Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Servidor de correo Exchange 2010 sobre Windows Server 2012
1. 1
ACTIVIDAD 2 (PARTE II)
SOLUCIÓN DE CORREO - WINDOWS
VANESA RODRÍGUEZ PERCY
JUAN DAVID TRUJILLO
CÉSAR MORALES MEJÍA
NÚMERO DE FICHA: 600088
INSTRUCTOR: ALEXANDER ALVAREZ
SENA
SERVICIO NACIONAL DE APRENDIZAJE
GESTION REDES DE DATOS
MEDELLIN
2014
2. 2
Contenido
Objetivos ......................................... 3
Introducción .................................... 4
Problema a resolver......................................................... 5
Instalación y configuración del servicio de directorio activo ................................................ 8
Instalaciones previas requeridas a la instalación del servicio de correo Exchange: ....................... 9
Instalación del servicio de correo Exchange ................................................. 12
Configuración de servidor Exchange .................................................... 20
Configuración de servicios IMAP4 y POP3.......................................... 30
Configuración de cuotas máximas almacenamiento ....................................................... 37
Configuración de grupos distribución ............................................. 42
Configuración del cifrado TLS/SSL ...................................................... 48
Captura de paquetes con WireShark .................................................... 60
Antivirus para el sistema de correo ....................................................... 67
Cibergrafía .................................... 73
3. 3
Objetivos
Aprender la aplicación de conceptos previos investigados, sobre los servidores de correo.
Implementar una solución de correo en plataforma Windows.
Configurar los diferentes agentes de correo.
4. 4
Introducción
Con la expresión “servicio de correo” normalmente se hace referencia a toda la infraestructura
tecnológica detrás de una solución de correo electrónico, en donde usuarios de una organización
o usuarios de una entidad en la web obtienen servicios que le permiten intercambiar mensajes
electrónicos con otros usuarios de la organización o dominio, o con usuarios de otras
organizaciones o dominios en Internet. Sin embargo una solución de correo es mucho más que
un simple servicio, es en realidad un entramado de servicios y tecnologías que interactúan entre
sí para permitir, como mínimo, a los clientes finales (los usuarios del correo electrónico)
intercambiar mensajes. Adicionalmente, debido a la tendencia de convergencia de servicios, una
solución de correo electrónico también puede proveer funciones complementarias a sus clientes,
como por ejemplo: Agenda Electrónica, Mensajería unificada y Almacenamiento remoto. Pero
esto no es todo, la ya irrefutable necesidad de añadir seguridad en las transacciones de los
diferentes entes que intervienen en una comunicación en los servicios de la solución de correo, y
la necesidad de implantar métodos de autenticación y validación en las cuentas del correo
electrónico aumentan el grado de complejidad de las soluciones de correo.
Una solución de correo está formada principalmente por una familia de Agentes que se encargan
de tareas específicas en cada fase de la transacción de un mensaje de correo electrónico:
5. 5
Problema a resolver
La empresa ABCx requiere el diseño e implementación de una plataforma correo seguro que se integre a los servicios de red y las aplicaciones existentes en la organización.
La información de los objetos la red son almacenados en un servicio Directorio Ligero (Active Directory MS, openLDAP, 389 Server, etc.) con la siguiente estructura lógica:
Microsoft Exchange Server 2010:
Microsoft Exchange Server es un sistema de mensajería que incluye servidor correo, programa de correo electrónico (cliente electrónico) y aplicaciones trabajo en grupo.
Exchange fue diseñado para uso en un entorno comercial, el servidor de se utiliza a menudo en conjunto con Microsoft Outlook para aprovechar las características de colaboración de Outlook, tales como la capacidad para compartir calendarios y listas de contactos.
Microsoft Exchange Server tiene dos propósitos principales:
1. Exchange Server soporta POP, IMAP, emails web, así como su propio cliente de correo Microsoft Outlook.
2. Exchange Server permite a los usuarios compartir información, ya sea a través de Outlook en sus escritorios o Web Access a través de un navegador web.
