Integração do Exchange Server ou servidor IBM Notes Traveler

Para manter o Secure Mail em sincronia com o Microsoft Exchange ou IBM Notes, você pode integrar o Secure Mail com um Exchange Server ou servidor IBM Notes Traveler que reside na sua rede interna ou está por trás do NetScaler Gateway.

Importante:

Você não pode sincronizar email do Secure Mail com o IBM Notes Traveler (anteriormente IBM Lotus Notes Traveler). Essa capacidade de terceiro do Notes não tem suporte atualmente. Como resultado, se você excluir um email de reunião do Secure Mail, o email não é excluído no servidor IBM Notes Traveler. [CXM-47936]

A sincronização também está disponível para Secure Notes e Secure Tasks, como descrito a seguir.

  • Você pode integrar o Secure Notes para iOS com um Exchange Server.
  • O Secure Notes para Android e o Secure Tasks para Android usam a conta de Secure Mail para Android para sincronizar anotações e tarefas do Exchange.

Importante:

Você não pode sincronizar email do Secure Mail com o IBM Notes Traveler (anteriormente IBM Lotus Notes Traveler). Essa capacidade de terceiro do Notes não tem suporte atualmente. Como resultado, se você excluir um email de reunião respondido do Secure Mail, o email não é excluído no servidor IBM Notes Traveler. [CXM-47936] Para saber mais sobre as limitações conhecidas com o IBM/Lotus Notes, consulte esta postagem do blog Citrix.

Ao adicionar o Secure Mail, Secure Notes e o Secure Tasks ao Endpoint Management (anteriormente XenMobile), configure as seguintes políticas de MDX para integração com o Exchange ou IBM Notes:

  • Para o Secure Mail: Defina a política do Exchange Server do Secure Mail como o nome de domínio totalmente qualificado (FQDN) do Exchange Server ou servidor IBM Notes Traveler.

    Os requisitos do Secure Mail para especificar uma conexão com um Notes Traveler Server diferem na plataforma, da seguinte maneira:

    O Secure Mail para Android e Secure Mail para iOS dão suporte ao caminho completo especificado para um servidor Notes Traveler. Por exemplo: https://mail.example.com/traveler/Microsoft-Server-ActiveSync. (Ele não é mais necessário para configurar o Domino Directory com o site de substituição de regras para o servidor Traveler.)

  • Para Secure Notes e Secure Tasks: Especificar valores para o Exchange Server do Secure Notes, domínio de usuário do Secure Notes, Exchange Server do Secure Tasks e políticas de domínio de usuário do Secure Tasks.

As seguintes políticas de MDX afetam o fluxo de comunicação do Secure Mail:

Acesso à rede: A política de Acesso à rede especifica se são colocadas restrições no acesso à rede. Como padrão, o acesso ao Secure Mail é com túnel para a rede interna, o que significa que não há restrições colocadas no acesso à rede; os aplicativos têm acesso irrestrito à rede na qual o dispositivo está conectado. A política Acesso à rede interage com a política Serviços de rede em segundo plano, como indicado a seguir.

Serviços de rede em segundo plano: A política Serviços de rede em segundo plano especifica os endereços de serviço permitidos para acesso à rede em segundo plano. Os endereços de serviço podem ser para o Exchange Server ou ActiveSync, na sua rede interna ou em outra rede à qual o Secure Mail se conecte, como mail.example.com:443.

Quando você configura a política Serviços de rede em segundo plano, também define a política de Acesso à rede como Com túnel para a rede interna. A política de Background network service tem efeito ao configurar a política Acesso à rede.

Gateway de serviço de rede em segundo plano: A política Gateway de serviço de rede em segundo plano especifica o NetScaler Gateway que o Secure Mail usa para se conectar ao Exchange Server interno. Se você especificar um endereço de gateway alternativo, defina a política Acesso à rede como Com túnel para a rede interna. A política de Gateway de serviço de rede em segundo plano tem efeito ao configurar a política de Acesso à rede.

Expiração de tíquete de serviços em segundo plano: A política Expiração de tíquete de serviços em segundo plano especifica o período de tempo que um tíquete de serviço de rede em segundo plano continua válido. Quando o Secure Mail se conecta por meio do NetScaler Gateway a um Exchange Server com ActiveSync, Endpoint Management emite um token que o Secure Mail usa para se conectar ao Exchange Server interno. Essa configuração determina a duração que o Secure Mail pode usar o token sem exigir um novo token de autenticação e a conexão ao Exchange Server. Quando o limite de tempo expirar, os usuários devem fazer logon novamente para gerar um novo token. O valor padrão é 168 horas (7 dias).

Os seguintes valores mostram os tipos de conexões do Secure Mail a um servidor de email. Após cada valor há uma lista das configurações de política relacionadas.

Imagem da conexão do Secure Mail para o servidor de email

Políticas sobre uma conexão direta a um servidor de email:

  • Acesso à rede: Irrestrito
  • Serviços de rede em segundo plano: em branco
  • Expiração de tíquete de serviços em segundo plano: 168
  • Gateway de serviço de rede em segundo plano: em branco

Imagem do Secure Mail usando micro VPN

Políticas sobre uma conexão direta a um servidor de email:

  • Acesso à rede: Com túnel para a rede interna
  • Serviços de rede em segundo plano: em branco
  • Expiração de tíquete de serviços em segundo plano: 168
  • Gateway de serviço de rede em segundo plano: em branco

Imagem do Secure Mail usando STA

Políticas de STA acesso a um servidor de email:

  • Acesso à rede: Com túnel para a rede interna
  • Serviços de rede sem segundo plano: mail.example.com: 443
  • Expiração de tíquete de serviços em segundo plano: 168
  • Gateway de serviço de rede em segundo plano: gateway3.example.com:443

A figura a seguir mostra o local onde as políticas se aplicam:

Imagem das políticas e onde elas se aplicam

Configuração do servidor IBM Notes Traveler para Secure Mail

Em ambientes de IBM Notes, você deve configurar o servidor IBM Notes Traveler antes de implantar o Secure Mail. Esta seção mostra uma ilustração de implantação dessa configuração, bem como os requisitos do sistema.

