Description des fonctionnalités de sécurité liés au développement de courrier électronique dans Outlook 2002

Pour obtenir une version Microsoft Outlook 98 de cet article, reportez-vous à la section.
262700 .

Pour obtenir une version Microsoft Outlook 2000 de cet article, reportez-vous à la section.
262701 .

Résumé

Cet article récapitule ce que les développeurs doivent connaître les fonctionnalités de sécurité de messagerie électronique Outlook 2002 et comment ces fonctionnalités peuvent affecter des solutions personnalisées.

Important Cet article décrit les fonctionnalités de sécurité dans Outlook 2002, Outlook 2002 Service Pack 1 et dans Outlook 2002 Service Pack 2. Des fonctionnalités supplémentaires ont été ajoutées à Outlook 2002 Service Pack 3.
Pour plus d’informations sur ces modifications, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Description 838871 des modifications de sécurité pour les développeurs dans Outlook 2002 Service Pack 3 (S838871)

Plus d'informations

Vue d’ensemble

Important Outre les informations de cet article, vous devez être familiarisé avec les fonctionnalités générales de sécurité de messagerie Outlook 2002. Vous trouverez des informations sur les fonctionnalités de sécurité de messagerie Outlook dans l’aide. Dans le menu aide , cliquez sur Aide de Microsoft Outlook. Dans le sommaire, cliquez sur sécurité et le cryptage.
Pour plus d’informations sur la façon dont les fonctionnalités de sécurité affectent l’utilisateur final, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
290498 vous recevez des messages d’avertissement lorsque vous utilisez une solution personnalisée ou un complément tiers dans Outlook 2002

Important Cet article décrit le comportement par défaut d’Outlook 2002 concernant les diverses restrictions imposées aux interfaces de programmation. Si vous souhaitez éviter ces restrictions, les administrateurs peuvent configurer les ordinateurs clients afin qu’ils ne contiennent pas toutes ces restrictions. En tant que développeur, vous devez être familiarisé avec les options d’administration disponibles avec ces fonctionnalités de sécurité.
Pour plus d’informations sur la façon de remplacer ces restrictions, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
290499 informations sur les fonctionnalités de sécurité de messagerie

Outlook 2002 comprend le même type de fonctionnalités de sécurité qui ont été publiés auparavant en tant que les mises à jour de la sécurité de Microsoft Outlook 2000 messagerie Microsoft Outlook 98. Ces fonctionnalités dotent Outlook de niveaux supplémentaires de protection contre les messages électroniques malveillants, mais peuvent affecter les solutions que vous créez à l’aide des fonctionnalités de développement incluses dans Outlook et les autres technologies de messagerie ou Interfaces de programmation d’Application (API). Dans certains cas, les solutions peuvent ne pas fonctionnent du tout ; dans les autres cas, les solutions peuvent entraîner un message d’avertissement qui interrompt la solution lorsque vous tentez de l’exécuter.

Les fonctionnalités de sécurité changent Outlook et la fonctionnalité de messagerie générale dans les domaines suivants :
  • Pièces jointes général
  • Le modèle d’objet Outlook
  • Le modèle objet d’objets de données de Collaboration (CDO) 1. 21 s
  • Interface de programmation d’Application de messagerie simple ou Simple MAPI.
  • Autres domaines dans Outlook liés à la sécurité, comme le code incorporé dans les messages électroniques HTML.

Fonctionnalités de sécurité de modèle objet Outlook

Pièces jointes

Les pièces jointes de niveau 1, ou « unsafe », extensions de fichier ne sont pas accessibles dans le modèle d’objet Outlook, notamment :
  • La collection de pièces jointes dans le modèle objet ne connaît pas de pièces jointes potentiellement dangereuses.
  • Si vous essayez d’envoyer des messages par programme avec l’une de ces pièces jointes, le courrier n’est pas envoyé. Si le programme est écrit dans le C ou C++, langages de programmation, vous recevez le code de retour MAPI_E_CANCELLED.
  • Si vous essayez d’ouvrir un objet système de fichiers « potentiellement dangereux » (ou un fichier « freedoc ») en utilisant le modèle d’objet Outlook, vous recevez le code de retour E_FAIL dans les langages de programmation C ou C++. Dans les versions précédentes d’Outlook, vous pourriez ouvrir un objet de système de fichiers « dangereux » à l’aide de la méthode Display dans le modèle d’objet Outlook.

