Comment faire pour sécuriser la remise de messages de clients SMTP dans Exchange 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 823019 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment configurer les paramètres de sécurité pour les connexions SMTP clientes entrantes à vos ordinateurs Exchange 2003. Ces paramètres permettent à vos utilisateurs d'authentifier et de recevoir des éléments potentiellement sensibles et d'empêcher l'interception du nom d'utilisateur, du mot de passe ou du contenu du message. Certains de vos utilisateurs doivent peut-être utiliser le protocole POP3 (Post Office Protocol 3) ou IMAP4 (Internet Message Access Protocol 4) pour se connecter à votre ordinateur Exchange 2003. Ces deux protocoles reposent sur SMTP pour la remise des messages.

Remarque Dans une installation par défaut d'Exchange 2003, il n'est pas nécessaire de configurer des options supplémentaires pour les clients POP3 ou IMAP4 qui se connectent au serveur. Cet article décrit certains paramètres de sécurité par défaut et présente des informations sur des options supplémentaires disponibles dans Exchange 2003.

Considérations

Les points suivants sont à prendre en compte :

Création d'un serveur virtuel SMTP complémentaire



Créez un nouveau serveur virtuel SMTP qui sera utilisé pour les connexions clientes entrantes.

Contrôle de connexion



Le contrôle de connexion restreint les connexions basées sur l'adresse IP ou le nom de domaine, y compris les recherches DNS inversées. Les options du contrôle de connexion ne chiffrent pas les mots de passe ni les données des messages.

Contrôle d'accès



Vous pouvez configurer l'authentification de base, l'authentification anonyme ou l'authentification Windows intégrée (connue précédemment sous le nom d'authentification Stimulation/Réponse de Windows NT ou NTLM). Étant donné que l'authentification de base envoie les noms d'utilisateurs et les mots de passe en texte clair, elle n'est pas sécurisée. Pour permettre le chiffrement des noms d'utilisateurs et des mots de passe, utilisez soit l'authentification de base avec le protocole TLS (Transport Layer Security), soit l'authentification Windows intégrée. Tout comme la technologie SSL (Secure Sockets Layer), TLS chiffre les noms d'utilisateurs, les mots de passe et les données des messages. Notez que l'authentification Windows intégrée est possible uniquement dans les scénarios dans lesquels l'ordinateur client peut contacter un contrôleur de domaine Windows pour valider ses informations d'identification. Dans la plupart des configurations de pare-feu, ce contact est impossible. Toutefois, les implémentations internes de l'accès SMTP (dans lesquelles la session d'ouverture de session ne passe pas par Internet) peuvent utiliser l'authentification Windows intégrée.

Chiffrement



Une communication à sécurité améliorée chiffre la session SMTP, notamment le nom d'utilisateur, le mot de passe et les données du message à l'aide du chiffrement SSL. Il est recommandé d'utiliser le chiffrement SSL pour toutes les connexions SMTP à Exchange 2003 qui traversent des réseaux publics tels qu'Internet. Vous devez installer un certificat sur votre serveur virtuel SMTP. Vous pouvez soit utiliser une autorité de certification externe, soit installer les services de certificats sur votre forêt de services d'annuaire Microsoft Active Directory pour installer un certificat.

Contrôle de relais



Par défaut, lorsque vous créez un serveur virtuel SMTP dans Exchange 2003, il est configuré pour empêcher le relais de messages électroniques. Notez que si vos clients POP3 ou IMAP4 ne sont pas autorisés à effectuer le relais de messages, les utilisateurs ne peuvent pas envoyer de courrier SMTP à des domaines externes par le biais du serveur virtuel SMTP. Toutefois, si vous autorisez le relais de messages, un utilisateur peut être utilisé pour propager des messages non sollicités (courrier indésirable). Lorsque vous utilisez les paramètres de relais par défaut, seuls les clients authentifiés peuvent effectuer le relais de messages par le biais du serveur virtuel SMTP. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
319278 Comment faire pour sécuriser l'accès client IMAP (Internet Message Access Protocol) dans Exchange 2000

