Comment faire pour faciliter la protection des communications SMTP en utilisant le protocole TLS dans Exchange Server

Cet article contient des informations sur la façon d'améliorer la sécurité des communications SMTP dans Microsoft Exchange Server 2003 et dans Microsoft Exchange 2000 Server en utilisant le protocole TLS.

L'utilisation du protocole TLS via SMTP offre l'authentification par certificat et facilite les transferts sécurisés de données à l'aide de clés de cryptage symétrique. Dans le système de cryptage symétrique par clé (également appelé secret partagé), une même clé est utilisée pour crypter et décrypter le message. TLS applique un code d'authentification de message par hachage (HMAC, Hash-based Message Authentication Code). Le code HMAC utilise un algorithme de hachage en association avec une clé secrète partagée afin de s'assurer que les données n'ont pas été modifiées pendant la transmission. La clé secrète partagée est ajoutée aux données à hacher. Cela permet d'améliorer la sécurité du hachage car les deux correspondants doivent avoir la même clé secrète partagée pour vérifier que les données sont authentiques.

Un certificat de serveur X.509 est une forme numérique d'identification qui est généralement publiée par une autorité de certification et qui contient des informations d'identification, une période de validité, une clé publique, un numéro de série et la signature numérique de l'émetteur. Vous pouvez faciliter la protection des communications en augmentant le niveau de cryptage de la paire de clés de 40 bits (valeur par défaut) à 128 bits. Plus le nombre de bits est important, plus l'élément est difficile à décrypter. En raison des restrictions liées à l'exportation, la fonctionnalité de cryptage de clé à 128 bits est uniquement disponible aux États-Unis et au Canada.

Pour plus d'informations, accédez aux sites Web consacrés à la norme IETF (Internet Engineering Task Force) et consultez les RFC (Requests for Comments) suivantes :

• RFC 2246 : The TLS Protocol Version 1.0
  http://www.ietf.org/rfc/rfc2246.txt (http://www.ietf.org/rfc/rfc2246.txt)
• RFC 2104 : HMAC : Keyed-Hashing for Message Authentication
  http://www.ietf.org/rfc/rfc2104.txt (http://www.ietf.org/rfc/rfc2104.txt)

Lorsque vous configurez vos serveurs virtuels pour qu'une authentification de base soit requise, il est fortement recommandé d'utiliser également le cryptage TLS. Sans cryptage, les noms d'utilisateur et mots de passe peuvent être interceptés facilement. Les utilisateurs qui essaient d'obtenir un accès doivent utiliser le même niveau de cryptage que celui que vous avez défini ; sinon, les messages sont retournés et un rapport de non-remise est généré.

TLS est conçu pour faciliter la protection des messages sortants, mais ne contribue pas à protéger le trafic des clients vers le serveur. Ces clients incluent en particulier Microsoft Outlook Web Access (OWA), POP3 et IMAP4. Pour résoudre ce problème, vous pouvez activer l'utilisation de SSL avec Outlook Web Access. Vous pouvez également suggérer que les utilisateurs de POP3 ou IMAP4 utilisent un client prenant en charge l'utilisation de SSL avec POP3 et IMAP4 (par exemple, Microsoft Outlook Express).

Comment requérir le cryptage TLS pour les clients

Pour requérir un cryptage TLS pour les clients, procédez comme suit :

1. Créez et gérez les certificats de clé. Pour cela, procédez comme suit :
   1. Installez un certificat de serveur X.509 sur le serveur. Pour plus d'informations sur les certificats X.509, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      319574  (http://support.microsoft.com/kb/319574/ ) Comment faire pour utiliser des certificats avec les serveurs virtuels dans Exchange 2000 Server
   2. Démarrez le Gestionnaire système Exchange.
   3. Développez Exchange Server, cliquez sur Protocoles, sur SMTP, cliquez avec le bouton droit sur Serveur virtuel SMTP, puis sur Propriétés.
   4. Cliquez sur l'onglet Accès, puis cliquez sur Certificat pour installer de nouveaux certificats de clé et gérer les certificats de clé installés pour le serveur virtuel SMTP.
2. Définissez les niveaux de cryptage TLS pour le serveur. Pour cela, procédez comme suit :
   1. Démarrez le Gestionnaire système Exchange.
   2. Cliquez avec le bouton droit sur Serveur virtuel SMTP, puis cliquez sur Propriétés.
   3. Cliquez sur l'onglet Accès, puis sur Authentification.
   4. Activez la case à cocher Authentification de base, activez la case à cocher Requiert le cryptage TLS, puis cliquez sur OK.

Activation du cryptage TLS pour un domaine distant spécifique dans une organisation Exchange

Pour activer le cryptage TLS pour un domaine distant spécifique dans Exchange Server, procédez comme suit :

1. Installez un certificat de serveur X.509 sur le serveur. Pour plus d'informations sur les certificats X.509, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   319574  (http://support.microsoft.com/kb/319574/ ) Comment faire pour utiliser des certificats avec les serveurs virtuels dans Exchange 2000 Server
2. Créez un nouveau connecteur SMTP. Pour plus d'informations sur la méthode à suivre pour créer un connecteur SMTP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   314961  (http://support.microsoft.com/kb/314961/ ) Comment faire pour installer et configurer les connecteurs SMTP dans Exchange 2000 Server
3. Pour activer le cryptage TLS, cliquez avec le bouton droit sur le connecteur SMTP, puis cliquez sur Propriétés. Cliquez sur l'onglet Avancé, sur Sécurité sortante, puis activez la case à cocher Cryptage TLS.

Remarque Si le domaine distant ne prend pas en charge le cryptage TLS, tous les messages sont retournés et un rapport de non-remise est généré. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

Activation du cryptage TLS pour toutes les connexions SMTP sortantes dans Exchange Server

Pour activer le cryptage TLS pour toutes les connexions SMTP sortantes, procédez comme suit :

1. Installez un certificat de serveur X.509 sur le serveur. Pour plus d'informations sur les certificats X.509, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
   319574  (http://support.microsoft.com/kb/319574/ ) Comment faire pour utiliser des certificats avec les serveurs virtuels dans Exchange 2000 Server
2. Démarrez le Gestionnaire système Exchange.
3. Cliquez avec le bouton droit sur Serveur virtuel SMTP, puis cliquez sur Propriétés.
4. Sous l'onglet Remise du serveur virtuel SMTP, cliquez sur Sécurité sortante, puis activez la case à cocher Cryptage TLS.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.