Item.Send

Lorsque vous exécutez un programme qui utilise le modèle d’objet Outlook pour appeler la méthode Send, vous recevez un message d’avertissement. Ce message d’avertissement vous indique qu’un programme tente d’envoyer du courrier en votre nom et vous demande si vous souhaitez autoriser le message à envoyer. Le message d’avertissement contient un bouton Oui et un bouton non ; Toutefois, le bouton Oui n’est pas disponible jusqu'à ce que cinq secondes après l’apparition du message. Vous pouvez faire disparaître le message d’avertissement immédiatement si vous cliquez sur non. Lorsque vous cliquez sur non, la méthode Send renvoie une erreur E_FAIL dans le C ou C++, langages de programmation.

L’accès aux carnets d’adresses et de destinataires

Si un programme essaie de faire référence à n’importe quel type d’informations sur le destinataires à l’aide du modèle d’objet Outlook, une boîte de dialogue s’affiche et vous demande de confirmer l’accès à ces informations. Vous pouvez autoriser l’accès au carnet d’adresses ou des informations de destinataire jusqu'à dix minutes après l’affichage de la boîte de dialogue. Ainsi, les fonctionnalités telles que la synchronisation avec un appareil mobile, à effectuer. Si vous décidez de ne pas autoriser l’accès à votre carnet d’adresses ou les informations concernant le destinataire, vous recevez le code de retour E_FAIL pour tous ces messages dans les langages de programmation C ou C++.

Vous recevez la boîte de dialogue de confirmation lorsqu’une solution tente d’accéder par programme aux fonctionnalités suivantes du modèle d’objet Outlook :
  • La collection AddressEntries ou n’importe quel objet AddressEntry.
  • La collection Recipients ou n’importe quel objet de destinataire.
  • Les propriétés suivantes d’un objet ContactItem :
    Email1.Address
    Email1.AddressType
    Email1.DisplayName
    Email1.EntryID
    Email2.Address
    Email2.AddressType
    Email2.DisplayName
    Email2.EntryID
    Email3.Address
    Email3.AddressType
    Email3.DisplayName
    Email3.EntryID
    NetMeetingAlias
    ReferredBy
  • Les propriétés suivantes d’un objet MailItem :
    SentOnBehalfOfName
    SenderName
    ReceivedByName
    ReceivedOnBehalfOfName
    ReplyRecipientNames
    À
    Cc
    Cci
  • Les propriétés suivantes d’un objet AppointmentItem :
    Bibliothèque multimédia
    RequiredAttendees
    OptionalAttendees
    Ressources
    NetMeetingOrganizerAlias
  • Les propriétés suivantes d’un objet TaskItem :
    ContactNames
    Contacts
    Personne
    Propriétaire
    StatusUpdateRecipients
    StatusOnCompletionRecipients
  • La méthode GetMember d’un objet DistListItem.
  • La propriété ContactNames d’un objet JournalItem.
  • La propriété SenderName d’un objet MeetingItem.
  • La propriété SenderName d’un objet PostItem.
  • La propriété GetRecipientFromID d’un objet Namespace.
  • La méthode Execute d’un objet Action.
  • La propriété Formula d’un objet UserProperty.

Item.SaveAs

Lorsque vous utilisez la méthode SaveAs pour enregistrer des éléments dans le système de fichiers, un message d’avertissement « carnet d’adresses » s’affiche. Cela inclut tous les types d’éléments de ces articles portent des pièces jointes ou du contenu actif ou non. Cette modification a été apportée afin que personne ne peut pas enregistrer par programme des éléments dans un fichier, puis analyse ce fichier pour récupérer les adresses de messagerie.