Importante:

Se o seu servidor Notes Traveler usa SSL 3.0, saiba que o SSL 3.0 contém uma vulnerabilidade chamado de ataque de Padding Oracle On Downgraded Legacy Encryption (POODLE), que é um ataque intermediários que afeta qualquer aplicativo que se conecta a um servidor com SSL 3.0. Para resolver as vulnerabilidades introduzidas pelo ataque de POODLE, o Secure Mail desativa as conexões de SSL 3.0 como padrão e usa o TLS 1.0 para se conectar ao servidor. Como resultado, o Secure Mail não pode se conectar a um servidor de Notes Traveler que usa SSL 3.0. Para obter detalhes sobre uma solução recomendada, consulte a seção Configurando o nível de segurança SSL/TLS em Integrando o Exchange Server ou o IBM Notes Traveler Server.

Em ambientes de IBM Notes, você deve configurar o servidor IBM Notes Traveler antes de implantar o WorxMail.

O seguinte diagrama mostra o posicionamento na rede dos servidores IBM Notes Traveler e de um servidor de email IBM Domino em uma implantação de exemplo.

Imagem dos servidores IBM Notes Traveler e da implementação do servidor de correio do IBM Domino com o XenMobile

Requisitos do sistema

Requisitos de infraestrutura do servidor

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

Protocolos de autenticação

  • Banco de dados Domino
  • Protocolo de autenticação do Lotus Notes
  • Protocolo de autenticação de Lightweight Directory

Requisitos de porta

  • Exchange: a porta SSL padrão é 443.
  • IBM Notes: SSL tem suporte na porta 443. Não-SSL tem suporte, como padrão, na porta 80.

Configuração de nível de segurança SSL/TLS

A Citrix fez modificações no Secure Mail para resolver vulnerabilidades introduzidas pelo ataque de POODLE, conforme descrito na nota “Importante” anterior. Se o seu servidor Notes Traveler usa SSL 3.0, para ativar conexões, a solução alternativa recomendada é usar TLS 1.2 no servidor IBM Notes Traveler 9.0.

A IBM tem um patch para impedir o uso de SSL 3.0 na comunicação de servidor a servidor do Notes Traveler. O patch, lançado em novembro 2014, está incluído como atualizações de correção provisória para as seguintes versões do servidor do Notes Traveler: 9.0.1 IF7, 9.0.0.1 IF8 e 8.5.3 Upgrade Pack 2 IF8 (e serão incluídos em todas as versões futuras). ara obter detalhes sobre o patch, consulte LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION.

Como uma solução alternativa, ao adicionar o Secure Mail ao Endpoint Management, altere o nível de política de segurança de conexão para SSLv3 e TLS. Para obter as informações mais recentes sobre este problema, consulte SSLv3 Connections Disabled by Default on Secure Mail 10.0.3.

As seguintes tabelas indicam os protocolos a que o Secure Mail dá suporte, de acordo com o sistema operacional, com base no valor de política de nível de segurança de conexão. Seu servidor de email também deve ter a capacidade de negociar o protocolo.

A tabela a seguir mostra os protocolos com suporte para o Secure Mail quando o nível de segurança de conexão é SSLv3 e TLS.

Tipo de sistema operacional SSLv3 TLS
Anterior a iOS 9 Sim Sim
iOS 9 e versões posteriores Não Sim
Anterior a Android M Sim Sim
Android M e Android N Sim Sim
Android O Não Sim

A tabela a seguir mostra os protocolos com suporte para o Secure Mail quando o nível de segurança de conexão é TLS.

Tipo de sistema operacional SSLv3 TLS
Anterior a iOS 9 Não Sim
iOS 9 e versões posteriores Não Sim
Anterior a Android M Não Sim
Android M e Android N Não Sim
Android O Não Sim

Configuração do servidor de Notes Traveler

As informações a seguir correspondem à configuração de páginas no cliente do IBM Domino Administrator.

  • Security: Autenticação da Internet está definida como Fewer name variations with higher security. Esta configuração é usada para mapear UID para AD User ID em protocolos de autenticação LDAP.
  • Configurações NOTES.INI: Adicione NTS_AS_ENFORCE_POLICY=false. Isso permite que as políticas do Secure Mail sejam administradas pelo Endpoint Management em vez do Traveler. Esta configuração pode entrar em conflito com as implantações de cliente atual, mas simplificarão o gerenciamento do dispositivo nas implantações de Endpoint Management.
  • Protocolos de sincronização: SyncML no IBM Notes e sincronização de dispositivo móvel não têm suporte do Secure Mail por enquanto. O Secure Mail sincroniza itens de email, calendário e contatos por meio do protocolo Microsoft ActiveSync incorporado em servidores Traveler. Se o SyncML for forçado como o protocolo principal, o Secure Mail não pode se conectar por meio da infraestrutura Traveler.
  • Configuração do Domino Directory - Web Internet Sites: Substituir a autenticação de sessão em /traveler para desativar autenticação baseada em formulário.