Sécurisation de votre serveur Exchange
Dernière rubrique modifiée : 2005-05-24
Cette section décrit les différentes manières de sécuriser votre serveur Microsoft® Exchange. Vous pouvez contribuer à protéger vos serveurs en effectuant les tâches ci-dessous. Chacune d'entre elles est détaillée dans les sections suivantes :
- Désactiver le relais ouvert sur tous les serveurs virtuels SMTP. Les restrictions de relais par défaut empêchent les utilisateurs non autorisés d'accéder à votre serveur Exchange pour envoyer du courrier vers des emplacements externes. Si votre serveur permet le relais ouvert, des utilisateurs non autorisés peuvent s'en servir pour envoyer du courrier indésirable. Par conséquent, votre serveur risque d'être identifié par d'autres organisations comme étant une source de relais ouvert, ce qui l'empêcherait d'envoyer des messages valables.
- Empêcher l'accès anonyme aux serveurs virtuels SMTP internes et aux serveurs virtuels SMTP dédiés pour les clients IMAP et POP. Dans la mesure où tous les serveurs Exchange de votre organisation s'authentifient entre eux pour envoyer du courrier, vous n'avez pas besoin de permettre l'accès anonyme à vos serveurs virtuels SMTP (Simple Mail Transfer Protocol) internes. En outre, tous les clients POP (Post Office Protocol) et IMAP (Internet Message Access Protocol) s'authentifient auprès de votre serveur virtuel SMTP ; par conséquent, l'accès anonyme n'est pas nécessaire sur un serveur utilisé exclusivement par des clients POP et IMAP. En désactivant l'accès anonyme à ces serveurs, vous bloquez l'accès aux utilisateurs non autorisés.
- Restreindre les envois et les relais sur les serveurs virtuels SMTP internes. Dans Microsoft Exchange Server 2003, vous pouvez restreindre davantage l'accès aux serveurs virtuels SMTP en utilisant des principes de sécurité via la liste de contrôle d'accès discrétionnaire standard (DACL, Discretionary Access Control List) de Microsoft Windows® 2000 Server ou Windows Server™ 2003. Cela vous permet d'accorder des autorisations explicites aux utilisateurs et groupes habilités à utiliser un serveur virtuel SMTP.
Désactivation du relais ouvert sur tous les serveurs virtuels SMTP
Comme expliqué dans la rubrique Définition des restrictions de relais, il est essentiel que vous n'autorisiez pas le relais anonyme ou ouvert sur vos serveurs SMTP virtuels. Le relais permet à un utilisateur de se servir de votre serveur Exchange pour envoyer du courrier vers un domaine externe.
Dans sa configuration par défaut, Exchange autorise uniquement les utilisateurs authentifiés à relayer du courrier ; en d'autres termes, seuls les utilisateurs authentifiés peuvent se servir d'Exchange pour envoyer du courrier vers un domaine externe. Si vous modifiez les paramètres de relais par défaut pour autoriser les utilisateurs non authentifiés à relayer du courrier, ou si vous autorisez le relais ouvert vers un domaine via un connecteur, les utilisateurs non autorisés pourront se servir de votre serveur Exchange pour envoyer du courrier indésirable. Par conséquent, votre serveur risque de figurer sur une liste d'interdiction, ce qui l'empêcherait d'envoyer du courrier valable vers des serveurs distants. Pour empêcher les utilisateurs non autorisés de se servir de votre serveur Exchange pour relayer du courrier, utilisez toujours les restrictions de relais par défaut.
.gif "note") Remarque : |
|---|
| Relais et courrier indésirable sont souvent confondus. Le contrôle du relais ne bloque pas le courrier indésirable. Pour plus d'informations sur le contrôle du courrier indésirable, voir la rubrique Configuration du filtrage et contrôle du courrier indésirable. |
Pour plus d'informations sur la procédure de contrôle des relais, voir l'article 304897 de la Base de connaissances Microsoft XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests.
Blocage de l'accès anonyme aux serveurs virtuels SMTP internes et aux serveurs virtuels SMTP dédiés pour les clients IMAP et POP
Pour accroître la sécurité, vous pouvez empêcher les utilisateurs IMAP et POP distants d'accéder de manière anonyme aux serveurs virtuels SMTP internes ainsi qu'aux serveurs virtuels SMTP dédiés à l'acceptation du courrier entrant. Lors de l'envoi de courrier interne, les serveurs Exchange s'authentifient automatiquement ; par conséquent, le blocage de l'accès anonyme à vos serveurs internes n'interrompt pas le flux de messages. En outre, une couche supplémentaire de sécurité est ajoutée à votre serveur virtuel SMTP interne.
