• Article

Le test de relais ouvert a échoué pour le serveur SMTP

[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Dernière rubrique modifiée : 2010-06-29

Sur un serveur exécutant Microsoft Exchange Server 2003 ou une version antérieure, l'outil Microsoft® Exchange Best Practices Analyzer tente de relayer un message via un serveur SMTP (Simple Mail Transfer Protocol) en effectuant les tâches suivantes :

  • Ouverture d'une connexion de socket sur le serveur SMTP. Si l'outil Analyseur reçoit le code de réponse 220, cette étape est considérée comme terminée avec succès.
  • Transmission du verbe de commande SMTP EHLO. Si l'outil Exchange Server Analyzer reçoit une série de codes de réponse 250, cette étape est considérée comme terminée avec succès. Cette série de codes de réponse inclut 250-X-LINK2STATE et 250-XEXCH50.
  • Transmission du verbe de commande SMTP MAIL FROM: ExBPA-OpenRelayTest@Fabrikam.com. Si l'outil Analyseur reçoit le code de réponse 250, cette étape est considérée comme terminée avec succès.
  • Transmission du verbe de commande SMTP RCPT TO: ExBPA-OpenRelayTest@Fabrikam.com. Si l'outil Analyseur reçoit le code de réponse 250, cette étape est considérée comme terminée avec succès.

L'outil Analyseur interroge également la classe Win32_OperatingSystem Microsoft Windows® Management Instrumentation (WMI) pour déterminer la valeur de la clé OSProductSuite. La valeur de cette clé correspond à une version spécifique d'un système d'exploitation Windows Server. Si l'outil Analyseur parvient à effectuer toutes les étapes avec succès sur un ordinateur Exchange Server faisant partie d'une installation Microsoft Small Business Server 2000 ou Microsoft Windows Small Business Server 2003, une erreur s'affiche.

Sur un serveur exécutant Exchange Server 2007 ou une version ultérieure, l'outil Analyseur détermine si l'option Utilisateurs anonymes est activée sous l'onglet Groupes d'autorisation du Connecteur de réception. De même, l'outil détermine si l'utilisateur NT AUTHORITY\ANONYMOUS LOGON dispose du droit Ms-Exch-SMTP-Accept-Any-Recipient sur le Connecteur de réception. Si l'outil Analyseur détermine qu'Exchange Server ne dispose pas de cette configuration, un message d'erreur s'affiche. L'erreur indique que ce serveur est configuré en tant que relais ouvert.

Notes

  • Il n'est pas recommandé d'autoriser des relais ouverts. Un relais ouvert existe lorsqu'un serveur de messagerie autorise le relais des messages électroniques via le système sans exercer de restriction ni aucun contrôle sur le message relayé.
  • Si, pour une raison ou une autre, votre organisation Exchange utilise un domaine SMTP nommé Fabrikam.com, vous pouvez rencontrer cette erreur. Dans ce cas, vous pouvez ignorer cette erreur en toute sécurité. Le domaine Fabrikam.com appartient à Microsoft Corporation et est utilisé pour la formation et la documentation.

Le relais n'est pas nécessairement négatif parce que SMTP a été conçu à cette fin (pour plus d'informations, consultez le document RFC 2821, sections 2.1 et 3.7 (http://ietf.org)). En revanche, il peut être non contrôlé. Un hôte non contrôlé est appelé hôte relais ouvert. Si le relais n'est pas contrôlé, des utilisateurs malveillants pourraient utiliser un relais pour envoyer des messages commerciaux indésirables en bloc (spam ou UCE). En faisant transiter ces messages électroniques indésirables par un hôte intermédiaire, l'utilisateur malveillant tente de masquer son identité. Cela bloque également les ressources sur l'hôte relais et peut empêcher celui-ci d'envoyer des messages électroniques valides. La plupart des utilisateurs qui envoient ce type de messages indésirables peuvent notamment envoyer un message unique à un nombre très important de destinataires sans utiliser leur propre bande passante.