Envoyer le bouton CommandBar

Il n’est plus possible d’utiliser la méthode Execute pour cliquer par programmation le bouton Envoyer dans la barre d’outils Outlook. Bien que cette situation n’est pas fréquente dans les solutions Outlook, cette modification a été apportée afin d’empêcher des intentions malveillantes. Vous recevez le code de retour E_FAIL pour tous ces messages dans les langages de programmation C ou C++.

SendKeys

Outlook n’autorise pas les accès à certaines boîtes de dialogue à l’aide de la commande SendKeys le Microsoft Visual Basic ou Microsoft Visual Basic pour Applications. Cela empêche les programmes nuisibles de faire disparaître les messages d’avertissement et de contourner les nouvelles fonctionnalités de sécurité automatiquement.

VBScript dans les formulaires non publiés ne s’exécute plus

Lorsque vous créez un formulaire Outlook personnalisé, vous pouvez choisir d’incorporer directement Visual Basic Scripting Edition (VBScript) dans un élément. Vous pouvez le faire si les autres utilisateurs ne peuvent pas accéder à un formulaire publié. Ces types de formulaires sont appelés formulaires « One-Off ».
Pour plus d’informations sur les formulaires One-Off, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Description 290657 des définitions des formulaires et des formulaires One-Off dans Outlook 2002

Lorsque vous ouvrez un de ces éléments dans une version d’Outlook qui ne dispose pas de l’application Outlook E-mail Security Update, Outlook affiche un message d’avertissement de sécurité qui vous demande si vous souhaitez activer ou désactiver le code dans le formulaire. Dans Outlook 2002, le code est désactivé et vous ne pouvez pas l’activer.

Fonctionnalités de sécurité CDO 1. 21 s

Le modèle d’objet CDO 1.21 a été modifié pour refléter les modifications apportées dans le modèle d’objet Outlook et à Simple MAPI. Le numéro de version de CDO a été actualisé en 1. 21 s pour refléter ces fonctionnalités de sécurité.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Fonctionnalités de sécurité de messagerie de résumé des objets CDO (Collaboration Data) 1. 21 s 295302 dans Outlook 2002

Pour plus d’informations sur le modèle d’objet CDO, consultez l’article suivant sur le site Web de Microsoft :

Fonctionnalités de sécurité simples MAPI

Lorsque Outlook est installé sur un ordinateur en tant que client MAPI Simple par défaut, Outlook traite les demandes qui sont effectuées à l’aide d’appels Simple MAPI. Par conséquent, lorsque vous installez Outlook 2002, les appels Simple MAPI sont gérés par Outlook et ces appels de fournissent le même niveau de protection que le modèle d’objet Outlook. Par défaut, si vous utilisez plusieurs fonctions Simple MAPI, vous recevez un message d’avertissement indiquant qu’un programme essaie d’accéder aux informations relatives au destinataire ou d’envoyer des messages en votre nom.

La liste suivante décrit la manière dont Outlook répond aux appels Simple MAPI.
Simple MAPI call   Behavior if handled by Outlook
----------------------------------------------------------------
MAPIAddress OK
MAPIDeleteMail OK
MAPIDetails OK
MAPIFindNext OK
MAPIFreeBuffer OK
MAPILogoff OK
MAPILogon OK
MAPIReadMail Prompt
MAPIResolveName Prompt
MAPISaveMail OK
MAPISendDocuments OK
MAPISendMail OK with the MAPI_DIALOG argument, otherwise prompt

Pour plus d’informations sur les appels Simple MAPI, consultez l’article suivant sur le site Web de Microsoft :

Les applications Office sont réinitialisées à haute sécurité

Pour vous protéger contre les virus macros dangereux qui peuvent être dans des documents Microsoft Office, Office XP met par défaut les programmes en mode « haute sécurité ». Cela inclut tous les programmes Office XP qui prennent en charge Visual Basic pour Applications, à l’exception de Microsoft Access, Microsoft Access ne possède pas de paramètre équivalent pour la sécurité des macros. Par conséquent, tous les types de document Access sont inclus dans la liste des extensions de fichiers potentiellement dangereuses qui ne sont pas accessibles.

