Informazioni sulla protezione del dominio
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-11-25
Per sicurezza del dominio si intende un insieme di funzionalità di Microsoft Exchange Server 2010 e Microsoft Office Outlook 2007 che costituiscono un'alternativa relativamente economica rispetto a S/MIME o ad altre soluzioni per la sicurezza dei messaggi. Lo scopo di questo insieme di funzionalità per la sicurezza del dominio consiste nel fornire agli amministratori un modo per gestire percorsi dei messaggi sicuri su Internet con partner aziendali. Dopo aver configurato questi percorsi protetti per i messaggi, i messaggi che hanno seguito con successo il percorso protetto a partire da un mittente autenticato vengono visualizzati all'utente come Dominio protetto nell'interfaccia di Outlook e Microsoft Office Applicazione Web Outlook.
La sicurezza del dominio utilizza l'autenticazione MTLS (Mutual Transport Layer Security) per fornire la crittografia e l'autenticazione basate sulla sessione. L'autenticazione TLS reciproca differisce da TLS per quanto riguarda l'implementazione normale. In genere, quando viene implementato TLS, il client verifica che la connessione al server desiderato avvenga in modo sicuro convalidando il certificato del server, che viene ricevuto come parte della negoziazione TLS. In questo scenario, il client autentica il server prima della trasmissione dei dati. Il server, tuttavia, non autentica la sessione con il client.
Con l'autenticazione TLS reciproca, ogni server verifica la connessione con l'altro server convalidando un certificato fornito dall'altro server. In questo scenario, in cui i messaggi sono ricevuti da domini esterni su connessioni verificate in un ambiente Exchange 2010, Outlook 2007 visualizza un'icona di dominio protetto.
Importante
La spiegazione dettagliata delle tecnologie e dei concetti relativi alla crittografia e ai certificati esula dall'ambito di questo argomento. Prima di distribuire qualsiasi soluzione per la sicurezza che utilizzi la crittografia e i certificati digitali, si consiglia di comprendere i concetti fondamentali di attendibilità, autenticazione, crittografia e scambio di chiavi pubbliche e private relativi alla crittografia. Per ulteriori informazioni, vedere i riferimenti elencati alla fine di questo argomento.
Per informazioni sulle attività di gestione relative alla gestione dei server di trasporto, vedere Gestione dei server di trasporto.
Convalida dei certificati TLS
Per comprendere la sicurezza globale e la conseguente affidabilità di qualsiasi trasmissione TLS reciproca, è necessario comprendere come viene convalidato il certificato TLS sottostante.
Exchange 2010 include un insieme di cmdlet necessari per creare, richiedere e gestire i certificati TLS. Per impostazione predefinita, questi certificati sono autofirmati. Un certificato autofirmato è firmato dal suo stesso autore. In Exchange 2010, il certificato autofirmato viene creato dal computer su cui è in esecuzione Microsoft Exchange utilizzando l'API di crittografia (CAPI) del sistema operativo Microsoft Windows sottostante. Essendo autofirmati, i certificati ottenuti sono meno affidabili dei certificati generati da un'infrastruttura a chiave pubblica (PKI) o da un'Autorità di certificazione (CA) di terze parti. Si consiglia, pertanto, di utilizzare i certificati autofirmati solo per la posta interna. In alternativa, se le organizzazioni destinatarie con cui si scambiano messaggi di posta elettronica con dominio protetto aggiungono manualmente il certificato autofirmato all'archivio certificati principale attendibile in ciascuno dei loro server Trasporto Edge in ingresso, i certificati autofirmati vengono considerati esplicitamente attendibili.
Per le connessioni che utilizzano Internet, si consiglia di generare certificati TLS con una PKI o una CA di terze parti. La generazione di chiavi TLS con una PKI o una CA di terze parti attendibile riduce la gestione complessiva della sicurezza del dominio. Per ulteriori informazioni sulle opzioni dei certificati attendibili e della sicurezza del dominio, vedere Utilizzo di PKI sul server Trasporto Edge per la protezione del dominio.
È possibile utilizzare i cmdlet del certificato di Exchange 2010 per generare le richieste di certificato per la propria PKI o per le CA di terze parti. Per ulteriori informazioni, vedere Informazioni sui certificati TLS.
Per ulteriori informazioni su come configurare la sicurezza del dominio, vedere quanto segue:
- Utilizzo di protezione dominio: Configurazione di Mutual TLS
- White Paper: Domain Security in Exchange 2007 (informazioni in lingua inglese)
Utilizzo di Exchange Hosted Services
La sicurezza a livello dei messaggi viene potenziata o è messa a disposizione come servizio da Microsoft Exchange Hosted Services.
Exchange Hosted Services è un insieme di quattro servizi in hosting distinti:
- Hosted Filtering, che consente alle organizzazioni di proteggersi dal malware inviato tramite posta elettronica
- Hosted Archive, che consente di soddisfare i requisiti di mantenimento per la conformità
- Hosted Encryption, che consente di crittografare i dati per mantenerne la riservatezza
- Hosted Continuity, che consente di mantenere l'accesso alla posta elettronica durante e dopo situazioni di emergenza
Questi servizi si integrano con qualsiasi server di Exchange on-premises gestito internamente o con servizi di posta elettronica di Hosted Exchange offerti da provider dei servizi. Per ulteriori informazioni su Exchange Hosted Services, vedere Microsoft Exchange Hosted Services.
Risorse
Housley, Russ e Tim Polk. Planning for PKI: Best Practices Guide for Deploying Public Key Infrastructure. New York: John Wiley & Son, Inc., 2001.
Adams, Carlisle e Steve Lloyd. Applied Cryptography: Protocols, Algorithms, and Source Code in C, 2nd Edition. New York: John Wiley & Son, Inc., 1996.