Sécurisation des communications Exchange

  • Article

Dernière mise à jour le 31 août 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Sécurisation de communications dans Outlook 2002
Sécurisation de communications OWA
Sécurisation de communications SMTP
Résumé

Dans ce module

Ce module décrit les modalités de sécurisation des communications entre serveurs et clients Microsoft® Exchange. Il décrit également le cryptage du trafic engendré par les appels de procédures distantes (RPC, Remote Procedure Call) entre client et serveur de messagerie et de collaboration Microsoft Outlook®. Ce module fournit des instructions détaillées sur l'utilisation d'un serveur Microsoft Internet Security and Acceleration (ISA) en vue de sécuriser les communications entre un client Web et le serveur Exchange. La topologie serveur frontal/serveur principal Exchange ainsi que son utilisation dans le cadre du renforcement de la sécurité des communications client/serveur sont décrites en détail. Ce module aborde également la sécurisation des communications SMTP (Simple Mail Transfer Protocol).

Haut de page

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • cryptage de communications RPC entre Outlook 2002 et Exchange ;

  • signature numérique et cryptage des messages à l'aide d'Outlook 2002 ;

  • sécurisation des communications du navigateur Web avec un serveur Exchange utilisant un serveur ISA avec et sans le protocole SSL (Secure Sockets Layer) ;

  • cryptage de communications entre un serveur ISA et des serveurs OWA (Outlook Web Access) utilisant SSL ;

  • cryptage de communications à l'aide d'IPSec (Internet Protocol Security) entre un serveur frontal OWA et des serveurs Exchange principaux ;

  • sécurisation de communications SMTP à l'aide d'un serveur ISA avec le Filtreur de messages ou à l'aide d'une passerelle SMTP distincte ;

  • interdiction de relais SMTP non souhaité.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • Microsoft Exchange Server 2000

  • Microsoft Outlook 2002

  • Microsoft Windows® 2000 exécutant le service d'annuaires Active Directory®

  • Serveur Microsoft Internet Security and Acceleration (ISA)

Haut de page

Comment utiliser ce module

Ce module est complémentaire de l'ouvrage Security Operations for Microsoft® Windows® 2000 Server (Microsoft Press, ISBN : 0-7356-1823-2). Il est vivement recommandé de lire attentivement cet ouvrage avant d'aborder le présent module, dont certaines sections sont liées directement à Security Operations for Microsoft Windows 2000 (les références sont mentionnées dans le texte). Vous êtes également invité à lire Microsoft Exchange 2000 Server Operations (Microsoft Press, ISBN : 0-7356-1831-3), qui fournit des informations détaillées sur le fonctionnement général d'Exchange 2000.

Ce module traite de la manière de sécuriser de votre environnement Exchange 2000 sans affecter les fonctionnalités vitales du serveur Exchange. Il aborde plus particulièrement les opérations nécessaires à la création et à la gestion d'un environnement sécurisé sur serveurs Exchange 2000. Ce module fait partie intégrante de votre stratégie de sécurité globale Exchange mais ne couvre pas tous les aspects de la création et de la gestion d'un environnement sécurisé.

Ce module doit être employé conjointement avec les modules Sécurisation de l'environnement Exchange et Sécurisation de serveurs Exchange 2000 en fonction de leur rôle.

Ce module fournit une méthodologie détaillée sur la sécurisation des serveurs frontaux et principaux Exchange utilisant des appels de procédures distantes, sur la sécurisation de serveurs ISA, SSL, IPSec et du transport SMTP. Modulables, les étapes fournissent des instructions sur la configuration des serveurs avec les paramètres logiciels. Vous pouvez les implémenter dans un environnement Exchange nouveau ou précédemment créé.

Haut de page

Introduction

Lors du renforcement de la sécurité d'un réseau, vous devez tenir compte non seulement de la sécurité des ordinateurs mais également de la sécurité des données transmises entre ces ordinateurs. Comme avec n'importe quel système, la meilleure approche consiste à examiner les fonctionnalités disponibles, à évaluer les besoins et à considérer le risque de sécurité de chaque élément fonctionnel.

Pour effectuer les procédures de ce module, vous devez être en mesure d'envoyer et de recevoir du courrier électronique sur Internet et d'accéder à Exchange sur Internet à l'aide d'Outlook Web Access. Si vous n'avez pas besoin de cette fonctionnalité, le verrouillage de vos ordinateurs n'en sera que meilleur. D'autre part, si POP3 et IMAP4 sont nécessaires, vous devrez ouvrir l'environnement pour les prendre en charge.