Outlook et le courrier HTML

Les informations suivantes sont un extrait de l’aide de Microsoft Outlook :
Pour vous protéger des virus éventuellement contenus dans les messages HTML que vous recevez, les scripts ne s’exécutent pas et les contrôles ActiveX sont désactivés, quel que soit votre paramètre de zone de sécurité. Par défaut, la zone de sécurité Microsoft Outlook a la valeur sites sensibles.

Éviter les fonctionnalités de sécurité

Les fonctionnalités de sécurité de messagerie électronique affectent toutes les solutions personnalisées qui utilisent le modèle d’objet Outlook, CDO ou Simple MAPI, même si elles sont signées numériquement. Cela inclut les éléments suivants :

  • Formulaires personnalisés Outlook publiés dans des bibliothèques de formulaires ou de dossier, y compris la bibliothèque de formulaires d’organisation
  • Compléments COM Outlook
  • De Visual Basic pour Applications Outlook
  • Tout autre type de projet de développement qui utilise le modèle d’objet Outlook, CDO ou Simple MAPI.
En tant que développeur, vous disposez de plusieurs options lorsque vous essayez d’éviter les fonctionnalités de sécurité. Pour résumer vos options standard selon lequel vous développez votre solution :
  • Les formulaires personnalisés Outlook: publication de formulaires afin qu’ils ne sont pas des formulaires One-Off, ou utilisent les fonctionnalités d’administrateur pour activer le code VBScript dans des formulaires One-Off pour s’exécuter.
  • De Visual Basic pour Applications Outlook: utiliser les fonctionnalités d’administrateur pour désactiver les restrictions du modèle d’objet ou convertissez votre Visual Basic pour Applications de code d’un Add-in COM et puis l’enregistrer à l’aide du formulaire d’administrateur.
  • Les compléments COM: les compléments COM peuvent être approuvés si un administrateur les inscrit à l’aide du formulaire d’administrateur. Toutefois, lorsque vous utilisez un complément COM, seul le modèle d’objet Outlook est exempté ; le modèle d’objet CDO va générer des avertissements.

    Vous ne pouvez pas approuver des compléments COM dans Outlook 2000. C’est une fonctionnalité qui a été ajoutée à la version Outlook 2002 du formulaire d’administrateur.
  • Automatisation des modèles d’objet Outlook ou CDO: utiliser les fonctionnalités d’administrateur pour désactiver les restrictions du modèle d’objet.
Si possible, vous souhaiterez modifier votre solution de sorte qu’il s’exécute sur un serveur au lieu d’un client. API serveur ne sont pas protégés par ces fonctionnalités de sécurité de messagerie.

Vous pouvez également envisager d’utiliser une autre API de messagerie ou d’une bibliothèque :
  • Collaboration Data Objects pour Windows 2000 (CDOSYS) Cette bibliothèque est disponible avec Microsoft Windows 2000 (éditions Professionnel et Server) et Microsoft Windows XP (Édition Professionnel). CDOSYS est installé par le composant Internet Information Services (IIS) de Windows, vous devez installer IIS pour pouvoir le pour utiliser.

    Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    286430 comment envoyer du HTML mis en forme les messages à l’aide de CDO pour Windows 2000 et le répertoire de collecte local

    Pour plus d’informations sur CDOSYS, visitez le site Web de Microsoft Developer Network (MSDN) à l’adresse suivante :
  • MAPI étendu Vous devez écrire votre code en C/C++. Pour plus d’informations, visitez le site Web de Microsoft Developer Network (MSDN) à l’adresse suivante :

Références

Pour plus d’informations sur les ressources disponibles et les réponses aux questions fréquemment posées sur les solutions Microsoft Outlook, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
287530 Forum aux questions sur les formulaires personnalisés et les solutions Outlook

Propriétés

ID d'article : 290500 - Dernière mise à jour : 26 janv. 2017 - Révision : 2

Commentaires