O Microsoft Exchange 2003 Server permite a troca de mensagens de e-mail criptografadas entre servidores que estão usando o protocolo Transport Layer Security (TLS). Sem a criptografia, nomes de usuário e senhas podem ser facilmente interceptados em uma LAN executando um sniffer (software utilizado por hackers para filtrar pacotes que saem da rede).

          Vou dividir o post em duas partes. Primeiro vou conceituar e falar um pouco sobre TLS e depois mostrar um exemplo prático de como implementar este protocolo no Exchange Server 2003. A outra parte ficará para uma próxima oportunidade, nela mostrarei técnicas de Troubleshooting.

          Para implementar esta solução o Exchange Server requer um servidor de certificados com X.509 para utilizar TLS. Um certificado de servidor X.509 é uma forma digital de identificação que normalmente é emitida por uma autoridade de certificação (Verisign, por exemplo) e contém informações de identificação, um período de validade, uma chave pública, um número de série e a assinatura digital do emitente.

          Mas antes disso, falarei de alguns princípios básicos.

2. Qual é Transport Layer Security protocolo?

3. Como funciona o protocolo TLS

4. Como configurar criptografia TLS sobre Microsoft Exchange Server 2003

O que é o protocolo Transport Layer Security?  

          TLS é um sucessor do protocolo Secure Sockets Layer (SSL). TLS fornece comunicações seguras na Internet para coisas tais como e-mail, fax, dados e outras transferências. Há ligeiras diferenças entre SSL 3.0 e TLS 1.0, mas o protocolo permanece sensivelmente o mesma. É bom ter em mente que TLS reside na camada de aplicação do OSI. Isso vai lhe poupar uma série de frustrações durante a depuração e solução de problemas relacionados com problemas criptografia TLS.

          O TLS Handshake Protocol permite que o servidor e o cliente se autentiquem mutuamente antes de negociar o as chaves criptográficas. A autenticação mútua dos servidores públicos são essenciais na implantação de clientes. Quando um servidor e cliente se comunicam, o protocolo TLS garante que nenhuma outra pessoa pode adulterar qualquer mensagem e falsificar a informação.

Como o protocolo TLS trabalha

          O TLS Handshake protocolo envolve as seguintes etapas:

• Trocar mensagens HELLO com valores aleatórios entre o servidor e o cliente, garantindo um acordo entre eles.

• Trocar os parâmetros criptográficos necessários para permitir que o cliente e o servidor entrem em acordo sobre qual é o parâmetro secreto.

• Trocar certificados e informações sobre a criptografia para permitir que o cliente e servidor se autentiquem.

• Fornecer parâmetros de segurança para o registro camada.

• Deixar que o cliente e servidor, a fim de verificar que os seus pares foram calculados (MD5 e SHA) com os mesmos parâmetros de segurança.

          TLS protocolo foi concebido com várias medidas de segurança. Ela números todos os registros e usa números de seqüência no Message Authentication Code (MAC). O protocolo TLS usa compilação de mensagem com uma chave e só com esta chave  pode verificar o MAC.

          O sistema operacional Windows Server 2003 pode utilizar três protocolos de segurança relacionados em fornecer autenticação e comunicações seguras através da Internet:

• Transport Layer Security Version 1.0 (TLS v1.0)

Como configurar uma TLS encryption sobre o Microsoft Exchange 2003 Server

          Antes de qualquer coisa, você deve ter o servidor X.509 atestado emitido por uma autoridade de certificação como VeriSign. Elas podem ser válidas para um ou mais anos. O custo do certificado vai variar de vendedor para vendedor e o preço será determinado pelo nível de criptografia e a data de validade. Quanto mais forte é a criptografia do certificado e quanto maior for o tempo, mais caro é a licença. 

          Antes de receber o certificado TLS \ SSL será necessário gerar uma solicitação de assinatura de certificado (CSR) para o servidor onde o certificado será instalado. Após gera um CSR, você precisará criar um par chave para o seu servidor (chave pública e chave privada). Se você perder o arquivo com sua chave pública ou privadas ou sua senha será necessário gerar uma nova, com isso seu certificado SSL deixara de se corresponder e você terá que solicitar um novo certificado SSL. Na maioria das vezes, a empresa que emite o certificado listas detalhes passo-a-passo sobre como criar RSE e como instalar o certificado em seu servidor.

          Após receber o certificado entidade certificadora você deverá instalá-lo no servidor onde roda o IIS no Microsoft Exchange Server 2003. O certificado pode também ser usado para garantir uma sessão segura no Outlook Web. Depois de instalar com sucesso o certificado TLS \ SSL, você pode preceder com a configuração do TLS sobre o Exchange 2003 do servidor SMTP.

          Instalação e configuração do protocolo TLS sobre o Microsoft Exchange Server 2003 é muito simples. Ela pode ser dividida em duas etapas. Primeiro você deve configurar seu servidor SMTP padrão e obrigá-lo a aceitar TLS. O segundo passo é configurar o adequado encaminhamento para o conector de cada domínio que você quer permitir criptografia TLS.

          Vamos ao que interessa!

          Abra o System Manager e siga estas etapas:

1. Expandir o Administrative Groups e navegar até o servidor virtual SMTP, localizado na pasta Protocols.

2. Clique com o botão direito em Default SMTP Virtual Server e vá para a aba Properties.

3. No campo "IP Adress:" você deve clicar na seta para baixo e mude a opção de "(All Assign") para um determinado endereço IP do seu servidor de correio eletrônico.

4. Marque a opção Enable logging e selecione NCSA Common Log File Format.

6. Clique em "Authentication" e selecione as seguintes caixas:

• Anonymous access
• Basic Authentication (password os sent in clear text)  
• Requires TLS encryption
• Integrated Windows Authentication

  7. Clique no botão "Certificate" e siga as instruções do assistente para atribuiro certificado  TLS \ SSL para o padrão servidor virtual SMTP.

          O segundo passo é configurar adequado encaminhamento no grupo de conectores para cada domínio que requer criptografia TLS. Primeiro navegue até a pasta Routing Groups, ir para o Routing Group adequado. Depois de expandi-lo, você será levado para a pasta Connectors. Clique com o botão direito e em seguida selecione Novo > SMTP Connector:

          Na aba Advanced, você vai clicar em Outbound Security. Permita acesso anônimo clicando em Anonymous Access

          Você também terá de definir o endereço para o espaço seguro do domínio clicando na guia Address Space e no botão Add. Depois selecionar o SMTP correspondente. O nome de domínio tem de corresponder ao endereço IP do seu servidor SMTP.

          Depois de configurar o seu protocolo para usar criptografia TLS você deve testá-lo. Configura apenas não garante que tudo esteja funcionando. Você sempre deve certificar-se que as mensagens de e-mail são de fato criptografadas.