L'environnement frontal/principal suggéré dans ces pages vous permettra d'envoyer et de recevoir du courrier via Internet, et d'offrir un accès Exchange sur Internet. Ce module étudie la sécurisation de ces communications sur les serveurs et les clients.

Remarque : Il est possible d'accéder à Outlook sur Internet en utilisant le filtre RPC Exchange fourni avec ISA Server. Cette méthode d'accès n'est pas traitée dans ce module. Consultez le Livre blanc « Configuring and Securing Microsoft Exchange 2000 Server and Clients » et l'ouvrage Microsoft Exchange 2000 Server Hosting Series (Microsoft Press, ISBN : 0-7356-1829-1 et 0-7356-1830-5) indiqués à la section « Informations complémentaires ».

Haut de page

Sécurisation de communications dans Outlook 2002

Pour renforcer la sécurité de vos communications, vous pouvez prendre un certain nombre de mesures dans Outlook 2002. Il s'agit des mesures suivantes :

  • cryptage de la connexion MAPI entre Outlook 2002 et le serveur Exchange ;

  • signature et cryptage de messages à l'aide de certificats S/MIME.

Cryptage de la connexion MAPI entre Outlook 2002 et le serveur Exchange

Windows 2000 comporte une fonctionnalité de sécurité prédéfinie permettant le cryptage 128 bits de communications RPC. Les connexions MAPI sont établies sur RPC, ce qui permet de renforcer la sécurité de vos connexions entre le client Outlook 2002 et le serveur Exchange.

  • Pour activer le cryptage RPC de la connexion MAPI entre Outlook 2002 et le serveur Exchange

    1. Dans Outlook 2002, cliquez sur Outils, puis sur Comptes de messagerie.

    2. Cliquez sur Suivant.

    3. Assurez-vous que le serveur Exchange est sélectionné, puis cliquez sur Modifier.

    4. Cliquez sur Paramètres supplémentaires.

    5. Cliquez sur l'onglet Avancé.

    6. Activez Lors de l'utilisation du réseau.

    7. Cliquez sur OK.

    8. Cliquez sur Suivant.

    9. Cliquez sur Terminer.

Remarque : Vous pouvez également indiquer ce paramètre lors de la configuration de profils utilisateur dans Outlook 2002.

Le cryptage RPC ne traite que les données entre le client MAPI et le serveur Exchange. Il ne traite pas les messages eux-mêmes.

Signature et cryptage de messages

Outlook 2002 permet de signer et de crypter des messages en vue de leur distribution à des destinataires internes ou externes. Ce cryptage nécessite un certificat. Pour adresser du courrier électronique signé et/ou crypté à des destinataires sur Internet, vous devez utiliser un certificat reconnu (appelé ID numérique) émanant d'un tiers.

Après avoir installé un certificat sur le client, vous pouvez envoyer des messages signés et cryptés à l'aide de S/MIME. Vous pouvez envoyer du courrier crypté à un autre utilisateur à condition d'avoir accès à sa clé publique. Pour cela, l'autre utilisateur doit vous adresser un message signé, et vous devez ajouter son nom à la liste des contacts. La clé publique est alors disponible.

Remarque : Pour plus d'informations sur la signature et le cryptage de messages, reportez-vous à l'article Q286159 de la Base de connaissances, intitulé « Encryption and Message Security Overview ».

Service de gestion des clés

Si vous souhaitez transmettre des messages signés et cryptés entre les utilisateurs de votre organisation Exchange, vous devez envisager d'utiliser le service de gestion des clés (KMS) fourni avec Exchange 2000. Ce service utilise les Services de certificats Windows 2000 et donne accès aux clés publiques avec une gestion sécurisée et centralisée d'accès aux clés privées. Les clients bénéficient ainsi d'un accès transparent aux messages signés et cryptés, ce qui leur permet de les envoyer à d'autres destinataires figurant dans la liste d'adresses globale.

Remarque : Si vous employez un serveur de gestion des clés (KMS) avec une autorité de certification (CA) qui est subordonnée à une autorité de certification tierce, vous pouvez intégrer votre service KMS avec d'autres sur Internet.

Haut de page

Sécurisation de communications OWA

Au premier abord, les communications avec OWA sont très simples. Dans le cadre des échanges de courrier, les navigateurs Web communiquent avec des serveurs Web sur le port 443 ou sur le port 80 selon que la connexion est sécurisée ou non. Cependant, les clients qui ne se connectent pas aux serveurs frontaux sur ces ports doivent fournir des informations d'authentification à des contrôleurs de domaine, qui les transmettent ensuite aux serveurs frontaux. Ils doivent également communiquer avec des serveurs principaux Exchange pour accéder vraiment aux informations de la boîte aux lettres ou du dossier public approprié.