Exchange 2010 incluye los siguientes roles de servidor:
I. Servidor de buzones correo: Se encarga de alojar buzones correo y carpetas públicas, almacenamiento de correo electrónico. Este rol servidor es el más habitual y ocupa un lugar central en las organizaciones Exchange.
II. Servidor de acceso cliente: Se encarga de alojar los protocolos cliente, por ejemplo el protocolo POP, IMAP4, HTTPS, Outlook en cualquier lugar, servicios web.
Figura 2. Árbol lógico
6. 6
III. Servidor de mensajería unificada: Se encarga de conectar un sistema central conmutación a Exchange 2010.La mensajería unificada combina mensajes de voz y correo electrónico en una sola bandeja de entrada a la que se puede acceder desde el teléfono o el equipo.
IV. Servidor transporte de concentradores: Se encarga de enrutar el correo dentro la organización, aplicar las reglas de transporte, directivas registro en diario y entregar los mensajes de correo. Este servidor retransmite los mensajes que se envían a Internet al rol de servidor Transporte perimetral que se implementa en la red perimetral.
También se encarga de procesar todos los mensajes que envían desde la organización de Exchange Server 2010 antes que se entreguen a la bandeja de entrada un destinatario o se enruta a usuarios externos la organización.
V. Servidor transporte perimetral: Es el servidor de enrutamiento correo que se sitúa en el perímetro de la topología y enruta correo hacia la organización de Exchange y desde ésta.
Sirve como correo adicional de enrutamiento del servidor que enruta dentro y fuera de la organización Exchange. Es el encargado todo flujo correo internet, que ofrece el relevo SMTP y los servicios de host inteligente para la organización Exchange.
7. 7
Primera parte:
1. Implemente el árbol lógico de la figura 2. Tenga en cuenta que esta actividad ya pudo haber sido desarrollada en una actividad anterior.
2. Implemente una solución MTA (Mail Transport Agent) para el dominio X.com (La x corresponde a las iniciales de los apellidos su grupo trabajo).
Lo primero que hacemos es cambiar el nombre de la máquina.
Configuramos una dirección IP estática en el servidor.
8. 8
Instalación y configuración del servicio de directorio activo
Vamos a la pestaña Administrar y elegimos opción “Agregar roles características”.
En el asistente que aparece damos clic en siguiente y este nos aseguramos esté seleccionado “Instalación basada en características o roles” y hacemos clic siguiente.
Ahora seleccionamos “servicios de dominio Active Directory”.
9. 9
Una vez terminada la instalación configuramos el PTR en zona inversa para que servidor resuelva las solicitudes por DNS.
Instalaciones previas requeridas a la instalación del servicio de correo Exchange:
1) Realizar las actualizaciones automáticas de Windows Update.
10. 10
2) Es necesario instalar el ROL de .Net framework 3.5. En el Server Manager (Administrador del servidor), para evitar errores durante la instalación lo hacemos por medio de la shell, abrimos shell para este caso primera que aparece en imagen y copiamos el siguiente comando:
Add-WindowsFeature NET-Framework-Core,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web- Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process- Model,Web-Mgmt-Tools,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP- Activation,Web-Asp-Net,Web-Client-Auth,Web-Dir-Browsing,Web-Http-Errors,Web-Http- Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Filter,Web-Request-Monitor,Web- Static-Content,Web-WMI,RPC-Over-HTTP-Proxy –Restart
3) Instalamos los filter packs Office 2010 Filter Packs y Service Pack 1. Estos requisitos pueden variar en función de la configuración del sistema y las funcionalidades concretas a instalar.
12. 12
Instalación del servicio de correo Exchange
Iniciamos la instalación del Exchange descargando y ubicando el paquete de instalación en una ruta específica.
|
13. 13
Iniciamos la instalación, donde realizaremos la instalación típica de Exchange con los roles Concentrador de transporte, Acceso cliente, Buzón y las herramientas administración.
Damos clic en la opción Instalar Microsoft Exchange.
14. 14
Hacer clic en Siguiente.
Aceptamos los términos de licencia.
15. 15
Se nos pregunta si deseamos reportar errores, elegimos “Si”.
