S/MIME para assinatura de mensagens e criptografia em Exchange Server
Aplica-se a: Exchange Server 2013
S/MIME (Extensões seguras/multiuso do Internet Mail) é um método amplamente aceito (ou, mais precisamente, um protocolo) para o envio de mensagens assinadas digitalmente e criptografadas. S/MIME permite que você criptografe email e os assine digitalmente. Quando você usa S/MIME com uma mensagem de email, isso ajuda as pessoas que recebem essa mensagem a ter certeza de que o que veem em suas caixas de entrada é a mensagem exata que partiu do remetente. Isso também ajudará as pessoas que receberem mensagens a terem certeza de que a mensagem veio do remetente específico e não de alguém fingindo ser o remetente. Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). Isso também ajuda a melhorar a privacidade e a segurança dos dados (usando criptografia) para mensagens eletrônicas. Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.
Como administrador do Exchange, você pode habilitar a segurança baseada em S/MIME para as caixas de correio em sua organização. Use a orientação nos tópicos vinculados aqui junto com o Shell de Gerenciamento do Exchange para configurar S/MIME. Para usar o S/MIME em clientes de email com suporte, os usuários da sua organização devem ter certificados emitidos para fins de assinatura e criptografia e dados publicados no AD DS (Serviço de Domínio Active Directory local). Seu AD DS deve estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem em algum lugar na internet. Para obter mais informações sobre o AD DS, consulte Serviços de Domínio Active Directory.
Cenários suportados e considerações técnicas
Você pode configurar o S/MIME para trabalhar com qualquer um dos seguintes pontos de extremidade:
Outlook 2010 ou posterior
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
As etapas que você segue para configurar o S/MIME com cada um desses pontos de extremidade são ligeiramente diferentes. Geralmente, você precisará executar as seguintes etapas:
Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Também há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, consulte Visão Geral dos Serviços de Certificados do Active Directory.
Publique o certificado de usuário em uma conta do AD DS local nos atributos UserSMIMECertificate e/ou UserCertificate .
Configurar uma coletânea de certificados virtuais para validar S/MIME. Essas informações são usadas pelo OWA ao validar a assinatura de um email e garantir que ele foi assinado por um certificado confiável.
Configurar o ponto final do Outlook ou EAS para usar S/MIME.
Configurar S/MIME com Outlook Web App
A configuração de S/MIME com o OWA envolve as seguintes etapas principais:
Configurar configurações de S/MIME no Exchange Server para Outlook Web App
Configurar uma coleção de certificados virtuais no Exchange Server para validar S/MIME
Tecnologias de criptografia de mensagem relacionadas
À medida que a segurança da mensagem se torna mais importante, os administradores precisam entender os princípios e conceitos de mensagens seguras. Esse entendimento é especialmente importante devido à crescente variedade de tecnologias relacionadas à proteção (incluindo S/MIME) que estão disponíveis. Para compreender mais sobre S/MIME e como ele funciona no contexto de email, consulte Compreendendo S/MIME. Várias tecnologias de criptografia trabalham em conjunto para oferecer proteção para mensagens em repouso ou em trânsito. O S/MIME pode trabalhar simultaneamente com as seguintes tecnologias, mas não depende delas:
O Transport Layer Security (TLS) criptografa o túnel ou a rota entre servidores de email para ajudar a impedir a interceptação e a escuta não autorizada.
A SSL (Secure Sockets Layer) criptografa a conexão entre clientes de email e servidores do Microsoft 365 ou Office 365.
O BitLocker criptografa os dados em um disco rígido de um datacenter, de forma que se alguém obtiver acesso não autorizado, não poderá lê-lo.
S/MIME em comparação com a Criptografia de Mensagens
S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura. A Criptografia de Mensagens é um serviço de criptografia baseado em política que pode ser configurado por um administrador, e não por um usuário individual, para criptografar emails enviados a qualquer pessoa dentro ou fora da organização. É um serviço online que é desenvolvido no Azure Rights Management (RMS) e não conta com uma infraestrutura de chave pública. A Criptografia de Mensagens também fornece recursos adicionais, como a capacidade de personalizar o email com a marca da organização. Para obter mais informações sobre criptografia de mensagens, consulte Criptografia.