COMMENT FAIRE : Sécurisation de l'accès client POP (Post Office Protocol) dans Exchange 2000

Cet article explique progressivement comment configurer la sécurité pour les connexions entrantes POP3 (Post Office Protocol V3) à vos ordinateurs Exchange 2000 afin que vos utilisateurs puissent authentifier et recevoir des informations potentiellement sensibles sans que le nom d'utilisateur, le mot de passe ou le contenu du message risquent d'être interceptés.

Vous utilisez POP3 pour vous connecter à vos ordinateurs Exchange 2000 en cas de limitation de la bande passante ou de restrictions au niveau du pare-feu. Cependant, l'authentification et la transmission de message POP3 utilisent des commandes en clair qui sont exposées à l'interception.

Configuration requise

La liste suivante décrit le matériel, le logiciel, l'infrastructure réseau, les compétences, les connaissances et les service packs nécessaires :

• Microsoft Windows 2000 Server avec Service Pack 2 (SP2)
• Active Directory
• Exchange Server 2000 avec Service Pack 1 (SP1)
• Un client POP3 tel qu'Outlook Express version 5.0 ou ultérieure

La lecture de cet article suppose que vous maîtrisiez les sujets suivants :

• Exchange System Manager
• Questions de configuration TCP/IP
• Concepts de sécurité tels que SSL (Secure Sockets Layer) et cryptage
• Certificats de sécurité
• Captures du Moniteur réseau

Planification du niveau de sécurité

Avant de commencer à configurer le serveur virtuel POP3, vous devez réfléchir au niveau de sécurité que vous voulez implémenter. Vous pouvez configurer la sécurité POP3 à trois niveaux principaux :

• Contrôle de connexion :
  
  Le contrôle de connexion restreint les connexions en fonction de l'adresse IP (Internet Protocol) ou du nom de domaine, y compris les recherches DNS inversées. Ce niveau de sécurité est un niveau de base que vous utilisez uniquement si vous pouvez garantir l'adresse IP de la connexion entrante. Ce niveau ne crypte pas les mots de passe ou les données de message ; cependant, vous pouvez l'utiliser avec les autres paramètres de sécurité.
• Contrôle d'accès :
  
  Le contrôle d'accès vous permet de configurer l'authentification de base ou l'authentification intégrée de Windows (authentification NLM). Étant donné que l'authentification de base tolère les noms d'utilisateur et les mots de passe en texte clair, nous vous recommandons de désactiver ce type d'authentification. Si vous désactivez l'authentification de base, vous devez activer l'ouverture de session à l'aide de l'authentification par mot de passe sécurisé sur le logiciel client POP3. Cliquez sur l'onglet Serveurs dans les propriétés Comptes pour activer l'authentification par mot de passe sécurisé dans Microsoft Outlook Express. Notez que cette authentification crypte uniquement la session d'ouverture de session et pas le corps du message.
  
  Remarque : L'authentification intégrée de Windows ne fonctionne que dans des scénarios où l'ordinateur client est en mesure de contacter un contrôleur de domaine pour valider ses informations d'identification. Dans la plupart des configurations de pare-feu, ce scénario n'est ni possible, ni souhaitable. Cependant, les implémentations internes de l'accès POP3 (où la session d'ouverture de session ne passe pas par Internet) peuvent utiliser l'authentification NTLM.
• Communication sécurisée :
  
  La Communication sécurisée code l'intégralité de la session POP3, y compris la séquence d'ouverture de session et la transmission du corps du message, en utilisant le cryptage SSL. Nous vous recommandons d'utiliser SSL pour toutes les connexions POP3 à Exchange 2000 qui passent par des réseaux publics tels qu'Internet. Vous devez installer un certificat sur votre serveur virtuel POP3. Pour ce faire, vous pouvez soit utiliser une autorité de certification externe, soit installer les services de certificat dans votre forêt Active Directory.

Remarque : Si vous cryptez le protocole POP3, les sessions ne sont protégées que lorsque vous relevez le courrier du serveur virtuel POP3 Exchange 2000 ; cependant, la remise de message SMTP (Simple Mail Transfer Protocol) n'est pas cryptée. Nous vous recommandons de prendre des précautions supplémentaires pour crypter la remise de courrier SMTP. Pour plus d'informations sur le cryptage de la remise de courrier électronique SMTP, cliquez sur le numéro d?article ci-dessous pour afficher les documents correspondants de la Base de connaissances Microsoft :

Accès à l'objet serveur virtuel POP3

1. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
2. Dans le volet gauche, double-cliquez sur Serveurs.
3. Cliquez sur le serveur que vous voulez configurer, cliquez sur Protocoles, puis sur POP3.
4. Cliquez avec le bouton droit sur Serveur virtuel POP3 par défaut, puis cliquez sur Propriétés.
5. Cliquez sur l'onglet Accès pour configurer les paramètres de contrôle d'accès.