Elegimos “Instalación típica de Exchange Server”
16. 16
Seleccionamos la ubicación donde deseamos que se instale el servicio, es conveniente elegir una ubicación diferente a la seleccionada para el Directorio Activo, en este caso lo vamos instalar en el Disco Local “D” la carpeta Instalación Exchange” creada anteriormente.
Le damos un nombre a la organización para este caso “RMT”
17. 17
Como no tenemos equipos cliente que ejecuten Outlook 2003 seleccionamos “no”
Le damos un nombre al dominio que se usará con los servidores de acceso de clientes externos. Para este caso “exchange.RMT.local”
18. 18
No aceptamos la participación en el programa.
Se realiza la comprobación para verificar se cuenta con los requisitos necesarios instalación.
19. 19
Hacemos clic en instalar y una vez finalizada la instalación, hacemos finalizar.
3. Implemente una solución MDA (Mail Delivary Agent) y un Servidor IMAP POP3 (MRA/MAA) para la entrega de correos a los agentes MUA.
Para esto debemos iniciar la configuración de nuestro servidor Exchange 2010. En los pasos siguientes se describirá los pasos para esta configuración.
20. 20
Configuración de servidor Exchange
Para empezar a configurar nuestro servidor de Exchange 2010 SP3, ejecutamos la Consola de administración de Exchange.
Lo primero que configuraremos será un nuevo conector de envío que se utiliza para transferir los mensajes salientes de Exchange a través Internet. Para ello extendemos la opción Configuración de la Organización.
21. 21
Seleccionamos Transporte de concentradores.
En la pestaña central seleccionamos “Enviar conectores”
En el panel lateral derecho de Acciones elegimos “Nuevo conector de envío”.
Y le damos un nombre al conector, por ejemplo el que se muestra en la imagen y hacemos clic siguiente.
22. 22
Clic en la opción agregar, y allí el campo Espacio de direcciones, pondremos un (*) para que este conector de envío esté configurado para enviar mensajes correo electrónico a cualquier dominio en Internet.
Hacemos clic en siguiente.
Esta opción la dejamos seleccionada como aparece en la imagen:
23. 23
En servidor de origen nos debe aparecer el nombre que le dimos a nuestro servidor:
En esta nueva pantalla hacemos clic en la pestaña “nuevo”
24. 24
Y por último hacemos clic en finalizar
Una vez creado nuestro conector, hacemos clic en “Propiedades” y escribimos el nombre de nuestro servidor “exchange.RMT.local” en: especificar el FQDN que proporcionará este conector en respuesta a HELO o EHLO.
25. 25
Para asignar a nuestros usuarios su buzón de correo electrónico, debemos extender la opción configuración de destinatario y seleccionamos Buzón de correo, en el panel lateral derecho Acciones, hacemos clic en Nuevo buzón.
Ahora hacemos clic en “Buzón de usuario” y clic en siguiente.
26. 26
Hacemos clic en “Agregar”
En el paso anterior hay dos opciones para agregar los usuarios al buzón de correo; una opción es creando un nuevo usuario y la otra es agregando usuarios existentes, los cuales ya deberíamos haber creado en “Usuarios y equipos de Active Directory”, para este caso vamos a utilizar la segunda opción agregando usuarios previamente creados como se muestra en las siguientes imágenes:
27. 27
Realizamos este procedimiento hasta crear los usuarios necesarios.
Ahora si agregamos los usuarios al buzón, seleccionando deseados.
28. 28
Hacemos clic en siguiente.
Ahora hacemos clic en “nuevo” para la correcta finalización del correo.
29. 29
Clic en finalizar.
Aquí podemos ver en la franja central, los usuarios correctamente agregados al buzón.
30. 30
Configuración de servicios IMAP4 y POP3
Para configurar estos dos servicios, lo único que tenemos hacer es activarlos, para lo cual vamos a inicio de Windows, herramientas administrativas y buscamos la consola de configuración “Servicios”.
En dicha consola buscamos los dos servicios que necesitamos activar, hacemos clic derecho sobre ellos y seleccionamos la pestaña propiedades. Allí seleccionamos en la barra deslizante “Automático” y lo iniciamos para que empiecen a funcionar por último guardamos la configuración.
