Description destinée aux développeurs concernant les fonctionnalités de sécurité de la messagerie électronique dans Outlook 2002

Traductions disponibles Traductions disponibles
Numéro d'article: 290500 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F290500
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Pour vous procurer une version Microsoft Outlook 98 de cet article, reportez-vous à l'article 262700.

Pour vous procurer une version Microsoft Outlook 2000 de cet article, reportez-vous à l'article 262701.

Résumé

Cet article récapitule ce que les développeurs doivent savoir à propos des fonctionnalités de sécurité de la messagerie électronique Outlook 2002 et décrit comment ces fonctionnalités peuvent affecter des solutions personnalisées.

Important Cet article décrit des fonctionnalités de sécurité de Outlook 2002, Outlook 2002 Service Pack 1 et Outlook 2002 Service Pack 2. Des fonctionnalités supplémentaires ont été ajoutées dans Outlook 2002 Service Pack 3. Pour plus d'informations sur ces modifications, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
838871 Description des modifications de la sécurité pour les développeurs dans Outlook 2002 Service Pack 3 (S838871)

Plus d'informations

Présentation

Important Outre les informations contenues dans cet article, vous devez maîtriser les fonctionnalités générales de sécurité de la messagerie électronique Outlook 2002. Vous trouverez des informations sur les fonctionnalités de sécurité de la messagerie électronique Outlook dans l'aide. Dans le menu ?, cliquez sur Aide sur Microsoft Outlook. Dans le sommaire, cliquez sur Sécurité et cryptage. Pour plus d'informations sur la façon dont les fonctionnalités de sécurité affectent l'utilisateur final, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290498 OL2002 : Avertissement lors de l'utilisation d'une solution personnalisée ou d'un complément
Important Cet article décrit le comportement par défaut d'Outlook 2002 concernant les diverses restrictions imposées aux interfaces de programmation. Si vous souhaitez éviter ces restrictions, les administrateurs peuvent configurer les ordinateurs clients de manière à exclure l'ensemble de ces restrictions. En tant que développeur, vous devez connaître les options d'administration disponibles avec ces fonctionnalités de sécurité. Pour plus d'informations sur la façon de remplacer ces restrictions, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290499 Informations destinées aux administrateurs concernant les fonctionnalités de sécurité de la messagerie électronique
Outlook 2002 inclut le même type de fonctionnalités de sécurité que celles précédemment publiées en tant que mises à jour de sécurité de la messagerie électronique Microsoft Outlook 98 et Microsoft Outlook 2000. Ces fonctionnalités dotent Outlook de niveaux supplémentaires de protection contre les messages électroniques nuisibles ; cependant, elles peuvent affecter défavorablement les solutions que vous créez en utilisant les fonctionnalités de développeur incluses dans Outlook et les autres technologies de messagerie ou interfaces de programmation d'applications (API, Application Programming Interface). Dans certains cas, les solutions peuvent ne pas fonctionner du tout ; dans d'autres cas, elles peuvent aboutir à un message d'avertissement qui interrompt la solution lorsque vous tentez de l'exécuter.

Les fonctionnalités de sécurité changent Outlook et la fonctionnalité de messagerie générale dans les domaines suivants :
  • comportement général des pièces jointes ;
  • modèle d'objet Outlook ;
  • modèle d'objet CDO (Collaboration Data Objects) 1.21s ;
  • Simple MAPI (Simple Messaging Application Programming Interface) ;
  • autres domaines Outlook associés à la sécurité, comme le code incorporé dans des messages électroniques HTML.

Fonctionnalités de sécurité du modèle d'objet Outlook

Pièces jointes

Les pièces jointes avec des extensions de fichier de Niveau 1, ou « dangereuses », ne sont pas accessibles dans le modèle d'objet Outlook, et plus précisément :
  • La collection Attachments du modèle d'objet ignore les pièces jointes dangereuses.
  • Si vous essayez d'envoyer par programme un message avec l'une de ces pièces jointes, le message n'est pas envoyé. Si le programme est écrit en langage de programmation C ou C++, vous recevez le code de retour MAPI_E_CANCELLED.
  • Si vous essayez d'ouvrir un objet de système de fichiers « dangereux » (ou un fichier « freedoc ») à l'aide du modèle d'objet Outlook, vous recevez le code de retour E_FAIL dans le langage de programmation C ou C++. Dans les versions précédentes d'Outlook, il était possible d'ouvrir un objet de système de fichiers « dangereux » en utilisant la méthode Display du modèle d'objet Outlook.

