TechNet Exchange Workshop
Exchange 2003 Security
Ivan Riservato
MVP Exchange
MCxx,CCNA
Presidente UGIMEX - www.ugimex.org
Agenda

Analisi del traffico di rete





Tra client e server
Tra server e server
Cosa modificare nei setting di default sui
VS e SMTP Connector
Tecnologie antispamming
Implementare PKI in azienda per
utilizzare S/MIME e smartcard
Analisi del traffico di rete

Tra client e server

DEMO POP3, IMAP4
Tra client e server

Soluzione: Utilizzare SSL per i client che
utilizzano i protocolli standard
Protocollo
Porta Standard Porta con SSL
POP3
110
995
IMAP4
143
993
SMTP
25
25
HTTP
80
443
LDAP
389
636
Tra client e server

Se il client utilizza
MS-RPC abilitare
queste opzioni =>



Outlook 98
Outlook 2000
Outlook 2002
Tra client e server

Outlook 2003
Tra client e server

DEMO implementazione SSL su VS
Tra client e server


Se uso OWA in https, POP3s, IMAP4s
sono sicuro ?
Dipende ...

Si*, tra il server e il client ma se utilizzate la
funzionalità FE/BE avete questa situazione ...
* minimo 1024 bit ovviamente con 2048, 4096,
8192, 16384 è migliore la sicurezza ma le
performance globali peggiorano
Architettura FrontEnd BackEnd
Active
Directory
Outlook
(RPC/HTTP)
Reverse
Proxy
Exchange
Front-End
Server
Outlook Express
POP/IMAP e SMTP
Wireless
Network
&
Canale
Internet
protetto SSL
Outlook Web Access
In CHIARO !
DMZ
Outlook Mobile Access
Up-To-Date
Notifications
(SMS)
Exchange ActiveSync
Up-To-Date Notifications
(SMTP)
MS Mobile
Services
SMTP
Bridgehead
Server
Exchange
Back-End
Server
Tra i server


Tra i/il FE e tutti i/il BE una possibile
soluzione è di implementare IPSec
Exchange 2003 supporta IPSEC tra BE in
cluster e FE, con requisito Windows 2003
Tra i server - routing

Il protocollo per lo scambio dei messaggi
è SMTP .. quindi plain text !

DEMO: Come implementare TLS sui VS
SMTP
Attenzione non si può implementare sul
VS che riceve la posta Internet perchè le
altre organizzazioni non hanno TLS ..
Cosa modificare nei setting di
default

Sul VS



Abilitare i log su tutti i VS utilizzati
Verificare che il relay sia disabilitato (default)
Accettare connessioni sulla porta 25 solo
dagli altri server Exchange + server di
alerting
Exchange 2003 e DMZ

E’ possibile suddividere il deployment
in 2 macro categorie:


Un firewall tra front-end e Internet
DMZ: un firewall tra front-end e Internet, ed
uno tra front-end e intranet
Un firewall tra front-end e Internet
Active
Directory
Outlook
(RPC/HTTP)
Exchange
Front-End
Server
Outlook Express
POP/IMAP e SMTP
Wireless
Network &
Internet
Outlook Web Access
Outlook Mobile Access
Up-To-Date
Notifications
(SMS)
Exchange ActiveSync
Up-To-Date Notifications
(SMTP)
MS Mobile
Services
SMTP
Bridgehead
Server
Exchange
Back-End
Server
DMZ
Active
Directory
Outlook
(RPC/HTTP)
Exchange
Front-End
Server
Outlook Express
POP/IMAP e SMTP
80, 143, 110,
389, 3268,
RPC
Wireless
Network &
Internet
Outlook Web Access
DMZ
Outlook Mobile Access
Up-To-Date
Notifications
(SMS)
Exchange ActiveSync
Up-To-Date Notifications
(SMTP)
MS Mobile
Services
SMTP
Bridgehead
Server
Exchange
Back-End
Server
DMZ
Active
Directory
Outlook
(RPC/HTTP)
Exchange
Front-End
ISA Server
Feature Pack 1 Server
Outlook Express
POP/IMAP e SMTP
Wireless
80 – 110 – 143
Network
&
Canale
protetto
SSL
Internet
Outlook Web Access
DMZ
Outlook Mobile Access
Up-To-Date
Notifications
(SMS)
Exchange ActiveSync
Up-To-Date Notifications
(SMTP)
MS Mobile
Services
SMTP
Bridgehead
Server
Exchange
Back-End
Server
Exchange Server
2003 Security
Hardening
Guide.doc
con i relativi
.inf
Tecnologie antispamming
Connection Filtering
 Liste


