Utilisation de l'authentification TLS dans Exchange 2007 pour l'échange de messages électroniques avec un programme de messagerie tiers

S’applique à : Exchange Server 2007 SP3

Dernière rubrique modifiée : 2009-09-29

Cette rubrique décrit l'utilisation de l'authentification TLS (Transport Layer Security) avec Microsoft Exchange Server 2007 pour échanger des messages électroniques avec un programme de messagerie tiers.

L'utilisation du protocole TLS permet d'améliorer la sécurité de la communication SMTP dans Exchange 2007. TLS est un protocole standard utilisé pour sécuriser les communications Web sur Internet ou des intranets. Il permet aux clients d'authentifier les serveurs ou, à titre facultatif, aux serveurs d'authentifier les clients. Il offre également un canal de sécurité en chiffrant les communications. TLS est la version la plus récente du protocole SSL (Secure Sockets Layer).

TLS sur SMTP offre une authentification basée sur des certificats et permet de sécuriser les transferts de données à l'aide de clés de chiffrement symétrique. Dans le cadre du chiffrement symétrique à clé (ou chiffrement à « secret partagé »), la même clé est utilisée pour chiffrer et déchiffrer le message. TLS applique un code d'authentification de message basé sur le hachage (HMAC). HMAC utilise un algorithme de hachage avec une clé à secret partagé pour garantir que les données ne sont pas modifiées pendant la transmission. La clé à secret partagé est ajoutée aux données à hacher. Ceci permet d'améliorer la sécurité du hachage car les deux parties doivent avoir la même clé à secret partagé pour vérifier l'authenticité des données.

Dans les versions antérieures d'Exchange, vous deviez configurer TLS manuellement. Vous deviez par ailleurs installer un certificat valide, adapté à une utilisation TLS, sur le serveur Exchange. Dans Exchange 2007, la configuration crée un certificat auto-signé. Par défaut, TLS est activé. Cela permet à tout système émetteur de chiffrer la session SMTP entrante dans Exchange. Par défaut, Exchange 2007 essaie également TLS pour toutes les connexions distantes.

Pour utiliser TLS pour l'envoi de messages électroniques à un programme de messagerie tiers, vous devez configurer un connecteur d'envoi. Les connecteurs d'envoi sont configurés sur des ordinateurs exécutant Exchange 2007 et sur lesquels les rôles serveur de transport Hub et serveur de transport Edge sont installés. Le connecteur d'envoi constitue une passerelle logique via laquelle les messages sortants sont envoyés.

Pour utiliser TLS pour l'envoi de messages électroniques à un programme de messagerie tiers, vous devez configurer un connecteur de réception. Les connecteurs de réception sont configurés sur des ordinateurs exécutant Exchange 2007 et sur lesquels les rôles serveur de transport Hub et serveur de transport Edge sont installés. Les connecteurs de réception constituent une passerelle logique via laquelle tous les messages entrants sont reçus.

Utilisation de TLS pour envoyer des messages électroniques à un programme de messagerie tiers

1. Démarrez la console de gestion Exchange.

2. Exécutez une des étapes suivantes :

   • Sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, sélectionnez Transport Edge, puis cliquez sur l'onglet Connecteurs d'envoi.

   • Pour créer un connecteur d'envoi sur un rôle serveur de transport Hub, dans l'arborescence de la console, développez Configuration de l'organisation, sélectionnez Transport Hub, puis cliquez sur l'onglet Connecteurs d'envoi.

3. Dans le volet Actions, cliquez sur Nouveau connecteur d'envoi. L'Assistant Nouveau connecteur d'envoi SMTP démarre.

4. Dans le page Introduction, tapez un nom significatif pour le connecteur dans le champ Nom. Ce nom permet d'identifier le connecteur.

5. Dans la liste déroulante Sélectionner l'usage de ce connecteur, cliquez sur Personnalisé, puis sur Suivant.

6. Dans la page Espace d'adressage, cliquez sur Ajouter.

7. Dans la boîte de dialogue Espace d'adressage SMTP, tapez le domaine externe du serveur de messagerie tiers. Par exemple, tapez *.contoso.com pour le domaine contoso.com.

8. Cliquez sur OK, puis sur Suivant.

9. Dans la page Paramètres du réseau, cliquez sur Utiliser les enregistrements « MX » DNS (Domain Name System) pour router automatiquement le courrier, puis sur Suivant. Vous pouvez également cliquer sur Router tous les messages via les hôtes actifs suivants, puis procéder comme suit :

   1. Cliquez sur Ajouter.

   2. Dans la boîte de dialogue Ajouter un hôte actif, sélectionnez Adresse IP ou Nom de domaine complet (FQDN) pour spécifier la manière de localiser l'hôte actif. Si vous sélectionnez Adresse IP, entrez l'adresse IP de l'hôte actif. Si vous sélectionnez Nom de domaine complet (FQDN), entrez le nom de domaine complet de l'hôte actif. Le serveur d'envoi doit être capable de résoudre le nom de domaine complet.

   3. Lorsque vous avez terminé, cliquez sur OK.

   4. Pour ajouter des hôtes actifs, cliquez sur Ajouter et recommencez les étapes b et c.

   5. Pour modifier les paramètres d'un hôte actif, sélectionnez l'hôte actif, puis cliquez sur Modifier.

   6. Pour supprimer un hôte actif existant, sélectionnez l'hôte actif, puis cliquez sur .

   7. Lorsque vous avez terminé, cliquez sur Suivant.

   8. Dans la page Paramètres de sécurité de l'hôte actif, sélectionnez Authentification de base sur TLS, puis cliquez sur Suivant.

10. Par défaut, le serveur de transport Hub sur lequel vous travaillez actuellement est indiqué comme serveur source dans la page Serveur source. Pour ajouter un serveur source, cliquez sur Ajouter. Dans la boîte de dialogue Sélectionner des serveurs de transport Hub et des abonnements Edge, sélectionnez les serveurs de transport Hub ou les serveurs de transport Edge abonnés qui seront utilisés comme serveurs sources pour l'envoi de messages à l'espace d'adressage que vous avez spécifié à l'étape 7. La liste des serveurs sources contient soit tous les serveurs de transport Hub, soit tous les serveurs de transport Edge abonnés. Lorsque vous avez fini d'ajouter des serveurs sources, cliquez sur OK.

    Pour ajouter des serveurs sources, cliquez sur Ajouter et recommencez cette étape.

    Pour supprimer un serveur source, sélectionnez-le, puis cliquez sur .

    Lorsque vous avez terminé, cliquez sur Suivant.

11. Dans la page Nouveau connecteur, consultez le résumé de la configuration pour le connecteur. Pour modifier les paramètres, cliquez sur Précédent. Pour créer le connecteur d'envoi en utilisant les paramètres du résumé de la configuration, cliquez sur Nouveau.

12. Dans la page Achèvement, cliquez sur Terminer.

13. Certains programmes tiers, tels que Gentoo Linux, ne nécessitent aucune configuration supplémentaire. Testez la connexion. Si la connexion ne peut pas être établie, procédez comme suit :

    1. Dans le volet de travail, cliquez avec le bouton droit sur le connecteur créé, puis cliquez sur Propriétés.

    2. Sous l'onglet Réseau, activez la case à cocher Sécurité du domaine activé (Mutual Auth TLS), puis cliquez sur OK.

    3. Fermez la console de gestion Exchange.

    4. Redémarrez le service de transport Microsoft Exchange.

Utilisation de TLS pour recevoir des messages électroniques d'un programme de messagerie tiers

1. Démarrez la console de gestion Exchange.

2. Exécutez une des étapes suivantes :

   1. Sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, sélectionnez Transport Edge, puis, dans le volet de travail, cliquez sur l'onglet Connecteurs de réception.

   2. Pour créer un connecteur de réception sur un rôle serveur de transport Hub, dans l'arborescence de la console, développez Configuration du serveur, puis cliquez sur Transport Hub. Dans le volet Résultats, sélectionnez le serveur sur lequel vous voulez créer le connecteur, puis cliquez sur l'onglet Connecteurs de réception.

3. Dans le volet Actions, cliquez sur Nouveau connecteur de réception. L'Assistant Nouveau connecteur de réception SMTP démarre.

4. Dans le page Introduction, tapez un nom significatif pour le connecteur dans le champ Nom. Ce nom permet d'identifier le connecteur.

5. Dans la liste déroulante Sélectionner l'usage de ce connecteur, cliquez sur Personnalisé, puis sur Suivant.

6. Dans la page Paramètres du réseau local, cliquez sur Ajouter.

7. Dans la boîte de dialogue Ajouter une liaison du connecteur de réception, sélectionnez une des options suivantes :

   • Utiliser toutes les adresses IP disponibles sur ce serveur   Si vous sélectionnez cette option, le connecteur écoute les connexions sur toutes les adresses IP affectées aux cartes réseau sur le serveur local.

   • Spécifier une adresse IP   Si vous activez cette option, vous devez taper une adresse IP affectée à une carte réseau sur le serveur local. Le connecteur écoute les connexions uniquement sur l'adresse IP que vous spécifiez.

     Remarque :
     Vous devez spécifier une adresse IP locale valide pour le serveur de transport Hub ou Edge sur lequel le connecteur de réception est situé. Si vous spécifiez une adresse IP locale non valide, il se peut que le redémarrage du service de transport Microsoft Exchange échoue.

8. Dans la page Paramètres de réseau local, dans le champ Port, tapez un numéro de port, puis cliquez sur OK. Pour ajouter plusieurs adresses IP locales à ce connecteur, cliquez sur Ajouter, puis répétez cette étape. Pour modifier une entrée précédente, sélectionnez-la, puis cliquez sur Modifier. Pour supprimer une entrée existante, sélectionnez-la, puis cliquez sur .

9. Dans la page Paramètres du réseau local, dans le champ Spécifiez le nom de domaine complet fourni par ce connecteur en réponse à HELO ou EHLO, tapez le nom annoncé en réponse au verbe SMTP HELO ou EHLO. Si vous laissez ce champ vide, le nom de domaine complet (FQDN) du serveur de transport Hub ou du serveur de transport Edge est automatiquement ajouté lors de la création du connecteur. Cliquez sur Suivant.

10. Dans la page Paramètres du réseau distant, tapez l'adresse IP ou la plage d'adresses IP des programmes tiers à partir desquels le connecteur acceptera les connexions entrantes. Pour ajouter l'adresse IP ou la plage d'adresses IP distantes, utilisez une des méthodes suivantes :

    • Pour entrer une adresse IP ou un sous-réseau sans masque de sous-réseau, ou pour spécifier le masque de sous-réseau à l'aide d'une notation CIDR (Classless Interdomain Routing), cliquez sur Ajouter ou sur la flèche de défilement à côté de Ajouter, puis sélectionnez Adresse IP. Dans la boîte de dialogue Ajouter une ou des adresses de serveurs distants, entrez l'adresse IP à l'aide d'une des méthodes suivantes :

      Adresse IP sans masque de sous-réseau   Par exemple, tapez 192.168.1.0. Si vous ne spécifiez pas de masque de sous-réseau à l'aide d'une notation CIDR, le masque de sous-réseau par défaut classful est défini.

      Adresse IP en utilisant une notation CIDR   Par exemple, tapez 192.168.1.0/24.

    • Pour entrer une adresse IP ou un sous-réseau en même temps qu'un masque de sous-réseau dans un format décimal avec points de séparation, cliquez sur la flèche de défilement à côté de Ajouter, puis sur IP et masque. Dans la boîte de dialogue Ajouter des serveurs distants - IP et masque, tapez l'adresse IP et le masque de sous-réseau à l'aide de la syntaxe suivante :

      Adresse IP   Par exemple, tapez 192.168.1.0.

      Masque de sous-réseau   Par exemple, tapez 255.255.255.0.

    • Pour spécifier une plage d'adresses IP à l'aide de la première et de la dernière adresses IP de la plage, cliquez sur la flèche déroulante à côté de Ajouter, puis sur Plage IP. Dans la boîte de dialogue Ajouter des serveurs distants - Plage IP, tapez l'adresse IP à l'aide de la syntaxe suivante :

      Adresse de début   Par exemple, tapez 192.168.1.1.

      Adresse de fin   Par exemple, tapez 192.168.255.255.

      Comme vous ne pouvez pas spécifier de masque de sous-réseau, le masque de sous réseau par défaut classful est défini.

    Lorsque vous avez terminé, cliquez sur OK. Pour ajouter plusieurs plages de réseau distant à ce connecteur, cliquez sur Ajouter, puis répétez cette étape. Pour modifier une entrée précédente, sélectionnez-la, puis cliquez sur Modifier. Pour supprimer une entrée existante, sélectionnez-la, puis cliquez sur .

11. Lorsque vous avez terminé, cliquez sur Suivant.

12. Dans la page Nouveau connecteur, consultez le résumé de la configuration pour le connecteur. Pour modifier les paramètres, cliquez sur Précédent. Pour créer le connecteur de réception en utilisant les paramètres du résumé de la configuration, cliquez sur Nouveau.

13. Dans la page Achèvement, cliquez sur Terminer.

14. Dans le volet de travail, cliquez avec le bouton droit sur le connecteur créé, puis cliquez sur Propriétés.

15. Sous l'onglet Authentification, activez la case à cocher Sécurité du domaine activé (Mutual Auth TLS), si l'une des conditions suivantes est vraie :

    • Le serveur d'envoi et le serveur de réception utilisent tous deux un certificat public d'un émetteur de certificat approuvé.

    • Le serveur d'envoi et le serveur de réception utilisent tous deux un certificat auto-émis, le certificat racine de l'autre serveur étant installé comme certificat racine approuvé.

16. Sous l'onglet Groupes d'autorisation, activez la case à cocher Utilisateurs anonymes, puis cliquez sur OK.

17. Fermez la console de gestion Exchange.

18. Démarrez l'environnement de ligne de commande Exchange Management Shell.

19. Exécutez la cmdlet suivante :

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS
    

20. Si l'une des conditions suivantes est vraie :

    • Le serveur d'envoi et le serveur de réception utilisent tous deux un certificat public d'un émetteur de certificat approuvé.

    • Le serveur d'envoi et le serveur de réception utilisent tous deux un certificat auto-émis, le certificat racine de l'autre serveur étant installé comme certificat racine approuvé.

    Exécutez la cmdlet suivante :

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net 
    

21. Redémarrez le service de transport Microsoft Exchange.

Plus d'informations

Pour plus d'informations sur les connecteurs d'envoi, consultez les rubriques Connecteurs d'envoi et Procédure de création d'un connecteur d'envoi.

Pour plus d'informations sur les connecteurs de réception, consultez les rubriques Connecteurs de réception et Procédure de création d'un connecteur de réception.

Pour plus d'informations sur la cmdlet Set-ReceiveConnector, consultez la rubrique Set-ReceiveConnector.

Pour plus d'informations sur la cmdlet Set-TransportConfig, consultez la rubrique Set-TransportConfig.

Pour plus d'informations sur l'utilisation du protocole TLS (Transport Layer Security) avec Exchange 2007, consultez les rubriques suivantes :

• Fonction TLS et terminologie associée dans Exchange 2007

• Sélection d'un certificat TLS SMTP

• Utilisation de certificats dans un serveur Exchange 2007

• Création d’un certificat ou demande de certificat pour TLS

• Procédure de configuration de Mutual TLS pour la sécurité d'un domaine