32. 32
Para verificar el correcto funcionamiento de nuestro buzón correo instalamos un equipo cliente para este caso Windows 7.
El cuál debemos vincular a nuestro dominio y configurar la tarjeta de red en modo puente además configurarla con una IP dentro del rango de la dirección servidor, asignarle puerta enlace al igual que en el servidor y DNS, como se puede ver en las siguientes imágenes:
Debemos unir este equipo cliente, al dominio previamente configurado en el servidor.
33. 33
Asignamos la IP al equipo cliente.
Ahora iniciamos sesión en el equipo cliente, con uno de los usuarios creados en el Active Directory y abrimos el servicio de Outlook que debe haber sido previamente instalado para hacer las pruebas de funcionamiento.
AGENTES MUA – Outlook 2010
35. 35
Ahora vamos a hacer la prueba de conexión través internet por medio “OWA”
36. 36
Escribimos el dominio e iniciamos como administrador con su respectiva contraseña.
Por primera vez configuramos el idioma y la zona horaria.
37. 37
4. Configure políticas para los buzones de correo, ejemplo: cuotas máximas almacenamiento, políticas de filtrado a través del MDA, etc.
Configuración de cuotas máximas almacenamiento
Para configurar los buzones de correo con cuotas de almacenamiento, vamos a la opción configuración de organización, seleccionamos nuestro servidor y clic derecho propiedades para la configuración deseada.
38. 38
También podemos crear configurar cuotas de almacenamiento por usuario, para esto vamos a Configuración de destinatario, Buzones de correo y elegimos de los buzones creados y damos clic derecho sobre él y clic en propiedades.
Después clic en la pestaña Configuración del buzón de correo - Cuotas de almacenamiento
39. 39
Aquí hacemos las restricciones necesarias. Desactivamos la opción Usar valores predeterminados de las bases datos buzones para poder realizar la configuración personalizada del buzón.
En este caso asignamos 1 MB, como el tope máximo para el envío y recepción del buzón, si pasa este tope saldrá una advertencia indicándole que no es posible realizar el envío de algún correo o cuando el buzón supere la cantidad indicada.
Configuración del flujo de correo
40. 40
En esta pestaña configuramos la opción Restricciones en el tamaño de mensajes.
PRUEBAS
Iniciamos sesión con el cliente, en este caso será usuario Vanesa Ramirez, a se le configuro la cuota máxima.
41. 41
Vemos que sale el siguiente mensaje:
Lo que nos indica la cuota de almacenamiento para este usuario, está funcionando adecuadamente.
42. 42
Cree listas de distribución que permitan enviar correos a grupos usuarios con características en común, por ejemplo: compras, usuarios-sistemas@ABCx.com.
Configuración de grupos distribución
Para crear un nuevo grupo de distribución, se debe tener en cuenta las unidades organizativas y los usuarios que están en ellas. Las cuales hemos creado previamente en el AD.
Vamos a la opción Configuración de destinatarios, grupo de distribución y luego grupo de distribución nuevo
48. 48
5. Configure cifrado TLS/SSL para las transacciones entre los diferentes agentes de correo.
Configuración del cifrado TLS/SSL
SSL son las siglas en inglés de Secure Socket Layer (en español capa de conexión segura). Es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como lo es navegador de Internet) y un servidor (como lo son las computadoras con páginas web).
En primer lugar tenemos que habilitar en nuestro servidor el protocolo SSL; para esto ingresamos al Administrador de Internet Information Service (IIS), que se encuentra en las opciones de administración de Windows Server 2012.
Agente de correo OWA
49. 49
En las opciones del panel derecho seleccionamos la opción OWA, inmediatamente en la parte central de esta ventana, se mostrarán más opciones configuración; entre ellas encuentra la opción configuración de SSL.
Seleccionamos esta opción (Configuración de SSL), haciendo doble clic sobre ella.
