COMMENT FAIRE : Sécurisation de l'accès client IMAP (Internet Message Access Protocol) dans Exchange 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 319278 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit en détail comment configurer la sécurité pour les connexions IMAP4 (Internet Message Access Protocol) entrantes sur vos ordinateurs Exchange 2000 afin que vos utilisateurs puissent authentifier et recevoir des informations potentiellement sensibles sans risque d'interception du nom de l'utilisateur, du mot de passe ou du contenu du message.

Certains utilisateurs peuvent avoir besoin d'utiliser IMAP4 pour se connecter à vos ordinateurs Exchange 2000. En général, vous utilisez des connexions IMAP4 en cas de limitations de la bande passante ou de restrictions de port de pare-feu, mais vous avez besoin d'une souplesse plus grande que celle que vous apportent les connexions POP3 (Post Office Protocol, version 3). Cependant, à l'instar de PO3, l'authentification et la transmission de message IMAP4 utilisent des commandes en clair qui sont exposées à l'interception.

Configuration requise

La liste suivante indique le matériel, les logiciels, l'infrastructure réseau et les Service Packs recommandés, dont vous avez besoin :
  • Microsoft Windows 2000 avec Service Pack 2 (SP2)
  • Active Directory
  • Exchange Server 2000 avec Service Pack 1 (SP1) installé sur un serveur membre Windows 2000 dans le domaine.
  • Un client IMAP4 tel que Microsoft Outlook Express version 5.0 ou ultérieure
La lecture de cet article suppose que vous maîtrisiez les sujets suivants :
  • Gestionnaire système Exchange
  • Problèmes de configuration TCP/IP
  • Concepts de sécurité tels que SSL (Secure Sockets Layer) et cryptage
  • Certificats de sécurité
  • Captures du Moniteur réseau

Comment faire : Planifier le niveau de sécurité

Avant de vous lancer dans la configuration du serveur virtuel IMAP4, vous devez déterminer le niveau de sécurité que vous allez mettre en ?uvre. Vous pouvez configurer la sécurité IMAP4 à trois niveaux principaux :
  • Contrôle de connexion :

    Le contrôle de connexion restreint les connexions en fonction de l'adresse IP (Internet Protocol) ou du nom de domaine, y compris les recherches DNS inversées. Ce niveau de sécurité est un niveau de base que vous utilisez uniquement si vous pouvez garantir l'adresse IP de la connexion entrante. Ce niveau ne crypte pas les mots de passe ou les données de message ; cependant, vous pouvez l'utiliser avec les autres paramètres de sécurité.
  • Contrôle d'accès :

    Le contrôle d'accès vous permet de configurer l'authentification de base ou l'authentification intégrée de Windows (authentification NLM). Étant donné que l'authentification de base tolère les noms d'utilisateur et les mots de passe en texte clair, nous vous recommandons de désactiver ce type d'authentification. Si vous désactivez l'authentification de base, vous devez activer l'ouverture de session à l'aide de l'authentification par mot de passe sécurisé sur le logiciel client IMAP4. Cliquez sur l'onglet Serveurs dans les propriétés Comptes pour activer l'authentification par mot de passe sécurisé dans Microsoft Outlook Express. Notez que cette authentification crypte uniquement la session d'ouverture de session et pas le corps du message.

    REMARQUE : L'authentification intégrée de Windows ne fonctionne que dans des scénarios où l'ordinateur client est en mesure de contacter un contrôleur de domaine pour valider ses informations d'identification. Dans la plupart des configurations de pare-feu, ce scénario n'est ni possible, ni souhaitable. Cependant, les implémentations internes de l'accès IMAP4 (où la session d'ouverture de session ne passe pas par Internet) peuvent utiliser l'authentification NTLM.
  • Communication sécurisée :