globali “Allow / Deny”
Specifici IP o subnet
“Deny” by design
 Supporto
ad abbonamento a
servizi esterni “real-time block
list (RBL)”

Es: Mail from 62.190.247.12




12.247.190.62.bad.bl.org
Supporto per diversi fornitori
RBL (3 o 4 ideale)
NDR personalizzabile per ogni
fornitore
Possibilità di sovrascittura del
filtro (exception by E-mail
address)
Address Filtering
 Sender


filtering
Filtro di messaggi spediti da un indirizzo e-mail
o dominio smtp
Filtro di messaggi senza mittente
 Recipient




filtering
Filtro di messaggi spediti a destinatari non
esistenti (senza NDR)
Filtro di messaggi spediti a specifici indirizzi
Solo utenti autenticati inviano a Distribution
List
In aggiunta all’Address Filtering sul client –
Safe/Block list
Antispam - oggi
Exchange Server 2003
Gateway Server
Transport
Allow/Deny
Lists
Real-Time
Block Lists
Recipient
& Sender
Filtering
3rd Party
Plug-Ins
Message
+ SCL
SCL = Spam Confidence Level
Mailbox Server
Store
User
Trusted &
Junk
Senders
SMTP
Message
spam?
Junk
Mail
Folder
Inbox
User
Trusted &
Junk
Senders
Inbox
spam?
Junk
Mail
Folder
Outlook 2003
User
Trusted &
Junk
Senders
Exchange 2003 OWA
Antispam – a breve
Microsoft Exchange Intelligent
Message Filter

Basato sulla tecnologia SmartScreen





presente in Outlook2003
utilizzata da Hotmail dal 24 Febbraio 2004
integrata con l’infrastruttura SCL ( Spam
Confidence Level )
Sarà un’estensione di Exchange 2003
Server, da installare sui Bridgeheads
Coesistenza con le soluzioni di 3° parti
Microsoft Exchange Intelligent
Message Filter



Supporta il message
tagging
Si amministrerà con
un’estensione di
Exchange System
Manager Console
Saranno disponibili
Filter Updates
http://www.microsoft.com/exchange/imf
Antispam/Antispoofing –
iniziativa CSRI - Coordinated
Spam Reduction Initiative

E’ basata su questi tre principi:



Stabilire un’identità al messaggio tramite
“caller-ID” (es. FAX)
Abilitare chi effettua un’utilizzo massivo di
messaggi di posta elettronica solo se hanno
delle politiche coerenti
Creare delle alternative per chi a un dominio
ma pochi account
Antispam/Antispoofing CRSI



Determinare gli IP dei Vostri outbound email servers per il Vostro dominio
Creare “e-mail policy document”
Pubblicare “e-mail policy document” nel
DNS

“_ep.dominio.it” tramite record TXT
Antispam/Antispoofing CRSI
Alcuni esempi:
 I server SMTP di outbound sono gli stessi di
inbound
<ep
xmlns='http://ms.net/1'><out><m><mx/></m></out>
</ep>
 Il server SMTP di outbound utilizza questo IP
192.168.210.101 :
<ep xmlns=’http://ms.net/1’ testing=’true’><out><m>
<a>192.168.210.101</a> </m></out></ep>
Nota: <ep> tag indica “e-mail policy document”
Antispam/Antispoofing CRSI
Alcuni esempi:

Il dominio utilizza 3 server SMTP di outbound
<ep xmlns=’http://ms.net/1’ testing=’true’><out><m>
<a>192.168.0.101</a> <a>192.168.0.102</a>
<a>192.168.0.103</a> </m></out></ep>

Il dominio non ha server SMTP di outbound :
<ep
xmlns='http://ms.net/1'><out><noMailServers/></out></e
p>
Implementare PKI
Perche implementare PKI ?
SSL non basta ?