Configuration des restrictions par adresse IP

1. Ouvrez les propriétés du serveur virtuel POP3 par défaut.
   
   Pour ce faire, suivez la procédure décrite dans la section précédente.
2. Cliquez sur l'onglet Accès, puis sur Connexion.
3. Cliquez sur Uniquement la liste ci-dessous.
   
   Si vous procédez ainsi, uniquement les adresses IP et les domaines figurant dans la liste sont autorisés à se connecter au serveur virtuel POP3. Utilisez n'importe laquelle des méthodes suivantes pour ajouter des éléments à cette liste :
   • Ajout d'une seule adresse IP à la fois. Pour ce faire, tapez un nom d'hôte, puis cliquez sur Recherche DNS pour convertir automatiquement ce nom en adresse IP. Utilisez cette méthode si certains de vos utilisateurs distants se connectent toujours à partir d'adresses IP fixes qui ne sont pas contiguës.
   • Ajout d'une plage d'adresses, telle que 131.107.2.0 avec un masque de sous-réseau de 255.255.255.0. Vous pouvez utiliser des masques de sous réseau tels que 255.255.255.252 pour limiter les hôtes acceptables à une plage de six adresses IP uniquement.
   • Définition de restrictions par domaine. Par exemple, vous pouvez limiter les connexions de sorte que seules les connexions de contoso.com soient acceptées. Cependant, si vous utilisez cette méthode, vous devez effectuer une recherche DNS inversée sur chaque connexion entrante, ce qui peut avoir un effet négatif sur les performances de l'ordinateur Exchange 2000. Pour plus d'informations, consultez la section « Dépannage » à la fin de cet article.
4. Cliquez sur OK pour accepter les restrictions par adresse IP.

Configuration du contrôle d'accès

1. Ouvrez les propriétés du serveur virtuel POP3 par défaut.
2. Cliquez sur l'onglet Accès, puis sur Authentification.
   
   Par défaut, l'authentification de base et l'authentification intégrée de Windows sont sélectionnées. Si votre environnement prend en charge l'authentification de Windows, vous pouvez désélectionner la case à cocher Authentification de base. Cliquez sur OK pour accepter la modification.
3. Démarrez Outlook Express, puis configurez les paramètres de compte POP3 pour utiliser l'authentification par mot de passe sécurisé. Pour ce faire :
   1. Cliquez sur Comptes dans le menu Outils.
   2. Cliquez sur l'onglet Courrier, puis double-cliquez sur le compte de messagerie POP3.
   3. Cliquez sur l'onglet Serveurs, puis cochez la case Se connecter à l'aide de l'authentification par mot de passe sécurisé (SPA).
4. Cliquez sur OK, puis sur Fermer.
   

Configuration de communications sécurisées (1ère partie)

1. Ouvrez les propriétés du serveur virtuel POP3 par défaut.
2. Cliquez sur l'onglet Accès, puis sur Certificat.
3. Dès le démarrage de l'Assistant Certificat de IIS, cliquez sur Créer un certificat ou sur Attribuer un certificat existant à partir d'une autorité de certification externe, puis cliquez sur Suivant.
4. Si une autorité de certification (CA) est installée, cliquez sur Envoyer immédiatement la demande à une Autorité de certification en ligne.
   
   Si une autorité de certification n'est pas installée, cliquez sur Préparer la demande, mais ne pas l'envoyer maintenant, puis sur Suivant.
5. Si vous envoyez votre demande à une autorité de certification en ligne, vous pouvez donner un nom approprié à la demande ou bien accepter le nom par défaut « Serveur virtuel POP3 par défaut », taper une longueur en bits, puis cliquer sur Suivant.
   
   Remarque : Les clés de grande longueur affectent les performances.
6. Tapez dans les zones appropriées les informations sur l'organisation et l'unité d'organisation pour l'autorité de certification à partir de laquelle vous demandez un certificat, puis cliquez sur Suivant.
7. Tapez le nom usuel de votre site, puis cliquez sur Suivant.
   
   Remarque : Si vous activez l'accès à partir d'Internet, vous devez utiliser un nom de domaine complet (FQDN), qui peut être résolu en externe.
8. Tapez les informations de pays, département ou région, ville ou localité pour votre autorité de certification, puis cliquez sur Suivant.
9. Si, à l'étape 4, vous choisissez d'envoyer la demande immédiatement à une autorité de certification en ligne, confirmez que l'autorité de certification pour votre organisation est affichée, puis cliquez sur Suivant.
   