    La Communication sécurisée code l'intégralité de la session IMAP4, y compris la séquence d'ouverture de session et la transmission du corps du message, en utilisant le cryptage SSL. Nous vous recommandons d'utiliser SSL pour toutes les connexions IMAP4 à Exchange 2000 qui passent par des réseaux publics tels qu'Internet. Vous devez installer un certificat sur votre serveur virtuel IMAP4. Pour ce faire, vous pouvez soit utiliser une autorité de certification externe, soit installer les services de certificat dans votre forêt Active Directory.
REMARQUE : Si vous cryptez le protocole IMAP4, les sessions ne sont protégées que lorsque vous relevez le courrier du serveur virtuel IMAP4 Exchange 2000 ; cependant, la remise de message SMTP (Simple Mail Transfer Protocol) n'est pas cryptée. Nous vous recommandons de prendre des précautions supplémentaires pour crypter la remise de courrier SMTP. Pour plus d'informations sur le cryptage de la remise de courrier électronique SMTP, cliquez sur le numéro d?article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :
319267 Comment faire : Sécuriser la remise de messages client à l'aide d'un protocole SMTP dans Exchange 2000

Comment faire : Accéder à l'objet serveur virtuel IMAP4

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Dans le volet de gauche, cliquez sur Serveurs.
  3. Cliquez sur le serveur à configurer, sur Protocoles, puis sur IMAP4.
  4. Cliquez avec le bouton droit sur Serveur virtuel IMAP4 par défaut, puis cliquez sur Propriétés.
  5. Cliquez sur l'onglet Accès pour configurer les paramètres de contrôle d'accès.

Comment faire : Configurer les restrictions d'adresse IP

  1. Ouvrez les propriétés Serveur virtuel IMAP4 par défaut.

    Pour ce faire, suivez la procédure de la section précédente.
  2. Cliquez sur l'onglet Accès, puis sur Connexion.
  3. Cliquez sur Uniquement la liste ci-dessous.

    Si vous procédez ainsi, uniquement les adresses IP et les domaines figurant dans la liste sont autorisés à se connecter au serveur virtuel IMAP4. Utilisez n'importe laquelle des méthodes suivantes pour ajouter des éléments à cette liste :
    • Ajout d'une seule adresse IP à la fois. Pour ce faire, tapez un nom d'hôte, puis cliquez sur Recherche DNS pour convertir automatiquement ce nom en adresse IP. Utilisez cette méthode si certains de vos utilisateurs distants se connectent toujours à partir d'adresses IP fixes qui ne sont pas contiguës.
    • Ajout d'une plage d'adresses, telle que 131.107.2.0 avec un masque de sous-réseau de 255.255.255.0. Vous pouvez utiliser des masques de sous-réseau tels que 255.255.255.252 pour limiter les hôtes acceptables à une plage de six adresses IP uniquement.
    • Définition de restrictions par domaine. Par exemple, vous pouvez limiter les connexions de sorte que seules les connexions de contoso.com soient acceptées. Cependant, si vous utilisez cette méthode, vous devez effectuer une recherche DNS inversée sur chaque connexion entrante, ce qui peut avoir un effet négatif sur les performances de l'ordinateur Exchange 2000. Pour plus d'informations, consultez la section « Dépannage » à la fin de cet article.
  4. Cliquez sur OK pour accepter les restrictions par adresse IP.

Comment faire : Configurer le contrôle d'accès

  1. Ouvrez les propriétés Serveur virtuel IMAP4 par défaut.
  2. Cliquez sur l'onglet Accès, puis sur Authentification.

    Par défaut, l'authentification de base et l'authentification intégrée de Windows sont sélectionnées. Si votre environnement prend en charge l'authentification de Windows, vous pouvez désactiver la case à cocher Authentification de base. Cliquez sur OK pour accepter la modification.
  3. Démarrez Outlook Express, puis configurez les paramètres de compte IMAP4 pour utiliser l'authentification par mot de passe sécurisé. Pour ce faire :
    1. Cliquez sur Comptes dans le menu Outils.
    2. Cliquez sur l'onglet Courrier, puis double-cliquez sur le compte de messagerie IMAP4.
    3. Cliquez sur l'onglet Serveurs, puis activez la case à cocher Se connecter avec l'authentification par mot de passe sécurisé.
  4. Cliquez sur OK, puis sur Fermer.