Les serveurs frontaux OWA peuvent être placés dans un réseau périmétrique (également appelé zone démilitarisée ou DMZ), le serveur principal étant, quant à lui, placé dans le pare-feu interne. Pour que cette configuration fonctionne, un grand nombre de ports doit être ouvert sur le pare-feu interne.

Utilisation d'un serveur ISA pour la sécurisation d'OWA

Pour réduire au minimum les ports nécessaires à l'ouverture du pare-feu interne, vous pouvez employer un pare-feu de la couche application, tel que Microsoft Internet Security and Acceleration (ISA) Server. ISA Server permet de placer le serveur SMTP et le serveur frontal OWA derrière le pare-feu. À l'aide des règles de publication du serveur et de publication Web, ISA Server emprunte l'identité de serveurs internes pour accéder au monde extérieur sans les placer dans la zone démilitarisée.

Remarque : Pour connaître la liste des ports utilisés pour les communications entre serveurs frontaux et autres serveurs, reportez-vous au Livre blanc « Exchange 2000 Front-end and Back-end Topology » spécifié à la fin de ce module, à la section « Informations complémentaires ».

La figure 1 représente un serveur ISA publiant un serveur OWA à des clients OWA sur Internet :

Figure 1 Structure de pare-feu sécurisée

Remarque : Dans cette configuration, les enregistrements DNS externes de DNS du serveur OWA frontal doivent se reporter à l'adresse IP publiée sur le serveur ISA, et non pas à l'adresse du serveur frontal OWA.

Remarque : Si vous n'êtes pas en mesure d'adapter votre infrastructure comportant deux pare-feu aux exigences d'ISA Server, vous pouvez placer ISA Server dans le pare-feu interne et le rendre accessible en activant le port TCP 443.

Les pare-feu permettent de protéger vos serveurs contre des attaques éventuelles. Cependant, vous devez également protéger les données échangées avec vos serveurs. Voici ce qui se passe quand des clients de navigateur Web sur Internet utilisent HTTP pour accéder à Exchange via OWA :

  • Une demande HTTP est envoyée au serveur ISA à partir du navigateur Web. Si cette opération est autorisée par les règles de publication ISA, les demandes sont transmises aux serveurs frontaux OWA.

  • ISA Server établit une nouvelle connexion HTTP avec le serveur frontal à l'aide de son adresse IP en tant qu'adresse IP source.

  • Les demandes HTTP sont traitées sur le serveur frontal OWA. Dans ce cadre, le serveur frontal OWA :

    • authentifie l'utilisateur et contacte le serveur de catalogue global pour déterminer l'emplacement de la boîte aux lettres utilisateur ;

    • résout l'adresse IP du serveur de la boîte aux lettres utilisateur.

  • Le serveur frontal OWA établit une nouvelle session HTTP avec le serveur Exchange principal.

La prise en charge d'OWA par Microsoft Internet Information Services (IIS) nécessite l'activation de l'authentification de base. L'authentification Windows intégrée ne fonctionnera pas car HTTP/HTTPS est le seul protocole employé pour les communications ; vous ne devez pas opter pour l'accès anonyme, car cela rendrait votre environnement de messagerie électronique totalement perméable à partir d'Internet.

L'authentification de base signifie que, sur une connexion HTTP, les mots de passe et le courrier électronique circulent dans une forme non cryptée sur Internet. Si aucune autre méthode de cryptage n'est employée, les paquets continuent à être acheminés en clair entre le serveur ISA et le serveur frontal OWA. Une fois que le serveur OWA a effectué l'authentification, les mêmes informations non cryptées, comprenant des mots de passe, seront échangées entre le serveur frontal OWA et le serveur principal par HTTP. Pour éviter cela, il est important de crypter les informations utilisateur ainsi que le chemin d'accès complet entre le serveur Web et le serveur Exchange principal. Ceci est possible par les moyens suivants :

  • sécurisation des communications entre navigateurs Web et serveur ISA grâce au cryptage SSL ;

  • sécurisation des communications entre serveur ISA et serveurs frontaux OWA à l'aide de SSL ;

  • sécurisation des communications entre serveurs frontaux OWA et serveurs Exchange principaux à l'aide du cryptage IPSec.

Nous allons examiner chacun de ces mécanismes.

Sécurisation des communications entre navigateurs Web et serveurs ISA.

