Marcio Nunes

S/MIME 3 fue altamente aceptado y los productos Microsoft que lo soportan son:

Microsoft Outlook 2000 SR-1 y superior
Microsoft Outlook Express 5.01 y superior
Microsoft Exchange 5.5 y superior

Qué beneficios brinda S/MIME?:

S/MIME provee dos servicios de seguridad: Firma digital y encripción de mensajes.
Estos dos servicios son la base en la seguridad en mensajes y los veremos en detalle a continuación:

Firma Figital
La firma digital es la contrapartida de la firma en un documento en papel. Como en las firmas legales, la Firma Digital provee:

* Autenticación: Valida la identidad. Como no hay autenticación en SMTP, no hay manera de saber quién envió el mensaje. Autenticación en una firma digital resuelve ese problema, permitiendo al destinatario del mensaje asegurarse que el mensaje fue enviado or quien dice haberlo enviado.

* No repudiación: Por ser única, la firma digital evita que el remitente del mensaje lo desconozca.

* Integridad de información: La integración de información es el resultado de una operación específica que hace posible la firma digital. Cuando el mensaje es enviado, se calcula el hash del mensaje. Cuando se recibe, el hash es calculado nuevamente y, si el mensaje fue modificado en tránsito, da un error en la firma digital.

***NOTA***: Muchos softwares que agregan discalimers a los mensajes hacen que las firmas digitales sean inválidas, ya que son modificados en tránsito cuando se les agrega la nota de pie de mensaje.

Los pasos, en líneas generales son:

Y cuando el mensaje es recibido, el cliente realiza lo siguiente:

Encripción de mensajes:

La encriptación del mensaje prevee una solución para evitar que terceros puedan tener acceso al contenido del mensaje, ya que el correo SMTP se transporta en texto plano.

Encriptar es el proceso de modificar el contenido para que no sea leído o entendido hasta que no se revierta la alteración producida. De esta manera encriptar un mensaje nos provee:

* Confidencialidad: Proteje el contenido del correo. Sólo el destinatario seleccionado puede desencriptar el correo y poder leerlo. Éste método provee confidencialidad mientras el mensaje está en tránsito o almacenado.

* Integridad de la información: Como en la firma digital, encriptar un correo provee integridad de información, como resultado de las operaciones que se efectúan sobre el mismo.

Al momento de enviar un correo, los pasos son los siguientes:

Y cuando se recibe:

Aunque encriptar el contenido del mensaje provea confidencialidad e integridad, no autentica el remitente de ninguna manera. Un mensaje encriptado, pero sin firma digital sufre los mismos problemas de suplantación de identidad que el correo común.

Rights Management Services (RMS):

Como alternativa tenemos un servicio llamado RMS. Dentro de los beneficios de implementar una solución basada en RMS, podemos encontrar:

 * Proteger la información confidencial contra un acceso o uso compartido con usuarios no autorizados

* La capacidad de controlar no únicamente el acceso a los datos, sino la manera en que se utilizan y distribuyen.

* Garantizar que el contenido de los datos esté protegido y sea resistente a la manipulación

* La capacidad de controlar la fecha de caducidad de los contenidos

Un mensaje protegido por RMS no puede ser reenviado, ni impreso. Cuando respondemos sobre ese mismo mensaje, el cuerpo original es eliminado. Además las funciones de captura de pantalla están deshabilitadas. No se puede mostrar en paneles de vista previa y no se muestran las primeras líneas del mensaje en la advertencia de escritorio de Outlook 2003.

En resúmen, podemos destacar las siguientes diferencias entre S/MIME y RMS:

La intención de esta primer parte es que puedan distiguir entra todas las alternativas de seguridad de mensajería que soporta Exchange..

Utilizando Grupos de almacenamiento de recuperación

En esta oportunidad mostraremos cómo utilizar el “Grupo de almacenamiento de recuperación” para recuperar un buzón desde un backup.

En innumerables ocasiones he recibido pedidos de “un correo importantísimo” eliminado por error del usuario. En versiones anteriores a Exchange 2003, teníamos pocas alternativas de recuperación. Si usábamos software de backup de terceras partes, la tarea podría ser sencilla. Pero si utilizábamos la herramienta de Windows (ntbackup.exe) era bastante tedioso que podría llevar bastante tiempo (montar un servidor en otro hardware, montar el mismo dominio de AD, montar un servidor Exchange de la misma versión con el mismo nivel de Service Pack, hacer el restore, extraer los datos con Exmerge). Al final siempre intentaba influenciar al usuario de que el correo no era tan importante .

Con Exchange 2003 se introdujo el concepto de Grupo de almacenamiento de recuperación que nos permite restaurar un backup completo en el mismo servidor, sin la necesidad de andar montando otro paralelo, ni mucho menos.

