook cercano la posizione di un'autorità di certificazione radice attendibile per eseguire la firma digitale e la verifica della firma. Crittografia messaggi è un servizio di crittografia basato su criteri che può essere configurato da un amministratore, e non da un singolo utente, per crittografare la posta inviata a chiunque all'interno o all'esterno dell'organizzazione. Si tratta di un servizio online basato su Azure Rights Management (RMS) e che non si basa su un'infrastruttura a chiave pubblica. Crittografia messaggi offre anche funzionalità aggiuntive, ad esempio la possibilità di personalizzare la posta con il marchio dell'organizzazione. Per altre informazioni sulla crittografia dei messaggi, vedere Crittografia.