Comment faire : Configurer des communications sécurisées (1ère partie)

  1. Ouvrez les propriétés Serveur virtuel IMAP4 par défaut.
  2. Cliquez sur l'onglet Accès, puis sur Certificat.
  3. Après le démarrage de l'Assistant certificat IIS, cliquez sur Créer un certificat ou sur Attribuer un certificat existant à partir d'une autorité de certification externe, puis sur Suivant.
  4. Si une autorité de certification est installée, cliquez sur Envoyer immédiatement la demande à une Autorité de certification en ligne.

    Sinon, cliquez sur Préparer la demande, mais ne pas l'envoyer maintenant, puis sur Suivant.
  5. Si vous envoyez votre demande à une autorité de certification en ligne, vous pouvez donner un nom approprié à la demande ou bien accepter le nom par défaut « Serveur virtuel IMAP4 par défaut », taper une longueur en bits, puis cliquer sur Suivant.

    REMARQUE : Les clés de grande longueur affectent les performances.
  6. Tapez dans les zones appropriées les informations sur l'organisation et l'unité d'organisation pour l'autorité de certification à partir de laquelle vous demandez un certificat, puis cliquez sur Suivant.
  7. Tapez le nom usuel de votre site, puis cliquez sur Suivant.

    REMARQUE : Si vous activez l'accès à partir d'Internet, vous devez utiliser un nom de domaine complet (FQDN), qui peut être résolu en externe.
  8. Tapez les informations de pays, département ou région, ville ou localité pour votre autorité de certification, puis cliquez sur Suivant.
  9. Si, à l'étape 4, vous choisissez d'envoyer la demande immédiatement à une autorité de certification en ligne, confirmez que l'autorité de certification pour votre organisation est affichée, puis cliquez sur Suivant.

    Par contre, si à l'étape 4, vous choisissez de préparer la demande maintenant, mais de l'envoyer plus tard, acceptez le nom de fichier par défaut pour la demande de certificat ou enregistrez-la dans un fichier différent, puis cliquez sur Suivant.
  10. Vérifiez les informations figurant sur la Soumission d'une demande de certificat, puis cliquez sur Suivant.
  11. Cliquez sur Terminer.

Comment faire : Configurer des communications sécurisées (2ème partie)

Après avoir installé un certificat sur votre serveur, forcez les communications sécurisées :
  1. Ouvrez les propriétés Serveur virtuel IMAP4 par défaut.
  2. Cliquez sur l'onglet Accès, puis sur Communication.
  3. Activez la case à cocher Requérir un canal sécurisé.
  4. Si l'ordinateur et les clients Exchange 2000 prennent en charge le cryptage à 128 bits, cliquez sur Requérir un cryptage à 128 bits.
  5. Cliquez sur OK à deux reprises.
  6. Arrêtez et redémarrez le service IMAP4 Exchange 2000.
  7. Démarrez Outlook Express, cliquez sur Comptes dans le menu Outils, puis sur l'onglet Courrier.
  8. Double-cliquez sur le compte Courrier Exchange Server, cliquez sur l'onglet Avancé, puis sur Ce serveur nécessite une connexion sécurisée (SSL).

    Le numéro de port du courrier entrant (IMAP4) est changé de 143 à 993.
  9. Cliquez sur OK, puis sur Fermer.

Comment faire : Confirmer que vous avez correctement configuré la sécurité IMAP4

  • Pour vérifier que les restrictions IP fonctionnent comme prévu, essayez de vous connecter avec un nom d'utilisateur valide à partir d'une adresse IP exclue.