Veillez à ne pas autoriser le relais anonyme sur vos serveurs virtuels SMTP Internet. Par défaut, Exchange ne permet qu'aux utilisateurs authentifiés de relayer le courrier. Seuls les utilisateurs authentifiés peuvent utiliser Exchange pour envoyer du courrier à un domaine externe. Si vous modifiez les paramètres de relais par défaut pour autoriser le relais aux utilisateurs non authentifiés, ou si vous autorisez le relais ouvert à un domaine via un connecteur, des utilisateurs non autorisés ou des vers malveillants peuvent utiliser votre serveur Exchange pour envoyer du courrier indésirable. Votre serveur peut figurer dans une liste d'interdiction et ne plus pouvoir envoyer de courrier pour légitimer les serveurs distants. Pour éviter que des utilisateurs non autorisés ne se servent de votre serveur Exchange pour relayer le courrier, utilisez, au minimum, les restrictions de relais par défaut.

Si vous avez des raisons légitimes d'utiliser le relais, suivez les indications pour vérifier que la sécurité est préservée dans votre implémentation. Pour ce faire, laissez inchangés les paramètres par défaut refusant tout relais et ajoutez uniquement les adresses IP desquelles vous accepterez le courrier relayé et désactivez l'accès pour les utilisateurs authentifiés.

Examinez de quelle façon les comptes intégrés (administrateur local) et les autres utilisateurs sont utilisés sur vos serveurs de passerelle. Il est peu probable que vous utilisiez les comptes intégrés pour tout type de relais. Si vous utilisez le relais, celui-ci s'effectue probablement par un ensemble connu d'utilisateurs ou d'ordinateurs. Il est recommandé de restreindre les droits de relais à des utilisateurs et ordinateurs explicites ou à une adresse IP.

Configurer une autorisation explicite de relais permettra en outre de renforcer la protection de votre serveur. Des utilisateurs malveillants peuvent utiliser une attaque de décryptage pour tenter d'obtenir les mots de passe des comptes intégrés ou des comptes d'utilisateurs trouvés sur Internet pour pouvoir utiliser votre serveur comme proxy de courrier indésirable. Par conséquent, le paramètre par défaut qui permet à tout ordinateur authentifié d'effectuer le relais n'est pas recommandé pour les ordinateurs accessibles d'Internet. Il est recommandé de désactiver ce paramètre.

Les procédures suivantes expliquent comment désactiver le relais anonyme s'il s'agit d'un serveur virtuel SMTP Internet. Comme déjà mentionné dans cet article, vous ne devez activer toute forme de relais anonyme que lorsque votre organisation est consciente du risque de sécurité et que celui-ci est acceptable. Les références à la fin de cet article fournissent plus d'informations sur l'utilisation du relais.

Si un serveur virtuel SMTP n'est pas accessible depuis Internet, il est recommandé de rétablir les configurations de relais par défaut. En conséquence, les serveurs virtuels SMTP n'autorisent que le relais interne à partir d'ordinateurs authentifiés.

Pour les serveurs virtuels SMTP accessibles depuis Internet, il est recommandé de renforcer la sécurité des configurations de relais par défaut, pour que seuls les utilisateurs et les ordinateurs détenteurs d'autorisations explicites soient autorisés à effectuer le relais.

Si vous avez vérifié qu'Exchange est configuré pour bloquer le relais et si vous recevez toujours cette erreur dans l'outil Exchange Server Analyzer, vous devez contrôler que tous les serveurs ou processus proxy, tels que les pare-feu, antivirus ou antispam, n'autorisent pas le relais anonyme.

Pour rétablir les configurations par défaut de relais anonyme sur les serveurs virtuels SMTP internes

  1. Ouvrez le Gestionnaire système Exchange.

  2. Dans l'arborescence de la console, développez Serveurs, le serveur souhaité, puis Protocoles et enfin SMTP.

  3. Cliquez avec le bouton droit sur le serveur virtuel SMTP auquel vous souhaitez appliquer des restrictions de relais, puis cliquez sur Propriétés.

  4. Dans <Serveur virtuel SMTP> Propriétés, cliquez sur l'onglet Accès, puis sur Relais.

  5. Dans Restrictions de relais, sous Sélectionnez l'ordinateur autorisé à relayer via ce serveur virtuel, sélectionnez Uniquement la liste ci-dessous, activez la case à cocher Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessous, puis cliquez sur OK.

Pour configurer l'autorisation de relais explicite sur les serveurs virtuels SMTP Internet dans Exchange Server 2003

  1. Ouvrez le Gestionnaire système Exchange.

  2. Dans l'arborescence de la console, développez Serveurs, le serveur souhaité, puis Protocoles et enfin SMTP.

  3. Cliquez avec le bouton droit sur le serveur virtuel SMTP auquel vous souhaitez appliquer des restrictions de relais, puis cliquez sur Propriétés.

