Partilhar via


S/MIME para assinatura e encriptação de mensagens no Exchange Server

Aplica-se a: Exchange Server 2013

S/MIME (Secure/Multipurpose Internet Mail Extensions) é um método amplamente aceite (ou, mais precisamente, um protocolo) para enviar mensagens assinadas e encriptadas digitalmente. S/MIME permite que você criptografe email e os assine digitalmente. Quando você usa S/MIME com uma mensagem de email, isso ajuda as pessoas que recebem essa mensagem a ter certeza de que o que veem em suas caixas de entrada é a mensagem exata que partiu do remetente. Isso também ajudará as pessoas que receberem mensagens a terem certeza de que a mensagem veio do remetente específico e não de alguém fingindo ser o remetente. Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). Isso também ajuda a melhorar a privacidade e a segurança dos dados (usando criptografia) para mensagens eletrônicas. Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.

Como administrador do Exchange, pode ativar a segurança baseada em S/MIME para as caixas de correio na sua organização. Use a orientação nos tópicos vinculados aqui junto com o Shell de Gerenciamento do Exchange para configurar S/MIME. Para utilizar s/MIME em clientes de e-mail suportados, os utilizadores na sua organização têm de ter certificados emitidos para fins de assinatura e encriptação e dados publicados no seu Serviço de Domínio do Active Directory (AD DS) no local. Seu AD DS deve estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem em algum lugar na internet. Para obter mais informações sobre o AD DS, consulte Serviços de Domínio Active Directory.

Cenários suportados e considerações técnicas

Pode configurar o S/MIME para trabalhar com qualquer um dos seguintes pontos finais:

  • Outlook 2010 ou posterior

  • Outlook Web App (OWA)

  • Exchange ActiveSync (EAS)

Os passos que segue para configurar o S/MIME com cada um destes pontos finais são ligeiramente diferentes. Geralmente, terá de efetuar os seguintes passos:

  • Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Também há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, consulte Visão Geral dos Serviços de Certificados do Active Directory.

  • Publique o certificado de utilizador numa conta do AD DS no local nos atributos UserSMIMECertificate e/ou UserCertificate .

  • Configurar uma coletânea de certificados virtuais para validar S/MIME. Essas informações são usadas pelo OWA ao validar a assinatura de um email e garantir que ele foi assinado por um certificado confiável.

  • Configurar o ponto final do Outlook ou EAS para usar S/MIME.

Configurar S/MIME com Outlook Web App

A configuração do S/MIME com o OWA envolve os seguintes passos principais:

  1. Configurar as definições S/MIME no Exchange Server para o Outlook Web App

  2. Configurar uma coleção de certificados virtuais no Exchange Server para validar o S/MIME

À medida que a segurança das mensagens se torna mais importante, os administradores têm de compreender os princípios e conceitos das mensagens seguras. Esta compreensão é especialmente importante devido à crescente variedade de tecnologias relacionadas com a proteção (incluindo S/MIME) que estão disponíveis. Para compreender mais sobre S/MIME e como ele funciona no contexto de email, consulte Compreendendo S/MIME. Várias tecnologias de criptografia trabalham em conjunto para oferecer proteção para mensagens em repouso ou em trânsito. O S/MIME pode trabalhar simultaneamente com as seguintes tecnologias, mas não depende delas:

  • O Transport Layer Security (TLS) criptografa o túnel ou a rota entre servidores de email para ajudar a impedir a interceptação e a escuta não autorizada.

  • O Secure Sockets Layer (SSL) encripta a ligação entre clientes de e-mail e servidores do Microsoft 365 ou do Office 365.

  • O BitLocker criptografa os dados em um disco rígido de um datacenter, de forma que se alguém obtiver acesso não autorizado, não poderá lê-lo.

S/MIME em comparação com a Encriptação de Mensagens

S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura. A Encriptação de Mensagens é um serviço de encriptação baseado em políticas que pode ser configurado por um administrador, e não por um utilizador individual, para encriptar o e-mail enviado a qualquer pessoa dentro ou fora da organização. É um serviço online que é desenvolvido no Azure Rights Management (RMS) e não conta com uma infraestrutura de chave pública. A Encriptação de Mensagens também fornece capacidades adicionais, como a capacidade de personalizar o correio com a marca da organização. Para obter mais informações sobre a Encriptação de Mensagens, veja Encriptação.

Mais informações

Outlook Web App

Email Seguro (2000)