    Vous recevrez un message indiquant que la connexion au serveur a été refusée.
  • Pour vérifier le cryptage d'authentification :
    1. Exécutez le Moniteur réseau sur l'ordinateur Exchange 2000, puis utilisez les paramètres d'authentification par défaut pour lancer une session IMAP4 à partir du client tandis que vous capturez le trafic qui entre dans l'ordinateur Exchange 2000.
    2. Analysez la session IMAP4 et notez les paquets qui proviennent du client et qui sont adressés au serveur sur le port 143 (008Fh).

      Notez que le nom d'ouverture de session et le mot de passe de l'utilisateur sont envoyés en texte clair.
    3. Supprimez la prise en charge de l'authentification de base, configurez le client pour demander l'authentification par mot de passe sécurisé, lancez une autre session IMAP4 à partir du client, puis capturez le trafic dans le Moniteur réseau.

      Les détails de compte utilisateur et de mot de passe sont à présent cryptés.
  • Pour vérifier le cryptage SSL total :
    1. Ajoutez un certificat, configurez les paramètres afin d'exiger un canal sécurisé sur le serveur virtuel IMAP4, puis configurez le client pour utiliser SSL.
    2. Démarrez un Moniteur réseau et lancez une session de collection de courrier IMAP4 à partir du client.
    3. Arrêtez la capture, puis examinez les paquets qui ont été envoyés.

      Notez que tous les paquets transmis d'un client à un serveur ayant comme destination le port 993 (03E1h) sont cryptés.
REMARQUE : Si vous n'avez pas activé le cryptage sur la remise de courrier SMTP, il se peut que vous voyiez des paquets non cryptés du client qui sont destinés au port 25 (0019h).

Après avoir confirmé la configuration correcte de la sécurité IMAP4, nous vous recommandons de configurer la remise SMTP sécurisée pour vos clients IMAP4.Pour plus d'informations sur le cryptage de la remise de courrier électronique SMTP, cliquez sur le numéro d?article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :
319267 Comment faire : Sécuriser la remise de messages client à l'aide d'un protocole SMTP dans Exchange 2000

Dépannage

Si vous limitez les adresses IP en fonction de la recherche DNS, vous pouvez affecter de façon négative les performances de l'ordinateur Exchange 2000. Parce que l'ordinateur Exchange 2000 effectue une recherche DNS inversée sur chaque connexion entrante, une zone de recherche DNS inversée opérationnelle doit être disponible et le client IMAP4 doit être enregistré dans cette zone. Si vous gérez un grand nombre de connexions IMAP4 entrantes, il est préférable de désactiver la recherche DNS inversée. Pour plus d'informations sur la configuration des zones de recherche inversée, cliquez sur le numéro d?article ci-dessous pour afficher le document correspondant de la Base de connaissances Microsoft :
251509 XFOR : Impossible de limiter l'accès par nom de domaine si DNS n'est pas configuré pour cela (en anglais)
Si vous n'avez pas spécifié de valeurs correctes pour le nom de serveur ou l'organisation, le message suivant s'affiche lors de la création du certificat SSL sur le serveur virtuel IMAP4 :
The server you are connecting to is using a security certificate that does not match its Internet address (Le serveur auquel vous vous connectez utilise un certificat de sécurité qui ne correspond pas à son adresse Internet). Do you want to continue using this server? (Voulez-vous continuer d'utiliser ce serveur ?).
Pour éviter l'affichage de ce message, vérifiez que le nom usuel du certificat correspond bien à son adresse Internet.




Références

Pour plus d'informations sur la configuration de la sécurité IMAP4, reportez-vous à l'aide de Exchange 2000 et au Kit de ressources de Exchange 2000 Server.

Propriétés

Numéro d'article: 319278 - Dernière mise à jour: mardi 14 octobre 2003 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange 2000 Server Standard Edition
Mots-clés : 
kbhowto kbhowtomaster KB319278
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com