TechNet Exchange Workshop

1
TechNet Exchange Workshop
2
Exchange 2003 Security

• Ivan Riservato
• MVP Exchange
• MCxx,CCNA
• Presidente UGIMEX - www.ugimex.org

3
Agenda

• Analisi del traffico di rete
• Tra client e server
• Tra server e server
• Cosa modificare nei setting di default sui VS e
  SMTP Connector
• Tecnologie antispamming
• Implementare PKI in azienda per utilizzare S/MIME
  e smartcard

4
Analisi del traffico di rete

• Tra client e server
• DEMO POP3, IMAP4

5
Tra client e server

• Soluzione Utilizzare SSL per i client che
  utilizzano i protocolli standard

Protocollo Porta Standard Porta con SSL
POP3 110 995
IMAP4 143 993
SMTP 25 25
HTTP 80 443
LDAP 389 636
6
Tra client e server

• Se il client utilizza MS-RPC abilitare queste
  opzioni gt
• Outlook 98
• Outlook 2000
• Outlook 2002

7
Tra client e server

• Outlook 2003

8
Tra client e server

• DEMO implementazione SSL su VS

9
Tra client e server

• Se uso OWA in https, POP3s, IMAP4s sono sicuro ?
• Dipende ...
• Si, tra il server e il client ma se utilizzate
  la funzionalità FE/BE avete questa situazione ...
• minimo 1024 bit ovviamente con 2048, 4096,
  8192, 16384 è migliore la sicurezza ma le
  performance globali peggiorano

10
Architettura FrontEnd BackEnd
Exchange Back-End Server
Active Directory
Outlook (RPC/HTTP)
Outlook Express POP/IMAP e SMTP
Canale protetto SSL
Wireless Network Internet
In CHIARO !
Outlook Web Access
Outlook Mobile Access
SMTP Bridgehead Server
Exchange ActiveSync
11
Tra i server

• Tra i/il FE e tutti i/il BE una possibile
  soluzione è di implementare IPSec
• Exchange 2003 supporta IPSEC tra BE in cluster e
  FE, con requisito Windows 2003

12
Tra i server - routing

• Il protocollo per lo scambio dei messaggi è SMTP
  .. quindi plain text !
• DEMO Come implementare TLS sui VS SMTP
• Attenzione non si può implementare sul
• VS che riceve la posta Internet perchè le
• altre organizzazioni non hanno TLS ..

13
Cosa modificare nei setting di default

• Sul VS
• Abilitare i log su tutti i VS utilizzati
• Verificare che il relay sia disabilitato
  (default)
• Accettare connessioni sulla porta 25 solo dagli
  altri server Exchange server di alerting

14
Exchange 2003 e DMZ

• E possibile suddividere il deployment in 2
  macro categorie
• Un firewall tra front-end e Internet
• DMZ un firewall tra front-end e Internet, ed uno
  tra front-end e intranet

15
Un firewall tra front-end e Internet
Exchange Back-End Server
Active Directory
Outlook (RPC/HTTP)
Outlook Express POP/IMAP e SMTP
Wireless Network Internet
Outlook Web Access
Outlook Mobile Access
SMTP Bridgehead Server
Exchange ActiveSync
16
DMZ
Exchange Back-End Server
Active Directory
Outlook (RPC/HTTP)
Outlook Express POP/IMAP e SMTP
80, 143, 110, 389, 3268, RPC
Wireless Network Internet
Outlook Web Access
DMZ
Outlook Mobile Access
SMTP Bridgehead Server
Exchange ActiveSync
17
DMZ
Exchange Back-End Server
Active Directory
Outlook (RPC/HTTP)
Outlook Express POP/IMAP e SMTP
80 110 143
Canale protetto SSL
Wireless Network Internet
Outlook Web Access
Outlook Mobile Access
SMTP Bridgehead Server
Exchange ActiveSync
18
Exchange Server 2003 Security HardeningGuide.do
ccon i relativi.inf
19
Tecnologie antispamming
20
Connection Filtering