Création d'un nouveau serveur virtuel SMTP

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Cliquez avec le bouton droit sur SMTP, pointez sur Nouveau, puis cliquez sur Serveur virtuel SMTP.
  4. Dans la zone Nom, tapez le nom du serveur virtuel, puis cliquez sur Suivant.
  5. Cliquez sur l'adresse IP que vous souhaitez utiliser, puis sur Terminer.
  6. Après avoir créé le serveur virtuel SMTP, confirmez que le nouveau serveur virtuel utilise le nom de domaine complet (FQDN) correct. Pour cela, procédez comme suit :
    1. Cliquez avec le bouton droit sur le serveur virtuel SMTP que vous avez créé, puis cliquez sur Propriétés.
    2. Cliquez sur l'onglet Remise, puis sur Avancée.
    3. Vérifiez que le nom de domaine figurant dans la zone Nom de domaine complet correspond à celui que vos utilisateurs tapent lorsqu'ils configurent leur logiciel client pour la remise du courrier SMTP. Pour vérifier que le nom de domaine est résolu correctement, cliquez sur Vérifier DNS.
    4. Cliquez sur OK, puis à nouveau sur OK.
Remarque Si vous configurez un serveur virtuel SMTP pour des clients qui accèdent à ce serveur par le biais d'Internet, vous devrez peut-être configurer des serveurs DNS externes parce que le nom de domaine complet du serveur virtuel SMTP doit être résolu vers une adresse Internet externe. Pour cela, cliquez sur Configurer dans la boîte de dialogue Remise avancée, cliquez sur Ajouter, puis tapez l'adresse IP du serveur DNS externe. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
326992 Les messages électroniques SMTP sortants ne sont pas envoyés


Configuration des restrictions d'adresses IP

Pour configurer les restrictions d'adresses IP, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Développez SMTP, cliquez avec le bouton droit sur Serveur virtuel SMTP par défaut, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Accès, puis sur Connexion.
  5. Dans la boîte de dialogue Connexion , cliquez sur Uniquement la liste ci-dessous.

    Cette option indique que seuls les domaines et les adresses IP figurant dans la liste sont autorisés à se connecter au serveur virtuel SMTP.
  6. Cliquez sur Ajouter, puis appliquez l'une des méthodes suivantes pour ajouter un ordinateur unique, un groupe d'ordinateurs ou un domaine, selon votre situation :
    • Pour ajouter un seul ordinateur, cliquez sur Ordinateur unique, tapez l'adresse IP du serveur de messagerie de votre fournisseur de services Internet dans la zone Adresse IP, puis cliquez sur OK.

      Vous pouvez également cliquer sur Recherche DNS, taper un nom d'hôte, puis cliquer sur OK.
    • Pour ajouter un groupe d'ordinateurs, cliquez sur Groupe d'ordinateurs, tapez l'adresse et le masque de sous-réseau du groupe dans les zones correspondantes, puis cliquez sur OK.

      Microsoft recommande cette option si votre fournisseur de services Internet a tendance à modifier l'adresse IP de son serveur de messagerie sans avertissement.
    • Pour ajouter un domaine, cliquez sur Domaine, tapez le nom du domaine souhaité dans la zone Nom, puis cliquez sur OK.

      Notez que cette option nécessite une recherche DNS inversée sur chaque connexion entrante. Cette condition préalable peut réduire les performances du serveur Exchange. Pour plus d'informations, reportez-vous à la section Résolution des problèmes plus bas dans cet article.

Configuration du contrôle d'accès

Pour configurer le contrôle d'accès, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Développez SMTP, cliquez avec le bouton droit sur le serveur virtuel SMTP, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Accès, puis sur Authentification.

    Par défaut, l'accès anonyme est désactivé et l'authentification de base et l'authentification Windows intégrée sont activées. Configurez le serveur virtuel SMTP pour utiliser l'authentification de base avec chiffrement TLS ou l'authentification Windows intégrée, puis cliquez sur OK.
Remarque Vous devez également permettre l'ouverture de session à l'aide de l'option Authentification par mot de passe sécurisé sur le logiciel client SMTP. Pour effectuer cette procédure dans Microsoft Outlook Express :
  1. Démarrez Outlook Express.
  2. Dans le menu Outils, cliquez sur Comptes.
  3. Cliquez sur l'onglet Courrier, puis sur Propriétés.
  4. Cliquez sur l'onglet Serveurs, activez la case à cocher Ouvrir une session en utilisant l'authentification par mot de passe sécurisé, cliquez sur OK, puis sur Fermer.
    Notez que le nom d'utilisateur et le mot de passe sont chiffrés. Les données du message ne sont pas chiffrées.

Configuration du chiffrement

Pour configurer le chiffrement, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Développez SMTP, cliquez avec le bouton droit sur le serveur virtuel SMTP, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Accès, puis sur Certificat. L'Assistant Certificat de serveur Web démarre.
  5. Cliquez sur Suivant.
  6. Suivez les instructions fournies par les pages restantes de l'Assistant pour créer un nouveau certificat ou pour attribuer un certificat existant.
Une fois le certificat installé sur le serveur, configurez la méthode de communication. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Développez SMTP, cliquez avec le bouton droit sur le serveur virtuel SMTP, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Accès, puis sur Communication.
  5. Activez la case à cocher Requérir un canal sécurisé.
  6. Si l'ordinateur Exchange 2003 et les clients prennent tous en charge le chiffrement 128 bits, cliquez sur Requérir un cryptage sur 128 bits.
  7. Cliquez sur OK, puis à nouveau sur OK.
  8. Arrêtez, puis redémarrez le serveur virtuel SMTP.
Si vos clients utilisent Outlook Express, configurez Outlook Express pour utiliser le chiffrement SSL. Pour cela, procédez comme suit :
  1. Démarrez Outlook Express.
  2. Dans le menu Outils, cliquez sur Comptes.
  3. Cliquez sur l'onglet Courrier.
  4. Double-cliquez sur le compte de messagerie Exchange Server, puis cliquez sur l'onglet Options avancées.
  5. Sous Courrier sortant (SMTP), activez la case à cocher Ce serveur nécessite une connexion sécurisée (SSL).
  6. Cliquez sur OK, puis sur Fermer.

