Como usar a autenticação TLS no Exchange 2007 para enviar e receber mensagens com emails de teceiros
Aplica-se a: Exchange Server 2007 SP3
Tópico modificado em: 2009-09-29
Este tópico descreve como usar a autenticação TLS (Transport Layer Security) juntamente com o Microsoft Exchange Server 2007 para enviar e receber mensagens de email usando um programa de email de terceiros.
Usando o protocolo TLS, é possível ajudar a aprimorar a segurança da comunicação SMTP no Exchange 2007. O TLS é um protocolo padrão usado para fornecer comunicações Web seguras na Internet ou em intranets. Ele permite que os clientes autentiquem servidores ou, opcionalmente, que os servidores autentiquem clientes. Por meio da criptografia da comunicação, ele também fornece um canal de segurança. TLS é a versão mais recente do protocolo SSL (Secure Sockets Layer).
O TLS no SMTP oferece autenticação baseada em certificado e ajuda a fornecer transferências de dados com segurança aprimorada usando a criptografia de chaves simétricas. Na criptografia de chaves simétricas, também conhecida como criptografia de "segredo compartilhado", a mesma chave é usada tanto para criptografar quanto para descriptografar a mensagem. O TLS aplica um HMAC (hash-based Message Authentication Code). O HMAC usa um algoritmo de hash combinado com uma chave de segredo compartilhado para ajudar a certificar-se de que os dados não foram alterados durante a transmissão. A chave de segredo compartilhado é anexada aos dados a serem especificados como hash. Isso ajuda a aprimorar a segurança de hash porque ambas as partes devem possuir a mesma chave de segredo compartilhado para confirmar que os dados são originais.
Em versões anteriores do Exchange Server, era necessário configurar TLS manualmente. Além disso, era necessário instalar um certificado válido, adequado para uso com TLS, no servidor que executava o Exchange. No Exchange 2007, a Instalação cria um certificado auto-assinado Por padrão, TLS é habilitado. Isso permite que qualquer sistema de envio criptografe a sessão SMTP de entrada para o Exchange. Por padrão, o Exchange 2007 também testa o TLS em todas as conexões remotas.
Para usar o TLS para enviar mensagens de email para um programa de email de terceiros, é necessário configurar um conector de envio. Conectores de envio são configurados em computadores que estejam executando o Exchange 2007 e que tenham as funções de servidor Transporte de Hub e Transporte de Borda instaladas. O Conector de Envio representa um gateway lógico através do qual mensagens de saída são enviadas.
Para usar o TLS para enviar mensagens de email para um programa de email de terceiros, é necessário configurar um conector de recebimento. Os Conectores de Recebimento estão configurados em computadores que executam o Exchange 2007 têm as funções de servidor Transporte de Hub e Transporte de Borda instaladas. Os conectores de recebimento representam um gateway lógico por meio do qual todas as mensagens de entrada são recebidas.
Para usar o TLS para enviar mensagens de email para um programa de email de terceiros
Inicie o Console de Gerenciamento do Exchange.
Execute uma das seguintes etapas:
Em um computador com a função de servidor de Transporte de Borda instalada, selecione Transporte de Borda e, em seguida, clique na guia Conectores de Envio.
Para criar um conector de Envio em uma função de servidor de Transporte de Hub, na árvore do console, expanda Configuração da Organização, selecione Transporte de Hub e, em seguida clique na guia Conectores de Envio.
No painel de ações, clique em Novo Conector de Envio. O Assistente de Novo Conector de Envio SMTP é iniciado.
Na página Introdução, digite um nome significativo para o conector no campo Nome. Esse nome é usado para identificar o conector.
No lista Selecione o uso pretendido para este conector, clique em Personalizado e em Avançar.
Na página Espaço de endereçamento, clique em Adicionar.
Na caixa de diálogo Espaço de endereçamento SMTP, digite o domínio externo do servidor de email de terceiros. Por exemplo, digite *.contoso.com para o domínio contoso.com.
Clique em OK e em Avançar.
Na página Configurações de rede, clique em Usar registros "MX" do sistema de nomes de domínio (DNS) para rotear emails automaticamente e em Avançar. Ou, clique em Rotear todos os emails por meio dos seguintes hosts inteligentes e siga estas etapas:
Clique em Adicionar.
Na caixa de diálogo Adicionar Host Inteligente, selecione Endereço IP ou Nome de domínio totalmente qualificado (FQDN) para especificar como localizar o host inteligente. Se você selecionar Endereço IP, digite o endereço IP do host inteligente. Se você selecionar FQDN (nome de domínio totalmente qualificado), digite o FQDN do host inteligente. O servidor de envio deve ser capaz de resolver o FQDN.