Aparecen estas opciones; aquí tenemos que activar el cifrado SSL. Para esto dejamos activa la opción Requerir SSL y en certificado de cliente seleccionamos la opción Aceptar.
50. 50
Para aplicar los cambios, clic en la opción Aplicar que se encuentra en la parte superior derecha de la ventana, en el panel Acciones.
Para realizar la prueba de funcionamiento este tipo cifrado, vamos a nuestro equipo cliente y desde allí la prueba de conexión a través del agente OWA.
Para ello abrimos un navegador de Internet en el cliente (en este caso usaremos Internet Explorer Versión y en la barra de direcciones digitamos dirección que permite ingresar a interfaz de administración del OWA.
Podemos usar cualquiera de estas direcciones:
https://127.0.0.1/owa
https://localhost/owa
https://rmt.local/owa Esta última dirección contiene el nombre de nuestro dominio (rmt.local).
En este punto, debemos tener presente que cuando digitamos la dirección Web así: https (la s indica que esta página usa certificado SSL; todo lo contrario a cuando digitamos la dirección con el http (este tipo de página no usa certificado SSL).
51. 51
Cuando ponemos la dirección en el navegador, nos arroja el mensaje de que “no puede mostrar esta página”, para este caso lo que debemos hacer es: Por las opciones de Internet, habilitar los protocolos SSL y TLS en la sección de seguridad.
Pasos para activar los protocolos: Herramientas, Opciones de Internet, Opciones Avanzadas. Allí habilitamos todas las opciones que tienen ver con SSL y TLS.
52. 52
Después de esto, volvemos a cargar la página con cualquiera de las direcciones antes mencionadas.
Aquí nos informa que la página a pretendemos ingresar, el certificado de ésta no es de confianza; ya que no fue emitido por una entidad de certificación confianza.
Damos clic en la opción Vaya a este sitio Web (no recomendado). Después de esto nos pedirá el usuario y la contraseña para iniciar sesión, ingresamos esta información como lo habíamos hecho en pasos anteriores.
53. 53
Agente de correo Outlook (Versión 2010)
Para configurar SSL y TLS, configuraremos una cuenta de usuario en el cliente correo Microsoft Outlook 2010, iniciamos la configuración y elegimos opción configurar manualmente las opciones del servidor o tipos de servidores adicionales.
Ahora podemos ver que la página del servicio Web de Outlook, tiene activo el certificado SSL, el cual provee privacidad y confiabilidad en la autenticación de los usuarios.
54. 54
Aquí dejamos la opción que aparece por defecto (Correo electrónico de Internet).
En el siguiente paso, debemos configurar algunos parámetros de la cuenta.
Aquí debemos poner en información del servidor, el servidor de correo entrante en este caso será (rmt.local) y el servidor de correo saliente (rmt.local).
En información de inicio sesión, debemos poner el nombre de usuario y la contraseña con los cuales se creo el buzón de correo del usuario en cuestión.
55. 55
Adicionalmente debemos dar clic en la opción más configuraciones, allí configuramos lo siguiente:
En la pestaña Servidor de salida, activamos la opción Mi servidor de salida (SMTP) requiere autenticación.
56. 56
En la pestaña Avanzadas, debemos activar la opción: Este servidor precisa una conexión cifrada SSL, activamos también la opción: Usar el siguiente tipo de conexión cifrada TLS.
Clic en Aceptar.
Después de esto damos clic en Siguiente, el asistente probará la configuración de cuenta para ver si está correctamente configurada.
57. 57
Cuando el asistente verifica la configuración y todo está correcto, cuenta se habrá creado exitosamente y mostrará este resultado:
Clic en finalizar.
Ahora veremos la bandeja de entrada cuenta que se ha creado, en este caso cesar, su correo es cesar@rmt.local.
De esta forma hemos configurado el cifrado SSL en agente de correo Outlook 2010.
58. 58
Podemos realizar pruebas de envío y recepción correo con cada cuenta creada.
La usuaria vanesa, envía correo al buzón del usuario juan.
De igual forma desde el servidor, probamos envío y recepción de correo. El usuario administrador, hace el envío de un mensaje correo al usuario Cesar.