Configuration du relais

Pour configurer le relais, procédez comme suit :
  1. Cliquez sur Démarrer, pointez sur Programmes, sur Microsoft Exchange, puis cliquez sur Gestionnaire système.
  2. Développez successivement Groupes administratifs (le cas échéant), Groupe_administratif (le cas échéant), Serveurs, Nom_serveur, puis Protocoles.
  3. Développez SMTP, cliquez avec le bouton droit sur le serveur virtuel SMTP, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Accès, puis sur Relais.

    Les paramètres par défaut permettent aux clients authentifiés d'effectuer le relais des messages. En général, ces paramètres suffisent à assurer que seuls les clients possédant les informations d'identification appropriées peuvent effectuer le relais des messages par le biais du serveur virtuel SMTP. Vous pouvez également restreindre les autorisations de relais à des adresses IP spécifiques, des plages d'adresses IP ou des suffixes DNS.
  5. Cliquez sur OK.

Test des paramètres de serveur virtuel SMTP que vous avez configurés

Pour vérifier que les paramètres de serveur virtuel SMTP que vous avez configurés fonctionnent correctement, procédez comme suit :
  • Pour vérifier que les restrictions IP fonctionnent correctement, utilisez un client POP3 et IMAP4 pour essayer de vous connecter au serveur à partir d'une adresse IP exclue. Si les restrictions IP sont configurées correctement, vous recevez un message indiquant que la connexion au serveur est refusée.
  • Pour vérifier le chiffrement de l'authentification, procédez comme suit :
    1. Exécutez le Moniteur réseau sur votre ordinateur Exchange 2003 et utilisez les paramètres d'authentification par défaut pour démarrer une session SMTP à partir du client en capturant le trafic reçu par l'ordinateur Exchange 2003.
    2. Examinez la session SMTP et notez les paquets envoyés du client au serveur sur le port 25 (0019h).

      Notez que le nom d'ouverture de session de l'utilisateur et le mot de passe sont envoyés en texte clair.
    3. Supprimez la prise en charge de l'authentification de base, configurez le client pour requérir l'Authentification par mot de passe sécurisé, démarrez une autre session SMTP à partir du client, puis capturez le trafic à l'aide du Moniteur réseau.

      Notez que le compte d'utilisateur et le mot de passe sont maintenant chiffrés.
  • Pour tester le chiffrement SSL, procédez comme suit :
    1. Ajoutez un certificat, configurez les paramètres pour requérir un canal sécurisé sur le serveur virtuel SMTP, puis configurez le client pour utiliser le chiffrement SSL.
    2. Lancez une capture du Moniteur réseau, puis démarrez une session de collecte du courrier électronique SMTP à partir du client.
    3. Arrêtez la capture et examinez les paquets envoyés.

      Notez que tous les paquets envoyés du client au serveur avec pour destination le port 25 (0019h) sont chiffrés.
    Remarque Si vous n'avez pas activé le chiffrement sur la collecte de courrier POP3 ou IMAP4 , vous pourrez observer la présence de paquets non chiffrés envoyés du client au port 110 (006Eh) ou au port 143 (008Fh).
  • Pour vérifier que les restrictions de relais fonctionnent correctement, envoyez un message à partir d'une adresse IP exclue à un domaine externe. Un message d'erreur s'affiche indiquant que le serveur n'a pas pu effectuer de relais pour l'adresse du destinataire.

Résolution des problèmes

Les restrictions basées sur la recherche DNS peuvent réduire les performances de l'ordinateur Exchange 2003. Étant donné que le serveur effectue une recherche DNS inversée sur chaque connexion entrante, une zone de recherche inversée DNS doit être disponible et l'hôte expéditeur doit être enregistré dans cette zone.

Références

Pour plus d'informations sur Exchange Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais):
http://www.microsoft.com/exchange/library

Propriétés

Numéro d'article: 823019 - Dernière mise à jour: lundi 26 novembre 2007 - Version: 1.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Mots-clés : 
kbhowto KB823019
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com