Item.Send

Lorsque vous exécutez un programme qui utilise le modèle d'objet Outlook pour appeler la méthode Send, vous recevez un message d'avertissement. Ce message d'avertissement vous indique qu'un programme essaie d'envoyer un message électronique en votre nom et vous demande si vous souhaitez autoriser son envoi. Le message d'avertissement contient un bouton Oui et un bouton Non ; cependant, le bouton Oui n'est disponible que pendant cinq secondes après l'affichage du message d'avertissement. Vous pouvez faire disparaître le message d'avertissement immédiatement si vous cliquez sur Non. Lorsque vous cliquez sur Non, la méthode Send renvoie une erreur E_FAIL dans le langage de programmation C ou C++.

Accès aux carnets d'adresses et aux destinataires

Si un programme essaie de faire référence à un type quelconque d'informations relatives aux destinataires à l'aide du modèle d'objet Outlook, une boîte de dialogue s'affiche et vous demande de confirmer l'accès à ces informations. Vous pouvez autoriser l'accès aux informations du carnet d'adresses ou du destinataire pendant 10 minutes au maximum après l'affichage de la boîte de dialogue. Cela permet à des fonctionnalités telles que la synchronisation de périphérique mobile de terminer leur exécution. Si vous décidez de ne pas autoriser l'accès aux informations du carnet d'adresses ou du destinataire, vous recevez le code de retour E_FAIL pour tous ces messages dans le langage de programmation C ou C++.

La boîte de dialogue de confirmation s'affiche lorsqu'une solution essaie d'accéder par programme aux fonctionnalités suivantes du modèle d'objet Outlook :
  • la collection AddressEntries ou n'importe quel objet AddressEntry ;
  • la collection Recipients ou n'importe quel objet Recipient ;
  • les propriétés suivantes d'un objet ContactItem :
    Email1.Address
    Email1.AddressType
    Email1.DisplayName
    Email1.EntryID
    Email2.Address
    Email2.AddressType
    Email2.DisplayName
    Email2.EntryID
    Email3.Address
    Email3.AddressType
    Email3.DisplayName
    Email3.EntryID
    NetMeetingAlias
    ReferredBy
  • les propriétés suivantes d'un objet MailItem :
    SentOnBehalfOfName
    SenderName
    ReceivedByName
    ReceivedOnBehalfOfName
    ReplyRecipientNames
    To
    Cc
    Bcc
  • les propriétés suivantes d'un objet AppointmentItem :
    Organizer
    RequiredAttendees
    OptionalAttendees
    Resources
    NetMeetingOrganizerAlias
  • les propriétés suivantes d'un objet TaskItem :
    ContactNames
    Contacts
    Delegator
    Owner
    StatusUpdateRecipients
    StatusOnCompletionRecipients
  • la méthode GetMember d'un objet DistListItem ;
  • la propriété ContactNames d'un objet JournalItem ;
  • la propriété SenderName d'un objet MeetingItem ;
  • la propriété SenderName d'un objet PostItem ;
  • la propriété GetRecipientFromID d'un objet Namespace ;
  • la méthode Execute d'un objet Action ;
  • la propriété Formula d'un objet UserProperty.

Item.SaveAs

Lorsque vous utilisez la méthode SaveAs pour enregistrer des éléments dans le système de fichiers, vous recevez un message d'avertissement « carnet d'adresses ». Cela concerne tous les types d'éléments, qu'ils aient ou non des pièces jointes ou du contenu actif. Cette modification a été apportée afin qu'il soit impossible d'enregistrer par programme des éléments dans un fichier, puis d'analyser ce fichier pour récupérer les adresses de messagerie.

Bouton Envoyer de la barre de commande

Il n'est plus possible d'utiliser la méthode Execute pour cliquer par programme sur le bouton Envoyer de la barre d'outils Outlook. Bien que ce ne soit pas une pratique courante dans les solutions Outlook, cette modification a été apportée afin de lutter contre les intentions malveillantes. Vous recevez le code de retour E_FAIL pour tous ces messages dans le langage de programmation C ou C++.