De même, les clients IMAP et POP s'authentifient avant d'envoyer du courrier aux serveurs virtuels SMTP. Par conséquent, si vous utilisez des serveurs virtuels SMTP dédiés pour vos clients IMAP et POP, vous pouvez configurer ces serveurs pour autoriser uniquement l'accès authentifié. Pour empêcher l'accès anonyme, sous l'onglet Accès des propriétés du serveur virtuel SMTP, cliquez sur Authentification, puis désactivez la case à cocher Accès anonyme. Pour obtenir des instructions détaillées sur le blocage de l'accès anonyme, voir la rubrique Procédure de configuration des contrôles d'accès et des méthodes d'authentification.
.gif "important") Important : |
|---|
| Ne désactivez pas l'accès anonyme aux serveurs virtuels SMTP têtes de pont pour Internet. En effet, les serveurs virtuels SMTP qui acceptent du courrier provenant d'Internet doivent autoriser l'accès anonyme. |
Restriction des envois destinés aux utilisateurs et aux listes de distribution
Dans Exchange 2003, vous pouvez déterminer qui peut envoyer des messages électroniques à un utilisateur particulier ou à une liste de distribution. La restriction des envois destinés à une liste de distribution empêche les expéditeurs non approuvés, par exemple des utilisateurs Internet non autorisés, d'envoyer du courrier à une liste de distribution à usage interne uniquement. Par exemple, une liste de distribution Tous les employés ne doit être disponible à aucune personne externe à l'entreprise (par usurpation ou un autre moyen).
| Remarque : |
|---|
| Les listes de distribution restreintes et les restrictions d'envoi pour les utilisateurs fonctionnent uniquement sur les serveurs têtes de pont ou sur les serveurs passerelles SMTP exécutant Exchange Server 2003. |
Pensez à définir des restrictions pour les listes de distribution internes appartenant aux employés à plein temps, ainsi que pour les autres groupes internes. En procédant de la sorte, vous protégez ces listes de distribution contre la réception de courrier indésirable et empêchez les utilisateurs anonymes d'effectuer des envois vers ces listes de distribution.
Pour obtenir des instructions détaillées sur la définition de restrictions d'envoi pour les utilisateurs et les listes de distribution, voir respectivement les rubriques Procédure de définition de restrictions pour un utilisateur et Procédure de définition de restrictions pour un groupe de distribution.
Restriction des autorisations d'envoi et de relais pour un serveur virtuel SMTP interne
Exchange Server 2003 permet de restreindre à un nombre limité d'utilisateurs ou de groupes, les autorisations d'envoi et de relais pour un serveur virtuel SMTP, grâce à la liste de contrôle d'accès discrétionnaire standard (DACL, Discretionary Access Control List) de Windows 2000 Server ou Windows Server 2003. Vous pouvez ainsi spécifier les groupes d'utilisateurs qui peuvent déposer ou relayer du courrier via un serveur virtuel.
Restriction des envois sur un serveur virtuel SMTP
La restriction des envois sur un serveur virtuel SMTP est d'une grande utilité si vous souhaitez autoriser des utilisateurs bien précis à envoyer des messages Internet vers des serveurs virtuels spécifiques. Vous pouvez uniquement accorder à ces utilisateurs ou groupes l'accès nécessaire pour déposer du courrier sur les serveurs virtuels SMTP.
| Remarque : |
|---|
| Évitez de restreindre les envois sur les serveurs virtuels SMTP qui acceptent des messages Internet. |
Pour obtenir des instructions détaillées, voir la rubrique Procédure de limitation des envois à un serveur SMTP s'appuyant sur un groupe de sécurité.
Restriction des relais sur un serveur virtuel SMTP
La restriction des relais sur les serveurs virtuels est d'une grande utilité si vous souhaitez autoriser un groupe d'utilisateurs à relayer des messages vers Internet, tout en refusant des privilèges de relais à un autre groupe.
Pour obtenir des instructions détaillées, voir la rubrique Procédure de limitation des relais en fonction d'un groupe de sécurité.