  4. Dans <Serveur virtuel SMTP> Propriétés, cliquez sur l'onglet Accès, puis sur Relais.

  5. Dans Restrictions de relais, désactivez la case à cocher Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessous, puis cliquez sur Utilisateurs pour spécifier un sous-ensemble d'utilisateurs pour lesquels vous souhaitez accorder des autorisations de relais sur ce serveur virtuel SMTP.

  6. Dans Autorisations pour Accès et Relais, pour supprimer un utilisateur ou un groupe, sélectionnez le groupe ou l'utilisateur, puis cliquez sur Supprimer.

  7. Pour ajouter un groupe ou un utilisateur, cliquez sur Ajouter, puis sélectionnez les utilisateurs ou le groupe pour lequel vous souhaitez spécifier des autorisations. Sélectionnez l'une des options suivantes :

    • Sous Microsoft Windows Server 2003, dans Sélectionnez les utilisateurs, les ordinateurs ou les groupes, sous Entrez le nom de l'objet à sélectionner, entrez le nom de l'utilisateur ou du groupe. Pour rechercher l'utilisateur ou le groupe, cliquez sur Avancé, recherchez son nom, puis cliquez sur Vérifier les noms pour valider votre entrée.
      tipConseil :
      Cliquez sur exemples pour afficher les formats acceptables pour vos entrées.
    • Sous Windows 2000 Server, dans Sélectionnez les utilisateurs, les ordinateurs ou les groupes, sélectionnez le groupe ou l'utilisateur pour lequel vous souhaitez accorder des autorisations de dépôt, puis cliquez sur Ajouter.

  8. Cliquez sur OK pour revenir à la boîte de dialogue Permissions for Submit and Relay (Autorisations de dépôt et de relais).

  9. Sous Group or user names list (liste de noms de groupes ou d'utilisateurs), sélectionnez le groupe que vous venez d'ajouter.

  10. Sous Autorisations pour <groupe sélectionné>, en regard de Autorisation de dépôt, activez, au besoin, la case à cocher sous Autoriser pour autoriser l'utilisateur ou le groupe sélectionné à envoyer du courrier via ce serveur virtuel SMTP.

  11. En regard de Autorisations de relais, activez la case à cocher sous Autoriser pour permettre à l'objet sélectionné d'effectuer le relais via ce serveur virtuel SMTP, ou activez la case à cocher sous Refuser pour lui interdire de le faire.

    noteRemarque :
    Vous devez permettre les autorisations de dépôt si vous souhaitez accepter les autorisations de relais.

  12. Cliquez sur OK.

Pour configurer les autorisations de relais sur les serveurs virtuels SMTP Internet dans Exchange Server 2000

  1. Ouvrez le Gestionnaire système Exchange.

  2. Dans l'arborescence de la console, développez Serveurs, le serveur que vous souhaitez configurer, puis Protocoles et enfin SMTP.

  3. Cliquez avec le bouton droit sur le serveur virtuel SMTP auquel vous souhaitez appliquer des restrictions de relais, puis cliquez sur Propriétés.

  4. Dans <Serveur virtuel SMTP> Propriétés, cliquez sur l'onglet Accès, puis sur Relais.

  5. Dans Restrictions de relais, sous Sélectionnez l'ordinateur autorisé à relayer via ce serveur virtuel, sélectionnez Uniquement la liste ci-dessous.

  6. Cliquez sur Ajouter pour ajouter un seul ordinateur, groupe d'ordinateurs ou un nom de domaine SMTP, puis cliquez sur OK. Répétez cette étape pour chaque entrée supplémentaire à ajouter.

  7. Activez la case à cocher Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessus, puis cliquez à deux reprises sur OK.

Pour plus d'informations sur la sécurité et le relais de messages, voir les guides suivants de la bibliothèque technique d'Exchange Server 2003 :

Pour plus d'informations sur le test et la sécurisation du comportement de relais ouvert dans votre environnement Exchange et Microsoft Windows, consultez l'article 304897 de la Base de connaissances Microsoft, Comportement des relais SMTP dans Windows 2000, Windows XP et Exchange Server.