59. 59
Ahora revisamos la bandeja de entrada este usuario.
Hasta aquí hemos configurado el cifrado SSL en ambos agentes de correo el OWA y Outlook 2010.
60. 60
6. Realice una captura de los paquetes antes y después la configuración del cifrado.
Captura de paquetes con WireShark
Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, como una herramienta didáctica.
Procedimiento para el análisis de paquetes, en el agente de correo Web (OWA)
Para esto debemos instalar el analizador de paquetes Wireshark. (CAPTURA CON SSL ACTIVO).
Para realizar esta captura antes de habilitar el cifrado, debemos deshabilitar la configuración SSL en el servidor.
Después de deshabilitar el cifrado, abrimos Wireshark. Allí debemos seleccionar la tarjeta de red en la cual queremos realizar la captura de paquetes.
61. 61
Para nuestro caso seleccionamos Conexión de área local, damos clic en Start.
Debemos implementar un filtro a las peticiones HTTP con el método POST, para ello usaremos la siguiente sentencia en Wireshark:
http.request.method == "POST"
Así lo aplicamos en Wireshark:
Iniciamos sesión desde OWA, con cualquiera de los usuarios.
62. 62
Después de iniciar sesión regresamos a la interfaz Wireshark, y vemos que se han filtrado todos los paquetes de peticiones HTTP con el método POST
Damos clic derecho sobre algunos de los paquetes que aparecen marcados con método POST y que en su ruta muestran la conexión OWA. Del menú que aparece seleccionamos la opción Follow TCP Stream
63. 63
En esta ventana damos clic en la opción Find y buscamos la palabra pass. Para ubicar la línea que contiene la contraseña en texto plano de este usuario.
64. 64
CAPTURA CON SSL INACTIVO
Nuevamente tenemos que activar el cifrado SSL, en servidor. Y procedemos a realizar proceso descrito anteriormente.
Vemos que la captura muestra los datos de una manera encriptada.
65. 65
7. Compare las dos capturas, analice diferencias y descríbalas en el informe.
Luego de realizar la captura los paquetes (antes y después configuración del cifrado TLS/SSL en el servidor), podemos analizar:
Tráfico sin TLS/SSL.
Tráfico con TLS/SSL.
66. 66
Analizando cada una de estas capturas podemos evidenciar que:
Sin TLS/SSL la información viaja en texto plano, esto lo podemos observar gráfica 1, donde se muestra que al examinar un paquete http con método de autenticación POST se puede filtrar la contraseña y el usuario.
Con TLS/SSL la información viaja encriptada tal y como se muestra en gráfica 2, paquete SSLv3.
El tipo de paquete por el cual es transmitida la información cambia con o sin TLS/SSL.
La autenticación debe ser compatible tanto en el servidor como la aplicación que lo ejecuta.
67. 67
8. Implemente servicios de antispam/filtro contenidos, y antivirus en su sistema correo.
Antivirus para el sistema de correo
Para este punto, implementaremos el antivirus llamado SPAMfighter,.
SPAMfighter es una antispam, funciona en cualquier sistema operativo basado Windows y Mac OS X, su filtro es entre otras cosas la comunidad basada en un número activo de la comunidad informa los mensajes de spam y ayuda con un mecanismo aprendizaje nuevos correos spam. La huella digital individual de los mails se consulta con servidores centrales que se encuentran en varios lugares todo el mundo.
Realizamos la descarga de página oficial de SPAMfighter.
73. 73
Cibergrafía
Cómo funciona una conexión con SSL, en pocas palabras, about español, [En línea] Fecha de consulta 13 de octubre 2014], http://aprenderinternet.about.com/od/ConceptosBasico/a/Que- Es-Ssl.htm
Wireshark, WIKIPEDIA La enciclopedia Libre, [En línea] Fecha de consulta 13 octubre 2014], http://es.wikipedia.org/wiki/Wireshark
Esnifando contraseñas con Wireshark, BorrowBits, [En línea] Fecha de consulta 13 octubre de 2014], http://borrowbits.com/2013/12/sniffing-contrasenas-con-wireshark/