¿Cómo utilizar la herramienta? Previamente tendremos que leer la nota de cómo configurar exmerge, ya que es el único medio por el que podremos acceder a los correos restaurados. Post SP1, podremos recuperar los buzones desde la consola de administración de Exchange, armaremos un tutorial en breve.

Para comenzar el procedimiento abriremos la consola de Adminstración de Exchange, expandimos Servidores y hacemos clic con el botón secundario sobre el servidor Exchange sobre el cual queremos hacer la restauración, luego seleccionamos “Nuevo –> Grupo de almacenamiento de recuperación…”.

Seleccionamos la ruta donde ubicaremos los archivos de transacciones y de acceso del sistema, y acemos clic en aceptar.

Veremos que tenemos un nuevo grupo de Almacenamiento. Ahora lo que tenemos que hacer es decirle qué base de datos de mensajes vamos a restaurar. Para eso haremos clic con el botón secundario del mouse sobre “Grupo de almacenamiento de recuperación –> Agregar base de datos para recuperar…”

Esto disparará una búsqueda que mostrará las bases disponibles para la restauración, donde debemos seleccionar una:

Aparecerán las propiedades, y hacemos clic en aceptar:

Ya tenemos todo configurado del lado del Exchange para hacer el restore. Ahora iniciamos la herramienta de backup (ntbackup.exe), seleccionamos la copia de seguridad a restaurar y, dentro de los contenidos, seleccionamos SOLAMENTE el almacén de buzón:

Como siguiente paso, indicaremos una ruta temporaria de extracción y tildaremos la opción “Último conjunto de restauración…” si correspondiese.

Una vez finalizada la restauración, aparecerá el siguiente mensaje:

Como siguiente paso, montaremos el almacén de recuperación para poder accederlo:

Aparecerá la siguiente advertencia que indicaremos “si”:

Bien, hasta este punto estamos en orden. La única manera de acceder a este almacen de recuperación es con Exmerge. Para ello deberíamos haber configurado todo como se explica en la nota cómo configurar exmerge en este mismo Blog. La única diferencia que encontraremos es que al iniciar Exmerge tendremos una base de datos más de donde extraer la información:

Directivas de Destinatarios

En esta oportunidad cubriremos aspectos básicos sobre las “Directivas de Destinantarios”.

A través de las directivas podremos configurar globalmente los dominios de Internet que nuestro servidor Exchange aceptará. Además podremos definir la estructura que van a tener las direcciones de correo electrónico al momento de su creación.

Por default, la dirección de correo se forma con el nombre que tiene el buzón (que es el mismo que el nombre de usuario). Pero… ¿qué pasa si mis usuarios inician sesión con un nombre y quiero que sus direcciones de correo sean distintas? Por ejemplo, si mi nombre de usuaro es pvernocchi, y quiero que mi dirección de correo sea pablo.vernocchi@dominio. ¿Tengo que hacerlo uno por uno? La solución la encontrarán en esta nota.

Para empezar, abriremos la consola de Administración de Sistema. Expandiremos destinatarios –> Directivas de destinatario. Ahí encontraremos una ventana parecida a la siguiente:

Si abrimos la directiva por defecto, encontraremos todo lo que expliqué más arriba, y en la solapa dominios, los declarados por los asistentes que hayamos ejecutado anteriormente (Asistente de conexión).

Si entramos a las propiedades de la directiva predeterimanda encontraremos tres solapas.

La tercera es para notas administrativas. Entonces, entramos a la segunda solapa, y ahí podremos definir las direcciones de correo. Para eso, haremos doble clic en el dominio predeterminado y, antes de la arroba escribiremos:

%s        La dirección de correo tendrá solo el apellido 

%g        La dirección de correo tendrá sólo el nombre

%i         La dirección de correo tendrá sólo la inicial del 2do nombre

Estas son algunas de las opciones que podremos elegir. Por supuesto se pueden combinar y poner %g.% \n s@vernocchi.com.ar Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo y mi dirección de correo sería pablo.vernocchi@…

Bien, con eso ya tenemos resuelto la primer parte de nuestro desafío. Pero… ¿qué pasa si nuestra compañía tiene 3 sucursales con distinto nombre de dominio?
Supongamos el siguiente escenario:
Argentina: dominio @empresa.com.ar
España: dominio @empresa.com.es
Mexico: dominio @empresa.com.mx

Cada país cuenta con un servidor de Exchange. Para eso, tendremos que hacer uso de múltiples directivas y, a través de LDAP, decirle: si tu buzón está en España, tu cuenta de correo debe ser %g.% \n s@dominio.com.es Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo . Parece medio críptico, pero en realidad nos llevará un par de clics.