SendKeys

Outlook n'autorise pas l'accès à certaines boîtes de dialogue à l'aide de la commande SendKeys de Microsoft Visual Basic ou Microsoft Visual Basic pour Applications. Cela empêche les programmes nuisibles de faire disparaître automatiquement les messages d'avertissement et de contourner les nouvelles fonctionnalités de sécurité.

VBScript ne s'exécute plus dans les formulaires non publiés

Lorsque vous créez un formulaire Outlook personnalisé, vous pouvez choisir d'incorporer directement Visual Basic Scripting Edition (VBScript) dans un élément, si, par exemple, d'autres utilisateurs ne peuvent pas accéder à un formulaire publié. Ces types de formulaires sont appelés formulaires « One-Off  ». Pour plus d'informations sur les formulaires One-Off, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290657 Utilisation des définitions des formulaires et des formulaires One-Off dans Outlook 2002
Lorsque vous ouvrez l'un de ces éléments dans une version d'Outlook qui ne dispose pas de la mise à jour de sécurité de la messagerie électronique Outlook, le programme affiche un message d'avertissement de sécurité qui demande si vous souhaitez activer ou désactiver le code dans le formulaire. Dans Outlook 2002, le code est désactivé et vous ne pouvez pas l'activer.

Fonctionnalités de sécurité CDO 1.21s

Le modèle d'objet CDO 1.21 a été modifié pour refléter les modifications apportées au modèle d'objet Outlook et à Simple MAPI. Le numéro de version de CDO a été actualisé en 1.21s pour refléter ces fonctionnalités de sécurité. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
295302 Synthèse des fonctions de sécurité de la messagerie électronique CDO 1.21s (Collaboration Data Objects) dans Outlook 2002
Pour plus d'informations sur le modèle d'objet CDO, consultez le site Web de Microsoft à l'adresse suivante : (en anglais)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/mapi/html/1cee43ae-d5b9-4043-aa67-b944deeb51b3.asp

Fonctionnalités de sécurité Simple MAPI

Lorsque Outlook est installé sur un ordinateur en tant que client Simple MAPI par défaut, il traite les demandes qui sont effectuées à l'aide d'appels Simple MAPI. Ainsi, lorsque vous installez Outlook 2002, les appels Simple MAPI sont gérés par Outlook et ils fournissent le même niveau de protection que le modèle d'objet Outlook. Par défaut, si vous utilisez plusieurs fonctions Simple MAPI, vous recevez un message d'avertissement indiquant qu'un programme essaie d'accéder aux informations relatives au destinataire ou d'envoyer du courrier en votre nom.

La liste ci-dessous décrit la manière dont Outlook répond aux appels Simple MAPI.
Appel Simple MAPI   Comportement en cas de gestion par Outlook
----------------------------------------------------------------
MAPIAddress         OK
MAPIDeleteMail      OK
MAPIDetails         OK
MAPIFindNext        OK
MAPIFreeBuffer      OK
MAPILogoff          OK
MAPILogon           OK
MAPIReadMail        Invite
MAPIResolveName     Invite
MAPISaveMail        OK
MAPISendDocuments   OK
MAPISendMail        OK avec l'argument MAPI_DIALOG ; sinon, une invite
					
Pour plus d'informations sur les appels Simple MAPI, consultez le site Web de Microsoft à l'adresse suivante : (en anglais)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/mapi/html/9a99b366-44e6-4665-9308-2eddf57e512c.asp

Le mode Haute sécurité est rétabli pour les applications Office

Pour aider à la protection contre les virus macros dangereux qui peuvent se trouver dans des documents Microsoft Office, Office XP met par défaut les programmes en mode « haute sécurité ». Cela inclut tous les programmes Office XP qui prennent en charge Visual Basic pour Applications, à l'exception de Microsoft Access, qui n'a pas de paramètre équivalent pour la protection contre les macros. De ce fait, tous les types de document Access sont inclus dans la liste des extensions de fichiers dangereux, auxquels l'accès est impossible.

