S/MIME para assinatura e encriptação de mensagens no Exchange Server
Aplica-se a: Exchange Server 2013
S/MIME (Secure/Multipurpose Internet Mail Extensions) é um método amplamente aceite (ou, mais precisamente, um protocolo) para enviar mensagens assinadas e encriptadas digitalmente. S/MIME permite que você criptografe email e os assine digitalmente. Quando você usa S/MIME com uma mensagem de email, isso ajuda as pessoas que recebem essa mensagem a ter certeza de que o que veem em suas caixas de entrada é a mensagem exata que partiu do remetente. Isso também ajudará as pessoas que receberem mensagens a terem certeza de que a mensagem veio do remetente específico e não de alguém fingindo ser o remetente. Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). Isso também ajuda a melhorar a privacidade e a segurança dos dados (usando criptografia) para mensagens eletrônicas. Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.
Como administrador do Exchange, pode ativar a segurança baseada em S/MIME para as caixas de correio na sua organização. Use a orientação nos tópicos vinculados aqui junto com o Shell de Gerenciamento do Exchange para configurar S/MIME. Para utilizar s/MIME em clientes de e-mail suportados, os utilizadores na sua organização têm de ter certificados emitidos para fins de assinatura e encriptação e dados publicados no seu Serviço de Domínio do Active Directory (AD DS) no local. Seu AD DS deve estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem em algum lugar na internet. Para obter mais informações sobre o AD DS, consulte Serviços de Domínio Active Directory.
Cenários suportados e considerações técnicas
Pode configurar o S/MIME para trabalhar com qualquer um dos seguintes pontos finais:
Outlook 2010 ou posterior
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
Os passos que segue para configurar o S/MIME com cada um destes pontos finais são ligeiramente diferentes. Geralmente, terá de efetuar os seguintes passos:
Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Também há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, consulte Visão Geral dos Serviços de Certificados do Active Directory.
Publique o certificado de utilizador numa conta do AD DS no local nos atributos UserSMIMECertificate e/ou UserCertificate .
Configurar uma coletânea de certificados virtuais para validar S/MIME. Essas informações são usadas pelo OWA ao validar a assinatura de um email e garantir que ele foi assinado por um certificado confiável.
Configurar o ponto final do Outlook ou EAS para usar S/MIME.
Configurar S/MIME com Outlook Web App
A configuração do S/MIME com o OWA envolve os seguintes passos principais:
Configurar as definições S/MIME no Exchange Server para o Outlook Web App
Configurar uma coleção de certificados virtuais no Exchange Server para validar o S/MIME
Tecnologias de criptografia de mensagem relacionadas
À medida que a segurança das mensagens se torna mais importante, os administradores têm de compreender os princípios e conceitos das mensagens seguras. Esta compreensão é especialmente importante devido à crescente variedade de tecnologias relacionadas com a proteção (incluindo S/MIME) que estão disponíveis. Para compreender mais sobre S/MIME e como ele funciona no contexto de email, consulte Compreendendo S/MIME. Várias tecnologias de criptografia trabalham em conjunto para oferecer proteção para mensagens em repouso ou em trânsito. O S/MIME pode trabalhar simultaneamente com as seguintes tecnologias, mas não depende delas:
O Transport Layer Security (TLS) criptografa o túnel ou a rota entre servidores de email para ajudar a impedir a interceptação e a escuta não autorizada.
O Secure Sockets Layer (SSL) encripta a ligação entre clientes de e-mail e servidores do Microsoft 365 ou do Office 365.
O BitLocker criptografa os dados em um disco rígido de um datacenter, de forma que se alguém obtiver acesso não autorizado, não poderá lê-lo.
S/MIME em comparação com a Encriptação de Mensagens
S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura. A Encriptação de Mensagens é um serviço de encriptação baseado em políticas que pode ser configurado por um administrador, e não por um utilizador individual, para encriptar o e-mail enviado a qualquer pessoa dentro ou fora da organização. É um serviço online que é desenvolvido no Azure Rights Management (RMS) e não conta com uma infraestrutura de chave pública. A Encriptação de Mensagens também fornece capacidades adicionais, como a capacidade de personalizar o correio com a marca da organização. Para obter mais informações sobre a Encriptação de Mensagens, veja Encriptação.