Por cuestiones de esta demo, haremos sólo una:

Hacemos clic con el botón secundario –> nuevo –> Directiva de destinatario

Seleccionamos que sea de “Direcciones de correo electrónico”

Le damos un nombre descriptivo y hacemos clic en Modificar:

Se abrirá una ventana de búsqueda, donde podremos definir en qué servidor están alojados los buzones

Luego de aceptar ese cuadro de diálogo, saldrá la siguiente advertencia:

Y el filtro LDAP ya está creado automáticamente. Lo único que queda es definir los dominios y la estructura de la dirección de la cuenta, para ello abriremos la política creada recientemente:
 

Vamos a nueva y seleccionamos dirección SMTP:

Seleccionamos el formato que queremos:

Ahora tendremos que activarla y configurarla como predeterminada:

Al aceptar la ventana, nos preguntará si queremos aplicar esta nueva regla al filtro que configuramos previamente:

Office 2007 Beta 2

En esta ocasión veremos cómo configurar permisos en nuestro servidor Exchange y además cómo configurar el archivo exmerge.ini para no tener inconvenientes a la hora de extrar/importar buzones a archivos de carpetas personales (.pst) y viceversa.

Para ello, lo primero que tenemos que hacer es descargar Exmerge del sitio de descarga de Microsoft.

Una vez que tengamos el ejecutable, lo podemos descomprimir, por ejemplo, en el escritorio. Notaremos varios archivos:
* Exmerge.exe (ejecutable de la aplicación)
* Exmerge.ini (archivo de configuración)
* Eula.txt (End user license Agreement)
* Mailbox Merge Wizard (ExMerge).doc (documentación)

Exmerge.exe y Exmerge.ini deberán ser copiados al subdirectorio Bin del directorio de instalación de Exchange (por defecto C:Archivos de programaExchsrvr).

Si Exchange está en español, deberemos abrir el exmerge.ini y localizaremos la siguiente línea:

Quitar el “;” del inico del renglón.

Luego ubicaremos la siguiente línea:

Y haremos lo mismo.

El siguiente paso será configurar los permisos correctos para no tener conflictos. Por cuestiones de esta demo utilizaremos el usuario Administrador, pero tranquilamente podríamos usar otra cuenta siempre y cuando hayamos configurado correctamente las delegaciones de control.

Expandimos servidores, y sobre el servidor entramos a las propiedades:

Luego, solapa Seguridad:

Donde ingresaremos a las opciones avanzadas para quitar la herencia. Destildamos “Permitir que los permisos heredables del primario…” y se mostrarán tres advertencias que debemos aceptar:

Ahora lo que tenemos que hacer es quitar los tildes a las entradas “Denegar” que tenga el usuario administrador y todos los grupos donde éste permanezca (recordemos que el denegar pisa cualquier aceptar que tengamos):

Con esto alcanza y sobra . Ahora abriremos la aplicación principal (exmerge.exe) desde:

Lo que hay que saber de Exchange 12

Para más información al respecto les dejo los siguientes enlaces:

http://www.microsoft.com/latam/technet/articulos/tn/abr06-02.mspx

http://www.microsoft.com/latam/technet/articulos/tn/abr06-03.mspx

Saludos

Carlos Salina  | Microsoft MVP Exchange

Qué opciones habilitar para hacer un troubleshooting de nuestro Exchange

En este caso vamos a ver cómo habilitar el seguimiento de mensajes y los logs en el smtp.

Lo primero que haremos es ir al Administrador de Sistema, expandir servidores y entraremos a las propiedades del servidor:

Luego habilitaremos las opciones de Seguimiento de mensajes y configuraremos la opción para que se eliminen los registros pasado X cantidad de días (para evitar que se llene el disco).

Aceptamos la advertencia:

Y quedará, mas o menos, así

————————————
Ahora ya tenemos el seguimiento habilitado, pero… ¿Cómo accedemos a esos logs?

Dentro del Administrador, expandimos “Herramientas” y allí encontraremos un “Centro de Seguimiento de Mensajes”. Cualquier cosa que tenamos que buscar, esta interface explorará los logs y lo mostrará.

————————————
Qué pasa si tenemos errores a nivel SMTP que el “Centro de seguimiento de mensajes” no nos muestra?

Para eso deberíamos habilitar el log desde el Servidor virtual SMTP:

Abrimos el administrador, expandimos servidores, expandimos protocolos, expandimos SMTP y ahí lo encontramos:

Entramos a las propiedades, y seleccionaremos la opción “Habilitar registro”. En el menú que se habilita más abajo, seleccionaremos formato IIS (esto es porque este formato nos muestra más campos en el log que el resto).

Si entramos a las propiedades veremos dónde se van a parar los archivos de texto con los logs de todas las conversaciones SMTP:

Cómo restrigir que usuarios envíen correos a Internet con Exchange

En esta oportunidad veremos cómo limitar usuarios para que no puedan enviar correos a Internet.

