S/MIME para la firma de mensajes y el cifrado en Exchange Server
Se aplica a: Exchange Server 2013
S/MIME (extensiones de correo de Internet seguras o multipropósito) es un método ampliamente aceptado (o más precisamente, un protocolo) para enviar mensajes cifrados y firmados digitalmente. S/MIME permite cifrar mensajes de correo electrónico y firmarlos digitalmente. Cuando se usa S/MIME con un mensaje de correo electrónico, ayuda a las personas que reciben ese mensaje a estar seguros de que lo que ven en su bandeja de entrada es el mensaje exacto que comenzó con el remitente. También ayudará a las personas que reciben mensajes a estar seguras de que el mensaje procede del remitente específico y no de alguien que finge ser el remitente. Para ello, S/MIME proporciona servicios de seguridad criptográfica como autenticación, integridad de mensajes y no rechazo de origen (usando firmas digitales). También ayuda a mejorar la privacidad y la seguridad de los datos (mediante cifrado) para la mensajería electrónica. Para obtener más información sobre la historia y la arquitectura de S/MIME en el contexto del correo electrónico, consulte Descripción de S/MIME.
Como administrador de Exchange, puede habilitar la seguridad basada en S/MIME para los buzones de su organización. Use las instrucciones de los temas vinculados aquí junto con el Shell de administración de Exchange para configurar S/MIME. Para usar S/MIME en los clientes de correo electrónico admitidos, los usuarios de su organización deben tener certificados emitidos con fines de firma y cifrado y datos publicados en su Active Directory local Domain Service (AD DS). Ad DS debe estar ubicado en equipos en una ubicación física que controle y no en una instalación remota o un servicio basado en la nube en algún lugar de Internet. Para obtener más información acerca de AD DS, consulte Servicios de dominio de Active Directory.
Escenarios admitidos y consideraciones técnicas
Puede configurar S/MIME para trabajar con cualquiera de los siguientes extremos:
Outlook 2010 o posterior
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
Los pasos que sigue para configurar S/MIME con cada uno de estos puntos finales son ligeramente diferentes. Por lo general, deberá realizar los pasos siguientes:
Instale una entidad emisora de certificados basada en Windows y configure una infraestructura de clave pública para emitir certificados S/MIME. También se admiten los certificados emitidos por proveedores de certificados de terceros. Para obtener más información, consulte Información general de Servicios de certificados de Active Directory.
Publique el certificado de usuario en una cuenta de AD DS local en los atributos UserSMIMECertificate o UserCertificate .
Crear una colección virtual de certificados para validar S/MIME. OWA usa esta información al validar la firma de un correo electrónico y asegurarse de que estaba firmada por un certificado de confianza.
Configurar el extremo de Outlook o EAS para usar S/MIME.
Configuración de S/MIME con Outlook Web App
La configuración de S/MIME con OWA implica los siguientes pasos clave:
Configuración de S/MIME en Exchange Server para Outlook Web App
Configuración de una colección de certificados virtuales en Exchange Server para validar S/MIME
Tecnologías de cifrado de mensajes relacionadas
A medida que la seguridad de los mensajes es más importante, los administradores deben comprender los principios y conceptos de la mensajería segura. Esta comprensión es especialmente importante debido a la creciente variedad de tecnologías relacionadas con la protección (incluido S/MIME) que están disponibles. Para obtener más información sobre S/MIME y cómo funciona en el contexto del correo electrónico, consulte Descripción de S/MIME. Una variedad de tecnologías de cifrado funcionan conjuntamente para proporcionar protección para los mensajes en reposo y en tránsito. S/MIME puede funcionar simultáneamente con las siguientes tecnologías, pero no depende de ellas:
Seguridad de la capa de transporte (TLS) cifra el túnel o la ruta entre los servidores de correo electrónico para ayudar a evitar la interceptación y la interceptación.
Capa de sockets seguros (SSL) cifra la conexión entre los clientes de correo electrónico y los servidores de Microsoft 365 o Office 365.
BitLocker cifra los datos en un disco duro de un centro de datos para que, si alguien obtiene acceso no autorizado, no pueda leerlos.
S/MIME en comparación con el cifrado de mensajes
S/MIME requiere una infraestructura de certificados y publicación que suele usarse en situaciones de negocio a negocio y de negocio a consumidor. El usuario controla las claves criptográficas en S/MIME y puede elegir si desea usarlas para cada mensaje que envíe. Los programas de correo electrónico como Outlook buscan una ubicación de entidades de certificación raíz de confianza para llevar a cabo la firma digital y la comprobación de la firma. Cifrado de mensajes es un servicio de cifrado basado en directivas que puede configurar un administrador, y no un usuario individual, para cifrar el correo enviado a cualquier persona dentro o fuera de la organización. Se trata de un servicio en línea que se basa en Azure Rights Management (RMS) y no se basa en una infraestructura de clave pública. El cifrado de mensajes también proporciona funcionalidades adicionales, como la capacidad de personalizar el correo con la marca de la organización. Para obtener más información sobre el cifrado de mensajes, vea Cifrado.