Securing SMTP Traffic in Exchange 2010/2007

By Andrei Ungureanu - Last updated: Wednesday, March 27, 2013 - Save & Share - Leave a Comment

Inca mai exista cazuri in care avem clienti POP3/IMAP ce se conecteaza din diferse locuri din Internet si pe care nu ii putem refuza (si nu accepta nici varianta cu VPN).

Accesul via POP3/IMAP poate fi securizat folosind versiunile SSL ale acestor protocoale si bineinteles deschizand doar porturile pentru versiunile securizate in firewall.

image

image

Dar IMAP si POP3 sunt protocoale doar pentru “email retrieval”. Va trebui sa trimitem email-urile tot via SMTP. In majoritatea cazurilor providerii de internet pun la dispozitia clientilor servere de SMTP prin care acestia pot face relay la email-uri. Dar sunt cazuri in care nu avem aceasta varianta si atunci va trebui sa le permitem sa faca relay direct prin SMTP-ul de pe Exchange. Open Relay nu putem face, nici reguli dupa IP, deci singura varianta a ramas cea cu autentificare pe SMTP.

Problema e ca trebuie sa securizam cumva macar trimiterea credentialelor sau si mai bine toata conexiunea. Doar ca varianta SMTP SSL ce teoretic functiona pe portul TCP 465 nu mai este implementata in Exchange 2007/2010. In schimb serverul SMTP suporta criptarea conexiunii peste acelasi port. Deci conexiunea poate incepe pe portul 25 si dupa EHLO se incepe conexiunea criptata folosind STARTTLS. Chestia ce mi se pare putin ciudata este ca e greu cateodata sa iti dai seama daca folosesti o conexiune criptata sau nu.

Totusi ca sa le diferentieze s-a stabilit cumva ca astfel de conexiuni de la clienti catre serverele de SMTP sa se faca peste portul 587. Si chiar din acest motiv veti vedea in Exchange inca un receive connector setat pe acest port si cu setarile necesare sa permita comunicarea criptata intre client si server.

image

image

Nota: In cazul conexiunilor externe, Integrated Windows Authentication se refera la NTLM ce va funtiona peste conexiunea SMTP.

Deci permitem accesul catre conectorul ce asculta pe portul 587 iar in clientul de email face setarile ca mai jos (sau apropiat).

image

Important este sa folosim portul pe care este setat conectorul si sa bifam optiunea “This server requires a secure conexion (SSL)”. Cu aceasta optiune activata clientul va cere serverului inceperea conexiunii securizate folosind comanda STARTTLS. Chiar si fara, folosind conectorul default pe portul 587 in procesul de autentificare va fi folosit NTLM, insa de preferat este TLS.

Sper sa mai foloseasca informatia asta si altora care inca mai lovesc de POP3/IMAP.

Spor!

Posted in Exchange • Tags: , , , Top Of Page

Write a comment