Antes de empezar tendremos que tener en cuenta la modificación de una clave en el registro. Para eso, abrimos el regedit, y vamos a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/, agregamos un valor del tipo:

Value Name: CheckConnectorRestrictions
Data Type: REG_DWORD
Radix: Hexadecimal
Value: 1

Una vez que tengamos hecho eso, empezaremos a configurar todo.

Como primer paso, creamos un grupo donde alojaremos los usuarios que no puedan enviar correos (por ejemplo “Sin mail Saliente”).

Luego, abrimos el administrador de sisitema, expandimos servidores, expandimos nuestro server y, sobre conectores hacemos clic con el botón secundario –> nuevo conector SMTP. Le ponemos el nombre que querramos.

Ahora debemos asociar ese conector con un servidor virtual SMTP, para ello hacemos clic en el botón “Agregar” que está abajo a la derecha. Veremos una lista de servidores virtuales SMTP, seleccionamos el que corresponda y hacemos clic en Aceptar.

Luego tendremos que asociar ese conector con un grupo de direcciones a las que afectará. En nuestro caso será * (asterisco) ya que valdrá para todos los dominios en Internet.

Nos vamos a la solapa llamada “Restricciones de entrega” y veremos las configuraciones por defecto. Tendremos que agregar nuestro grupo (”Sin mail Saliente”) en el campo “Rechazar mensajes de”.

Listo, ahora lo que falta es reiniciar dos servicios, SMTP y Microsoft Exchange Routing Engine para que apliquen las configuraciones del registro que cambiamos al principio.

Cómo configurar Exchange para trabajar con conectores POP3

Es muy visto escenarios con conectores POP3. Esto nos permite tener una conexión de Internet con IP dinámica y poder aprovechar todas las funcionalidades de Exchange.

El problema pasa cuando tenemos direcciones pop3 que no se descargan a nuestro Exchange, sino que lo descargan los usuarios, generalmente los que no están físicamente en la oficina donde Exchange está instalado. Los usuarios mandan mail a \n usuarioremoto@dominio.com Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo y el Exchange envía un NDR diciendo “user unknown” o cosas raras por el estilo.

Básicamente esto pasa porque el usuario no está creado en Active Directory, pero la dirección de correo existe en nuestro ISP.

Si creáramos la cuenta en AD, los mails quedarían de por vida en el buzón y nunca serían descargados por el usuario que chequea sus mails en el ISP… Un buen método para poder zafar de este problema es:

a) Ir al Exchange System Manager
b) Expandir Servidores, Protocolos, SMTP
c) Clic con el botón secundario, seleccionar Propiedades
d) Clic en la solapa Messages, ingresar la dirección IP del servidor SMTP del ISP en Forward all mail with unresolved recipients to host, y luego OK.
e) Reiniciar Servicios de SMTP.

GENTILEZA:
Exchange puede trabajar con múltiples dominios. Para poder configurarlos debemos abrir el System Manager y navegar hasta:

- First Organization (Exchange)
 |_ Recipients
   |_ Recipients policies
     |_ (en el panel derecho) Default Policy
       |_ Doble click y se abrirán las propiedades

- Seleccionar la Solapa del medio (E-Mail Addresses (Policy)
- Clic en “New…”
- Doble Clic en “SMTP Address”
- Escribir en el espacio “Address”: @tudominio.com => OK
- Te encontrarás en la pantalla anterior. Seleccionar la nueva dirección SMTP creada y luego clic en “Set as Primary”
- Ok
- Esperar unos minutos para que se replique la política y tendrás un nuevo mail en todos los usuarios.

Luego de unos minutos deberías abrir la MMC de “Usuarios y equipos de AD” y abrir las propiedades de los usuarios que tengan buzones de Exchange, seleccionar la solapa “Correo electrónico” y verificar que se hubiera aplicado la política (debería estar seleccionado el CHECKBOX que dice “Actualizar direcciones automáticamente…”.

Esa es la forma automática y menos trabajosa. La otra es ingresar a las propiedades de cada uno de los usuarios a través de “Active Directory Users & Computers” y manualmente en la solapa “E-mail Addresses” agregar el dominio deseado repitiendo el esquema descripto anteriormente. Como excepción deberías desmarcar el CHECKBOX que dice “Actualizar direcciones automáticamente…”.

Cómo agregar un disclaimer en Exchange 2000/2003

En los newsgroups de Microsoft son muchas las consultas que se reciben sobre este tema.

Este post es para centralizar los links que hacen referencia a cómo agregar disclaimers a los correos salientes de Exchange.

Tenemos dos maneras de hacerlo:

1) Usando software de terceros, hay una lista en este link. Recomendado GFI MailEssentials, si bien el producto es comercial, los disclaimers siguen andando en modo definitivo, aún expirado el trial.

2) Usando un event sink para el smtp, como se describe en las notas técnicas

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."