Quando você tiver concluído, clique em OK.
Para adicionar mais hosts inteligentes, clique em Adicionar e repita as etapas b e c.
Para editar as configurações de um host inteligente, selecione-o e clique em Editar.
Para remover um host inteligente existente, selecione-o e clique em .
Quando você tiver concluído, clique em Avançar.
Na página Configurações de segurança de host inteligente, selecione Autenticação Básica por TLS e clique em Avançar.
Por padrão, o servidor de Transporte de Hub no qual você está trabalhando atualmente é listado como servidor de origem na página Servidor de Origem. Para adicionar um servidor de origem, clique em Adicionar. Na caixa de diálogo Selecionar servidores de Transporte de Hub e Inscrições de Borda, selecione os servidores de Transporte de Hub ou de Transporte de Borda assinados que serão usados como servidor de origem para o envio de mensagens ao espaço de endereçamento fornecido na etapa 7. A lista de servidores de origem pode conter todos os servidores de Transporte de Hub ou de Transporte de Borda assinados, mas não uma combinação de ambos. Ao concluir a inclusão de servidores de origem adicionais, clique em OK.
Para adicionar mais servidores de origem, clique em Adicionar e repita esta etapa.
Para remover um servidor de origem existente, selecione-o e clique em .
Quando você tiver concluído, clique em Avançar.
Na página Nova conector, revise o resumo da configuração do conector. Se desejar modificar as configurações, clique em Voltar. Para criar o Conector de envio com as configurações do resumo da configuração, clique em Novo.
Na página Conclusao, clique em Concluir.
Alguns programas de terceiros como o Gentoo Linux não exigem mais configurações. Teste a conexão. Se uma conexão não conseguir ser concluída, siga estas etapas:
No painel de trabalho, clique com o botão direito no conector criado e clique em Propriedades.
Na guia Rede, marque a caixa de seleção Habilitar Segurança de Domínio (TLS de Autenticação Mútua) e clique em OK.
Feche o Console de Gerenciamento do Exchange.
Reinicie o serviço de Transporte do Microsoft Exchange.
Para usar o TLS para receber mensagens de um programa de email de terceiros
Inicie o Console de Gerenciamento do Exchange.
Execute uma das seguintes etapas:
Em um computador com a função de servidor Transporte de Borda instalada, selecione Transporte de Borda e, em seguida, no painel de trabalho, clique na guia Conectores de Recebimento.
Para criar um conector de recebimento em uma função de servidor de Transporte de Hub, na árvore do console, expanda Configuração do Servidor e selecione Transporte de Hub. No painel de resultados, selecione o servidor no qual deseja criar o conector e clique na guia Conectores de Recebimentos.
No painel de ações, clique em Novo Conector de Recebimento. O Assistente de Novo Conector de Recebimento SMTP é iniciado.
Na página Introdução, digite um nome significativo para o conector no campo Nome. Esse nome é usado para identificar o conector.
No lista Selecione o uso pretendido para este conector, clique em Personalizado e em Avançar.
Na página Configurações de rede local, clique em Adicionar.
Na caixa de diálogo Adicionar Ligação de Conector de Recebimento, selecione uma das seguintes opções:
Usar todos os endereços IP disponíveis neste servidor Se você selecionar essa opção, o conector escutará conexões de todos os endereços IP atribuídos aos adaptadores de rede no servidor local.
Especifique um endereço IP Se você selecionar essa opção, deverá digitar um endereço IP que esteja atribuído a um adaptador de rede no servidor local. O conector escutará somente as conexões do endereço IP fornecido.
Dica
Você deve especificar um endereço IP local válido para o servidor de Transporte de Borda ou de Transporte de Hub no qual o Conector de recebimento está localizado. Se você especificar um endereço IP local inválido, o serviço de Transporte do Microsoft Exchange poderá não iniciar quando o serviço for reiniciado.
Na página Configurações de Rede Local, no campo Porta, digite um número de porta e clique em OK. Para adicionar vários endereços IP locais a esse conector, clique em Adicionar e repita esta etapa. Para alterar uma entrada anterior, selecione a entrada e clique em Editar. Para remover uma entrada existente, selecione a entrada e clique em .
Na página Configurações de rede local, no campo Especifique o FQDN que esse conector deve fornecer em resposta a HELO ou EHLO, digite o nome que é anunciado em resposta ao verbo HELO ou EHLO SMTP. Se este campo for deixado em branco, o FQDN (nome de domínio totalmente qualificado) do servidor de Transporte de Hub ou de Transporte de Borda será adicionado automaticamente quando o conector for criado. Clique em Avançar.