Outlook et le courrier HTML

Les informations qui suivent sont extraites de l'Aide sur Microsoft Outlook :
Pour vous protéger contre les virus qui pourraient être contenus dans les messages HTML que vous recevez, les scripts ne seront pas exécutés et les contrôles ActiveX seront désactivés quel que soit le paramètre de vos zones de sécurité. Par défaut, le paramètre de zone de sécurité Microsoft Outlook a pour valeur Sites sensibles.

Procédure pour éviter les fonctionnalités de sécurité

Les fonctionnalités de sécurité de la messagerie électronique affectent toutes les solutions personnalisées qui utilisent le modèle d'objet Outlook, CDO ou Simple MAPI, même si elles sont signées numériquement. Ceci inclut les éléments suivants :

  • les formulaires personnalisés Outlook publiés dans n'importe quel dossier ou bibliothèque de formulaires, y compris la Bibliothèque de formulaires de l'organisation ;
  • les compléments COM Outlook ;
  • Visual Basic pour Applications Outlook ;
  • tout autre type de projet de développement qui utilise le modèle d'objet Outlook, CDO ou Simple MAPI.
En tant que développeur, vous disposez de plusieurs options lorsque vous essayez d'éviter les fonctionnalités de sécurité. Voici une synthèse des options standard proposées en fonction de l'environnement dans lequel vous développez votre solution :
  • Formulaires personnalisés Outlook : publiez des formulaires de sorte qu'il ne s'agisse pas de formulaires One-Off ou utilisez les fonctionnalités d'administrateur pour permettre l'exécution de code VBScript dans des formulaires One-Off.
  • Visual Basic pour Applications Outlook : utilisez les fonctionnalités d'administrateur pour désactiver les restrictions du modèle d'objet ou convertissez votre code Visual Basic pour Applications en complément COM, puis inscrivez-le en utilisant le formulaire d'administrateur.
  • Compléments COM : les compléments COM peuvent être approuvés si un administrateur les inscrit à l'aide du formulaire d'administrateur. Toutefois, lorsque vous utilisez un complément COM, seul le modèle d'objet Outlook est exempté ; le modèle d'objet CDO continue de générer des avertissements.

    Dans Outlook 2000, vous ne pouvez pas approuver de compléments COM. C'est une fonctionnalité qui a été ajoutée à la version Outlook 2002 du formulaire d'administrateur.
  • Automatisation des modèles d'objet Outlook ou CDO : utilisez les fonctionnalités d'administrateur pour désactiver les restrictions du modèle d'objet.
Si cela est faisable, vous pouvez envisager de modifier votre solution de sorte qu'elle s'exécute sur un serveur au lieu d'un client. Les API serveur ne sont pas protégées par ces fonctionnalités de sécurité de la messagerie électronique.

Vous pouvez aussi envisager d'utiliser une autre API de messagerie ou une autre bibliothèque :
  • Collaboration Data Objects pour Windows 2000 (CDOSYS) Cette bibliothèque est disponible avec Microsoft Windows 2000 (éditions Professionnel et Server) et Microsoft Windows XP (édition Professionnel). La bibliothèque CDOSYS étant installée par le composant Services IIS (Internet Information Services) de Windows, vous devez installer ces services pour pouvoir l'utiliser.

    Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    286430 Comment faire pour envoyer du courrier HTML à l'aide de CDO pour Windows 2000 et du répertoire de collecte local
    Pour plus d'informations sur la bibliothèque CDOSYS, reportez-vous au site Web MSDN (Microsoft Developer Network) à l'adresse suivante : (en anglais)
    http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/_techsel_tech_1.asp
  • MAPI étendue Vous devez écrire votre code en C/C++. Pour plus d'informations, reportez-vous au site Web MSDN (Microsoft Developer Network) à l'adresse suivante : (en anglais)
    http://msdn.microsoft.com/library/default.asp?url=/library/en-us/mapi/html/6e7abeda-1cfe-46c9-a794-586aadbd0316.asp

Références

Pour plus d'informations sur les ressources disponibles et les réponses aux questions les plus fréquemment posées sur les solutions Microsoft Outlook, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
287530 Questions sur les formulaires personnalisés et les solutions Microsoft Outlook

Propriétés

Numéro d'article: 290500 - Dernière mise à jour: lundi 15 mai 2006 - Version: 6.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Outlook 2002 Standard
Mots-clés : 
kbemail kbsecurity kbhowto KB290500
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com