   Par contre, si à l'étape 4, vous choisissez de préparer la demande maintenant, mais de l'envoyer plus tard, acceptez le nom de fichier par défaut pour la demande de certificat ou enregistrez-la dans un fichier différent, puis cliquez sur Suivant.
10. Relisez les informations de la Soumission d'une demande de certificat, puis cliquez sur Suivant.
11. Cliquez sur Terminer.

Configuration de communications sécurisées (2ème partie)

Après avoir installé un certificat sur votre serveur, forcez les communications sécurisées :

1. Ouvrez les propriétés du serveur virtuel POP3 par défaut.
2. Cliquez sur l'onglet Accès, puis sur Communication.
3. Cochez la case Exiger un canal sécurisé.
4. Si l'ordinateur et les clients Exchange 2000 prennent en charge le cryptage à 128 bits, cliquez sur Requérir le cryptage 128 bits.
5. Cliquez sur OK, puis encore sur OK.
6. Arrêtez et redémarrez le service POP3 Exchange 2000.
7. Démarrez Outlook Express, cliquez sur Comptes dans le menu Outils, puis cliquez sur l'onglet Courrier.
8. Double-cliquez sur le compte Courrier Exchange Server, cliquez sur l'onglet Avancé, puis sur Ce serveur nécessite une connexion sécurisée (SSL).
   
   Le numéro de port du courrier entrant (POP3) est changé de 110 à 995.
9. Cliquez sur OK, puis sur Fermer.

Confirmation de la configuration correcte de la sécurité

• Pour vérifier que les restrictions IP fonctionnent comme prévu, essayez de vous connecter avec un nom d'utilisateur valide à partir d'une adresse IP exclue.
  
  Vous recevrez un message indiquant que la connexion au serveur a été refusée.
• Pour vérifier le cryptage d'authentification :
  1. Exécutez le Moniteur réseau sur votre ordinateur Exchange 2000, puis utilisez les paramètres d'authentification par défaut pour lancer une session POP3 à partir du client tout en capturant le trafic entrant dans l'ordinateur Exchange 2000.
  2. Vérifiez la session POP3 et notez le trafic des paquets du client au serveur sur le port 110 (006Eh).
     
     Notez que le nom d'ouverture de session et le mot de passe de l'utilisateur sont envoyés en texte clair.
  3. Supprimez la prise en charge de l'authentification de base, configurez le client pour demander l'authentification par mot de passe sécurisé, lancez une autre session POP3 à partir du client, puis capturez le trafic dans le Moniteur réseau.
     
     Les détails de compte utilisateur et de mot de passe sont à présent cryptés.
• Pour vérifier le cryptage SSL total :
  1. Ajoutez un certificat, configurez les paramètres afin d'exiger un canal sécurisé sur le serveur virtuel POP3, puis configurez le client pour utiliser SSL.
  2. Démarrez une capture par le Moniteur réseau et lancez une session de collecte de courrier POP3 à partir du client.
  3. Arrêtez la capture, puis examinez les paquets qui ont été envoyés.
     
     Notez que tous les paquets transmis d'un client à un serveur ayant comme destination le port 993 (03E3h) sont cryptés.

Remarque : Si vous n'avez pas activé le cryptage sur la remise de courrier SMTP, il se peut que vous voyiez des paquets non cryptés du client qui sont destinés au port 25 (0019h).

Après avoir confirmé la configuration correcte de la sécurité POP3, nous vous recommandons de configurer la remise SMTP sécurisée pour vos clients POP3. Pour plus d'informations sur le cryptage de la remise de courrier électronique SMTP, cliquez sur le numéro d?article ci-dessous pour afficher les documents correspondants de la Base de connaissances Microsoft :

Dépannage

Si vous limitez les adresses IP en fonction de la recherche DNS, vous pouvez affecter de façon négative les performances de l'ordinateur Exchange 2000. Parce que l'ordinateur Exchange 2000 effectue une recherche DNS inversée sur chaque connexion entrante, une zone de recherche DNS inversée opérationnelle doit être disponible et le client POP3 doit être enregistré dans cette zone. Si vous gérez un grand nombre de connexions POP3 entrantes, il est préférable de désactiver la recherche DNS inversée. Pour plus d'informations sur la configuration des zones de recherche inversée, cliquez sur le numéro d?article ci-dessous pour afficher les documents correspondants de la Base de connaissances Microsoft : Si vous n'avez pas spécifié de valeurs correctes pour le nom de serveur ou l'organisation, le message suivant s'affichera lors de la création du certificat SSL sur le serveur virtuel POP3 : Pour éviter l'affichage de ce message, vérifiez que le nom usuel du certificat correspond bien à son adresse Internet.

Pour plus d'informations sur la façon de configurer la sécurité POP3, consultez l'aide d'Exchange Server 2000 et le Kit de ressources Exchange 2000 Server.