AP208 - Habilitando SSL no protocolo SMTP

Overview

Para aumentar a segurança quando utilizamos o protocolo SMTP podemos utilizar um Certificado Digital para criptografar as informações entre o Exchange Server e o cliente.

Vamos utilizar neste exemplo que já temos uma CA (Certification Authority) criado do tipo Enterprise em nível de Active Directory.

Solução

Primeiro passo é solicitar e instalar um certificado no protocolo POP3 dentro do Exchange Server Manager, para tanto devemos:

1. Abrir o Exchange System Manager

2. Expandir Administrative Groups

3. Expandir First Administrative Group (ou grupo existente)

4. Expandir Servers

5. Expandir o <servidor> desejado

6. Expandir Protocols

7. Expandir SMTP

8. Clicar com o botão direito em Default SMTP Virtual Server e pedir em Properties, irá aparecer a tela abaixo, devemos clicar em Certificate para iniciarmos o processo de pedido do Certificado Digital para este serviço.

9. Primeira janela do assistente, devemos clicar em Next

10. Server Certificate. Devemos escolher a criação de um novo certificado, escolhendo Create a new certificate e depois clicar em Next

11. Delayed or Immediate Request. Devemos escolher a opção Send the request immediately to an online certification authority e clicar em Next

12. Name and Security Settings. Devemos escolher um nome adequado e clicar em Next

13. Organization Information. Colocar informações relevantes e clicar em Next.

14. Your Site's Common Name. Devemos colocar o nome dns ou netbios, importante colocarmos o nome como os clientes irão acessar este recurso, depois devemos clicar em Next

15. Geographical Information. Informações geográficas do Certificado Digital e depois Next

16. Choose a Certification Authority. Como estamos usando a opção imediantamente (ver passo 11), devemos escolher a Certification Authority e depois clicar em Next

17. Certificate Request Submission. Informações com todas escolhas que fizemos durante o assistente, devemos clicar em Next

Com estes passos instalamos o Certificado Digital no servidor Exchange, mas agora queremos forçar mais ainda a segurança na organização, não permitindo mais conexões sem a utilização de Certificado Digital, para tanto devemos:

1. Abrir o Exchange System Manager

2. Expandir Administrative Groups

3. Expandir First Administrative Group (ou grupo existente)

4. Expandir Servers

5. Expandir o <servidor> desejado

6. Expandir Protocols

7. Expandir SMTP

8. Clicar com o botão direito em Default SMTP Virtual Server e pedir em Properties, irá aparecer a tela abaixo, devemos clicar em Communication para forçar o uso de SSL

1. Devemos escolher Require secure channel para forçar o uso do SSL com o Protocolo SMTP.

Bom, agora já temos o nosso protocolo SMTP configurado para trabalhar com SSL, então devemos fazer os testes nos clientes, vamos utilizar neste tutorial o cliente Outlook Express.

Cliente Outlook Express (SMTP)

Devemos configurar o cliente SMTP a utilizar SSL, como o protocolo SMTP é o único que não troca de porta com SSL vamos utilizar logo abaixo o Network Monitor para verificar se conseguimos visualizar o tráfego.

Abaixo uma tela do Network Monitor mostrando que o pacote não pode ter o seu conteúdo visto através de um sniffer.

Conclusão

Com este tutorial mostramos como disponibilizar mais segurança para os usuários utilizando uma infra-estrutura de PKI interna junto com o protocolo SMTP.

Detalhe: isto é feito para garantir confidencialidade dos dados, mas as permissões de relay permanecem.