Na página Configurações de rede remota, insira o endereço IP ou o intervalo de endereços IP do programa de terceiros a partir do qual o conector aceitará conexões de entrada. Para adicionar o endereço IP remoto ou o intervalo de endereços IP, use um dos métodos a seguir:
Para inserir um endereço IP ou uma sub-rede sem máscara de sub-rede, ou para especificar a máscara da sub-rede usando a notação CIDR (Roteamento entre Domínios sem Classificação), clique em Adicionar ou na seta suspensa localizada ao lado de Adicionar e selecione Endereço IP. Na caixa de diálogo Adicionar Endereços IP de Servidores Remotos, insira o endereço IP usando um dos métodos a seguir:
Endereço IP sem uma máscara de sub-rede Por exemplo, digite 192.168.1.0. Se você não especificar uma máscara de sub-rede usando a notação CIDR, a máscara de sub-rede padrão com classificação será usada.
Endereço IP com notação CIDR Por exemplo, digite 192.168.1.0/24.
Para inserir um endereço IP ou uma sub-rede com uma máscara de sub-rede em notação decimal com ponto, clique na seta suspensa localizada ao lado de Adicionar e em IP e Máscara. Na caixa de diálogo Adicionar Servidores Remotos - Máscara e IP, insira o endereço IP e a máscara de sub-rede usando a seguinte sintaxe:
Endereço IP Por exemplo, digite 192.168.1.0.
Máscara de Sub-rede Por exemplo, digite 255.255.255.0.
Para especificar um intervalo de endereço IP usando o primeiro e o último endereço IP no intervalo, clique na seta suspensa localizada ao lado de Adicionar e em Intervalo de IP. Na caixa de diálogo Adicionar Servidores Remotos – Intervalo de IP, insira o endereço IP usando a seguinte sintaxe:
Endereço inicial Por exemplo, digite 192.168.1.1.
Endereço final Por exemplo, digite 192.168.255.255.
Como você não pode especificar uma máscara de sub-rede, a máscara de sub-rede padrão com classificação será usada.
Quando você tiver concluído, clique em OK. Para adicionar várias faixas de rede remota a esse conector, clique em Adicionar e repita essa etapa. Para modificar uma entrada anterior, selecione a entrada e clique em Editar. Para remover uma entrada existente, selecione a entrada e clique em .
Quando você tiver concluído, clique em Avançar.
Na página Novo Conector, examine o resumo da configuração do conector. Se desejar modificar as configurações, clique em Voltar. Para criar o conector de recebimento com as configurações do resumo da configuração, clique em Novo.
Na página Conclusao, clique em Concluir.
No painel de trabalho, clique com o botão direito no conector criado e clique em Propriedades.
Na guia Autenticação, marque a caixa de seleção Habilitar Segurança de Domínio (TLS de Autenticação Mútua) se uma das seguintes condições for verdadeira.
O servidor de envio e o servidor de recebimento estão usando um certificado público de um emissor de certificado confiável.
O servidor de envio e o servidor de recebimento estão usando um certificado auto-emitido com o certificado raiz de cada um instalado como o certificado raiz confiável.
Na guia Grupos de Permissão, marque a caixa de seleção Usuários anônimos e clique em OK.
Feche o Console de Gerenciamento do Exchange.
Inicie o Shell de Gerenciamento do Exchange.
Execute o seguinte cmdlet:
Set-ReceiveConnector -identity <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS
Se uma das seguintes condições for verdadeira:
O servidor de envio e o servidor de recebimento estão usando um certificado público de um emissor de certificado confiável.
O servidor de envio e o servidor de recebimento estão usando um certificado auto-emitido com o certificado raiz de cada um instalado como o certificado raiz confiável.
Execute o seguinte cmdlet:
Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net
Reinicie o serviço de Transporte do Microsoft Exchange.
Mais informações
Para obter mais informações sobre conectores de envio, consulte os tópicos Conectores de Envio e Como criar um novo conector de envio.
Para obter mais informações sobre conectores de recebimento, consulte os tópicos Conectores de Recebimento e Como criar um novo conector de recebimento.
Para obter mais informações sobre o cmdlet Set-ReceiveConnector, consulte o Set-ReceiveConnector.
Para obter mais informações sobre o cmdlet Set-TransportConfig, consulte Set-TransportConfig.
Para obter mais informações sobre como usar o protocolo TLS juntamente com o Exchange 2007, consulte os seguintes tópicos: