Définition des restrictions de relais

Dernière rubrique modifiée : 2005-05-04

Le relais permet de transférer des messages vers des domaines autres que le vôtre. En particulier, le relais des messages a lieu lorsqu'une connexion entrante vers votre serveur SMTP est utilisée pour envoyer des messages électroniques à des domaines externes. Par défaut, votre serveur Exchange accepte les messages envoyés par des utilisateurs authentifiés ou internes et les envoie vers un domaine externe. Si votre serveur est ouvert pour le relais des messages ou si le relais n'est pas sécurisé, des utilisateurs non autorisés peuvent utiliser votre serveur pour envoyer du courrier commercial non sollicité (courrier indésirable). Par conséquent, pour sécuriser votre serveur virtuel SMTP, il est essentiel de définir des restrictions de relais.

Il est important de comprendre la différence entre le relais authentifié et le relais ouvert ou anonyme :

• Relais authentifié   Le relais authentifié permet à vos utilisateurs internes d'envoyer des messages aux domaines situés à l'extérieur de votre organisation Exchange et nécessite en revanche une authentification avant l'envoi des messages. Par défaut, Exchange autorise uniquement le relais authentifié.
• Relais anonyme   Le relais anonyme permet à n'importe quel utilisateur de se connecter à votre serveur Exchange et de l'utiliser pour envoyer des messages à l'extérieur de votre organisation Exchange.

Les exemples suivants illustrent la manière dont Exchange Server 2003 accepte et relaie les messages en utilisant les relais authentifiés :

• Un utilisateur anonyme se connecte au serveur virtuel SMTP et essaie de remettre des messages à un utilisateur interne dans l'organisation Exchange.
  Dans ce cas, le serveur virtuel SMTP accepte le message car il est destiné à un domaine interne et que l'utilisateur existe dans Active Directory.
• Un utilisateur anonyme se connecte au serveur virtuel SMTP et essaie de remettre des messages à un utilisateur externe dans un domaine externe.
  Dans ce cas, le serveur virtuel SMTP rejette le message car il est destiné à un domaine externe dont le serveur Exchange n'est pas responsable. Comme l'utilisateur n'est pas authentifié, le serveur virtuel SMTP ne relaie pas ce message en dehors de l'organisation Exchange.
• Un utilisateur se connecte au serveur virtuel SMTP à l'aide du protocole POP (Post Office Protocol) ou du client IMAP (Internet Message Access Protocol), par exemple Microsoft Outlook® Express, puis tente d'envoyer un message à un utilisateur d'un domaine externe.
  Dans ce cas, le client de messagerie se connecte directement au serveur virtuel SMTP et authentifie l'utilisateur. Même si le message est destiné à un domaine distant, le serveur virtuel SMTP accepte et relaie ce message car l'utilisateur est authentifié.

Grâce aux fonctionnalités de contrôle de relais d'Exchange Server 2003, vous pouvez empêcher des tiers de relayer des messages via votre serveur. Le contrôle de relais vous permet de spécifier une liste d'adresses IP et des paires de masques de sous-réseau distantes entrantes qui sont autorisées à relayer les messages via votre serveur. Exchange vérifie l'adresse IP d'un client SMTP entrant par rapport à la liste de réseaux IP qui sont autorisés à relayer des messages. Si le client n'est pas autorisé à relayer de messages, seuls les messages adressés aux destinataires locaux sont autorisés. Vous pouvez également mettre en œuvre le contrôle de relais par domaine. Cependant, cette approche nécessite la mise en œuvre d'une résolution DNS inversée qui est contrôlée au niveau du serveur virtuel SMTP.

Configuration des restrictions de relais par défaut

Par défaut, le serveur virtuel SMTP autorise le relais des messages uniquement en provenance d'utilisateurs authentifiés. Cette configuration est conçue pour empêcher des utilisateurs non autorisés d'utiliser votre serveur Exchange pour relayer des messages. La configuration par défaut du serveur virtuel autorise uniquement les ordinateurs authentifiés à relayer des messages.

Les messages électroniques commerciaux non sollicités proviennent généralement d'une adresse usurpée ou falsifiée et sont souvent relayés par un serveur non sécurisé pour le relais. C'est pour cette raison qu'Exchange Server 2003, par défaut, autorise uniquement les utilisateurs authentifiés à relayer des messages. Modifiez ce paramètre avec prudence — de nombreux fournisseurs d'accès Internet bloquent les serveurs qui autorisent le relais ouvert.