Tal y como comentaba en el post anterior, vamos a repasar las características de seguridad que aporta Exchange Server 2007 a las organizaciones para proteger el entorno de comunicaciones de mensajería.
La primera capa de seguridad de la que quiero hablar es la protección antivirus y antispam, así como los agentes de transporte que se incluyen en Exchange Server 2007.
Estas amenazas son un riesgo real para muchas organizaciones, las cuales dependen del correo para que su negocio siga funcionando. Los virus, troyanos, rootkits, spyware, spam, phising, etc., pueden hacer que la organización se pare completamente por una infección. Es por ello que debemos poner todas las barreras necesarias para reducir el riesgo de ataque por estos motivos.
En ese sentido, Exchange Server 2007 ha modificado su arquitectura de roles para proporcionar los niveles más altos de seguridad y aislamiento. Me refiero al rol de servidor de Transporte Perimetral, el cual, aunque no es un requisito, es muy recomendable instalarlo en la organización.
Este rol de servidor, actúa como pasarela SMTP para una o varias organizaciones, sin embargo su particularidad reside en que no forma parte del bosque de directorio activo. En un rol que se instala en la red perimetral en un servidor totalmente aislado del resto de la organización.
Por defecto cuando instalamos el servidor de transporte perimetral, se instalan los agentes de transporte e higiene de mensajes entre los que se encuentran:
- Address Rewriting Inbound agent
- Address Rewriting Outbound agent
- Attachment Filter agent
- Connection Filter agent
- Content Filter agent
- Edge Rule agent
- Protocol Analysis agent
- Recipient Filter agent
- Sender Filter agent
- Sender ID agent
Los agentes de transporte son componentes de software que se activan ante eventos del motor de transporte SMTP. Los desarrolladores terceros pueden crear e integrar sus propios agentes y decidir en qué momento se activan. En el siguiente diagrama observamos el orden de ejecución y los eventos en los que los agente se ejecutan. El diagrama completo de la arquitectura lo podéis descargar desde Microsoft.
La importancia de esta nueva arquitectura es que al no formar parte del dominio, si el servidor perimetral quedase expuesto por una vulnerabilidad, esta exposición no se podría utilizar para alcanzar al dominio de directorio activo.
Pero el servidor perimetral no forma parte del dominio, ¿cómo se comunica con la organización Exchange?
Pues bien, el servidor perimetral de transporte de Exchange Server 2007, puede funcionar en dos modos.
- Modo independiente
- Modo asociado a una organización.
Recién instalado el servidor, lo tendremos en modo independiente, el cual es totalmente funcional ya que puede recibir correo y reenviarlo a cualquier tipo de organización, incluyendo aquellas que no son Exchange. En este caso actúa como un relay de correo. Para poder recibir y reenviar correo debemos crear los dominios aceptados y los conectores de envío SMTP correspondientes. Es un entorno ideal para proveedores de servicios con miles de clientes.
Para organizaciones o corporaciones de empresa en donde existen bosques con relaciones de confianza entre ellos, es más recomendable utilizar el modo asociado.
La diferencia está en que el modo asociado, utiliza certificados para realizar una autenticación mutua entre todos los servidores perimetrales (EDGE) y todos los servidores de transporte interno (HUB). Además, gracias a dichos certificados, el transporte se realiza de forma cifrada con TLS.
Desde el punto de vista administrativo, el modo asociado permite sincronizar información desde el directorio Activo y evita el tener que realizar una doble administración ya que tanto la lista de dominios aceptados, lista de destinatarios, lista de conectores de envío, lista de remitentes seguros de clientes (novedad en Exchange Server 2007), se agregan al ADAM local que tiene cada servidor perimetral.
En el próximo post os comentaré como instalar este rol y configurar los agentes de filtrado de mensajes. Saludos cordiales.
cb5f526f-e31b-4716-86f4-196b1b92e331|2|5.0
Exchange Server 2007, Seguridad