• Liste globali Allow / Deny
• Specifici IP o subnet
• Deny by design
• Supporto ad abbonamento a servizi esterni
  real-time block list (RBL)
• Es Mail from 62.190.247.12
• 12.247.190.62.bad.bl.org
• Supporto per diversi fornitori RBL (3 o 4 ideale)
• NDR personalizzabile per ogni fornitore
• Possibilità di sovrascittura del filtro
  (exception by E-mail address)

21
Address Filtering

• Sender filtering
• Filtro di messaggi spediti da un indirizzo e-mail
  o dominio smtp
• Filtro di messaggi senza mittente
• Recipient filtering
• Filtro di messaggi spediti a destinatari non
  esistenti (senza NDR)
• Filtro di messaggi spediti a specifici indirizzi
• Solo utenti autenticati inviano a Distribution
  List
• In aggiunta allAddress Filtering sul client
  Safe/Block list

22
Address Filtering
23
Address Filtering
24
Antispam - oggi
Exchange Server 2003
User Trusted Junk Senders
Inbox
Gateway Server Transport
Mailbox Server Store
User Trusted Junk Senders
spam?
Allow/Deny Lists Real-Time Block Lists
SMTP Message
Junk Mail Folder
spam?
Recipient Sender Filtering
Outlook 2003
User Trusted Junk Senders
Junk Mail Folder
3rd Party Plug-Ins
Inbox
Message SCL
SCL Spam Confidence Level
Exchange 2003 OWA
25
Antispam a breveMicrosoft Exchange Intelligent
Message Filter

• Basato sulla tecnologia SmartScreen
• presente in Outlook2003
• utilizzata da Hotmail dal 24 Febbraio 2004
• integrata con linfrastruttura SCL ( Spam
  Confidence Level )
• Sarà unestensione di Exchange 2003 Server, da
  installare sui Bridgeheads
• Coesistenza con le soluzioni di 3 parti

26
Microsoft Exchange Intelligent Message Filter

• Supporta il message tagging
• Si amministrerà con unestensione di Exchange
  System Manager Console
• Saranno disponibili Filter Updates

http//www.microsoft.com/exchange/imf
27
Antispam/Antispoofing iniziativa CSRI -
Coordinated Spam Reduction Initiative

• E basata su questi tre principi
• Stabilire unidentità al messaggio tramite
  caller-ID (es. FAX)
• Abilitare chi effettua unutilizzo massivo di
  messaggi di posta elettronica solo se hanno delle
  politiche coerenti
• Creare delle alternative per chi a un dominio ma
  pochi account

28
Antispam/Antispoofing CRSI

• Determinare gli IP dei Vostri outbound e-mail
  servers per il Vostro dominio
• Creare e-mail policy document
• Pubblicare e-mail policy document nel DNS
• _ep.dominio.it tramite record TXT

29
Antispam/Antispoofing CRSI

• Alcuni esempi
• I server SMTP di outbound sono gli stessi di
  inbound
• ltep xmlns'http//ms.net/1'gtltoutgtltmgtltmx/gtlt/mgtlt/ou
  tgtlt/epgt
• Il server SMTP di outbound utilizza questo IP
  192.168.210.101
• ltep xmlnshttp//ms.net/1 testingtruegtltoutgtltm
  gt ltagt192.168.210.101lt/agt lt/mgtlt/outgtlt/epgt
• Nota ltepgt tag indica e-mail policy document

30
Antispam/Antispoofing CRSI

• Alcuni esempi
• Il dominio utilizza 3 server SMTP di outbound
• ltep xmlnshttp//ms.net/1 testingtruegtltoutgtltm
  gt ltagt192.168.0.101lt/agt ltagt192.168.0.102lt/agt
  ltagt192.168.0.103lt/agt lt/mgtlt/outgtlt/epgt
• Il dominio non ha server SMTP di outbound
• ltep xmlns'http//ms.net/1'gtltoutgtltnoMailServers/gt
  lt/outgtlt/epgt

31
Implementare PKI
32
Perche implementare PKI ? SSL non basta ?

• SSL vi da la possibilità di cifrare la
  comunicazione NON il messaggio quindi il
  messaggio rimane in chiaro sul server
• Lutilizzo di S/MIME si prefigge come obiettivo
  quello di mantenere il messaggio sempre cifrato e
  solo quando lo volete aprire viene decrifrato al
  volo