SSL vi da la possibilità di cifrare la
comunicazione NON il messaggio
quindi il messaggio rimane in chiaro
sul server
L’utilizzo di S/MIME si prefigge come
obiettivo quello di mantenere il
messaggio sempre cifrato e solo
quando lo volete aprire viene
decrifrato “al volo”
Firma digitale
Caratteristiche delle firme digitali:
 Autenticazione
 Non ripudio
 Integrità dei dati
S/MIME è standard ?





Nel 1999, per potenziare le funzionalità di S/MIME,
l'ente IETF ha proposto l'introduzione della
versione 3.
L'RFC 2632 si basava sulla specifica RFC 2311
per definire ulteriori standard per i messaggi
S/MIME
l'RFC 2633 potenziava la specifica RFC 2312 per
la gestione dei certificati e, infine
l'RFC 2634 estendeva le funzionalità generali
dello standard S/MIME mediante l'introduzione di
servizi aggiuntivi.
Con la versione 3, lo standard S/MIME ha
ottenuto un riconoscimento globale come
standard per la protezione dei messaggi.
I componenti base per
implementare S/MIME


Exchange Server/ Windows 2003
Client di posta elettronica






Client Microsoft Outlook® 2000 (e versioni successive)
basati su MAPI
Client basati su standard Internet, POP3 (Post Office
Protocol versione 3) e IMAP4 (Internet Message Access
Protocol versione 4rev1)
Client Outlook Web Access (controllo OCX per IE)
Client Outlook Mobile Access
Client Exchange ActiveSync®
PKI
E’ meglio una Root CA
privata o commerciale ?
Root Privata
 Permette la completa
gestione di tutti i tipi
di certificati
 Costa meno in
termini di sw ma
molto in termini di
configurazione/gestio
ne
 Gli utenti esterni /
aziende si devono
“fidare” della
“Vostra” CA
Root Commerciale
 E’ facile configurare
una infrastruttura con
le altre aziende
 Assicurano una
corretta gestione
delle chiavi
 Costose
Da considerare ...



Quante CA avete bisogno ?
Chi e quante persone devono avere queste
funzionalità avanzate ?
Disegno della gerachia PKI




Quanti livelli di gerarchia volete ?
Volete una CA “dedicata” ?
La gerachia “comune” è a tre livelli
Per il deploy automatico dei certificati occorre
installare Windows 2003 Enterprise Edition
La gerachia “comune” per la
CA
Root CA
(qualsiasi X.509 CA)
CA che distribuisce le policy
Subordinate CA
(Any X.509 CA)
Subordinate CA
(Microsoft Ent CA)
Subordinate CA
(Any X.509 CA)
End Entity
End Entity
End Entity
Metodi per scambiare i
certificati tra aziende

Scambiarli tramite messaggi di posta



Semplice ma non scalabile
Richiede una gestione individuale delle
chiavi
Export ed Import dei CR nella GAL



Non scalabile, difficile da mantenere
Implementare un LDAP “proxy” server
Poche soluzioni disponibili
Come scambiarsi i certificati ..
• Directory Synchronization
Come scambiarsi i certificati ..
• Accesso al Directory tramite i referrals
Come scambiarsi i certificati ..
• Internet Directory
Altro possibile modello
“Trusted Root Store”
Azienda A
Azienda B
Azienda C
Etc..
Forest
“extranet”
Global
Catalog
Business
Partner
Common
Name
E-Mail
Address
Cert
O
LDAP (389)
P
LDAP SSL
(636)
P
Require Client
Certificate
P
Allow
Anonymous
Forest interna
S/MIME e SmartCard

Per poter utilizzare le SmartCard sia per il
logon che per la posta elettronica dovete:


Installare il modulo corretto
Inserire il certificato dell’utente sulla smart
card .. uno alla volta ...
Utilizzo CA interna
DEMO
Link

www.microsoft.com/technet
www.microsoft.com/technet/security

http://www.microsoft.com/exchange/imf

Hardening Exchange 2003
Library di Exchange 2003


Scarica

TechNet Exchange Workshop