33
Firma digitale

• Caratteristiche delle firme digitali
• Autenticazione
• Non ripudio
• Integrità dei dati

34
S/MIME è standard ?

• Nel 1999, per potenziare le funzionalità di
  S/MIME, l'ente IETF ha proposto l'introduzione
  della versione 3.
• L'RFC 2632 si basava sulla specifica RFC 2311 per
  definire ulteriori standard per i messaggi S/MIME
• l'RFC 2633 potenziava la specifica RFC 2312 per
  la gestione dei certificati e, infine
• l'RFC 2634 estendeva le funzionalità generali
  dello standard S/MIME mediante l'introduzione di
  servizi aggiuntivi.
• Con la versione 3, lo standard S/MIME ha ottenuto
  un riconoscimento globale come standard per la
  protezione dei messaggi.

35
I componenti base per implementare S/MIME

• Exchange Server/ Windows 2003
• Client di posta elettronica
• Client Microsoft Outlook 2000 (e versioni
  successive) basati su MAPI
• Client basati su standard Internet, POP3 (Post
  Office Protocol versione 3) e IMAP4 (Internet
  Message Access Protocol versione 4rev1)
• Client Outlook Web Access (controllo OCX per IE)
• Client Outlook Mobile Access
• Client Exchange ActiveSync
• PKI

36
E meglio una Root CA privata o commerciale ?

• Root Privata
• Permette la completa gestione di tutti i tipi di
  certificati
• Costa meno in termini di sw ma molto in termini
  di configurazione/gestione
• Gli utenti esterni / aziende si devono fidare
  della Vostra CA

• Root Commerciale
• E facile configurare una infrastruttura con le
  altre aziende
• Assicurano una corretta gestione delle chiavi
• Costose

37
Da considerare ...

• Quante CA avete bisogno ?
• Chi e quante persone devono avere queste
  funzionalità avanzate ?
• Disegno della gerachia PKI
• Quanti livelli di gerarchia volete ?
• Volete una CA dedicata ?
• La gerachia comune è a tre livelli
• Per il deploy automatico dei certificati occorre
  installare Windows 2003 Enterprise Edition

38
La gerachia comune per la CA
Root CA (qualsiasi X.509 CA)
CA che distrib- uisce le policy
Subordinate CA (Microsoft Ent CA)
Subordinate CA (Any X.509 CA)
Subordinate CA (Any X.509 CA)
End Entity
End Entity
End Entity
39
Metodi per scambiare i certificati tra aziende

• Scambiarli tramite messaggi di posta
• Semplice ma non scalabile
• Richiede una gestione individuale delle chiavi
• Export ed Import dei CR nella GAL
• Non scalabile, difficile da mantenere
• Implementare un LDAP proxy server
• Poche soluzioni disponibili

40
Come scambiarsi i certificati ..

• Directory Synchronization

41
Come scambiarsi i certificati ..

• Accesso al Directory tramite i referrals

42
Come scambiarsi i certificati ..

• Internet Directory

43
Altro possibile modello
Trusted Root Store
Azienda A
Azienda B
Azienda C
Forest extranet
Etc..
Global Catalog
Business Partner
Bob Smith
bsmith _at_securmail.com
E-Mail Address
Common Name
Cert
Trusted Certificate
Client Cert Request
O LDAP (389)
P LDAP SSL (636)
P Require Client Certificate
P Allow Anonymous
LDAP SSL Request
Forest interna
44
S/MIME e SmartCard

• Per poter utilizzare le SmartCard sia per il
  logon che per la posta elettronica dovete
• Installare il modulo corretto
• Inserire il certificato dellutente sulla smart
  card .. uno alla volta ...

45
Utilizzo CA interna DEMO
46
Link

• www.microsoft.com/technet
• www.microsoft.com/technet/security
• http//www.microsoft.com/exchange/imf
• Hardening Exchange 2003
• Library di Exchange 2003