Pour crypter les données entre navigateurs Web et serveur ISA à l'aide de SSL, vous devez installer un certificat SSL approprié sur le serveur ISA, puis le programme d'écoute SSL approprié. Votre certificat doit être émis par une autorité de certification globale reconnue, car il sera employé par des clients Web qui peuvent ne pas appartenir à l'infrastructure de votre organisation.

Configuration de la prise en charge de communications SSL sur le serveur ISA

Pour accepter les demandes SSL émanant de navigateurs Web, ISA Server peut être configuré de différentes façons. Il peut :

  • recevoir des communications SSL et les transmettre à des serveurs situés dans le pare-feu ;

  • crypter des communications SSL et les transmettre sous forme non cryptée au serveur principal ;

  • décrypter des communications SSL et les crypter à nouveau avant de les transmettre au serveur principal.

Remarque : Le décryptage et le recryptage des communications SSL, comme les procédures ci-dessous, requièrent ISA Server SP1 ou ultérieur.

Parmi ces trois méthodes, la plus sûre consiste à décrypter les paquets et à les crypter à nouveau pour permettre au serveur ISA d'inspecter les vulnérabilités des données et empêcher les attaques de données reçues.

Remarque : La législation de certains pays interdit de décrypter des données pour les inspecter en un point intermédiaire d'un réseau. Avant d'adopter cette solution, il est donc conseillé de vérifier ses implications légales.

Remarque : Pour améliorer les performances et réduire la charge de SSL, il peut être nécessaire d'utiliser des cartes réseau accélératrices SSL.

Pour garantir la réussite du cryptage des données, vérifiez les points suivants :

  • Le nom commun (ou nom convivial) du certificat ISA Server d'OWA doit coïncider avec le nom FQDN (Fully Qualified Domain Name, nom de domaine qualifié complet) employé par les navigateurs Web pour faire référence à des ressources OWA. Par exemple, si l'URL OWA employée par le client est https://mail.nwtraders.com/exchange, le nom convivial du certificat doit être mail.nwtraders.com.

  • Le certificat doit être importé dans le magasin Personnel du ou des serveurs ISA publiant les ressources OWA. Lors de l'importation du certificat dans ISA Server, assurez-vous que l'option Marquer la clé privée comme étant exportable est activée.

  • Pour éviter la transmission accidentelle de mots de passe en texte clair, ISA Server ne doit accepter que les communications sécurisées et doit refuser les connexions HTTP non cryptées pour le site OWA publié.

ISA Server utilise la règle de publication Web pour rendre le serveur OWA accessible aux clients Internet. Cependant, pour pouvoir créer cette règle, le service Publication Web doit être configuré sur le serveur ISA. Ceci nécessite la configuration des demandes Web entrantes et des demandes Web sortantes.

Remarque : Avant tout, vous devez importer votre certificat externe.

  • Pour configurer des demandes Web entrantes

    1. Démarrez Gestion ISA.

    2. Cliquez à l'aide du bouton droit sur votre serveur ISA, puis sélectionnez Propriétés.

    3. Cliquez sur l'onglet Requêtes Web entrantes.

    4. Sélectionnez Configurer les ports d'écoute individuellement par adresse IP, puis cliquez sur Ajouter.

    5. Sélectionnez votre serveur ISA et l'adresse IP externe de celui-ci.

    6. Sélectionnez Utiliser un serveur de certificat pour s'authentifier auprès des clients Web.

    7. Cliquez sur Sélectionner et sélectionnez le certificat que les clients FQDN utiliseront pour accéder au site SSL.

    8. Cliquez sur OK.

    9. Sélectionnez Activer les ports d'écoute SSL.

    10. Cliquez sur OK.

    11. Cliquez sur OK.

    12. Cliquez sur Enregistrer les modifications et redémarrer le(s) service(s), puis cliquez sur OK.

  • Pour configurer des demandes Web sortantes

Remarque : La procédure suivante empêche les utilisateurs du réseau interne de se servir du serveur ISA comme serveur proxy pour accéder à sites Web sur Internet. Elle n'est pas nécessaire à la mise en œuvre d'OWA via ISA mais elle est proposée dans le cadre du renforcement de la sécurité.

  1. Démarrez Gestion ISA.

  2. Cliquez à l'aide du bouton droit sur votre serveur ISA, puis sélectionnez Propriétés.

  3. Cliquez sur l'onglet Requêtes Web sortantes.

  4. Sélectionnez Configurer les ports d'écoute individuellement par adresse IP, assurez-vous qu'aucune adresse IP ne figure dans la liste, puis cliquez sur OK.

  5. Cliquez sur Enregistrer les modifications et redémarrer le(s) service(s), puis cliquez sur OK.

Vous pouvez à présent configurer la Publication Web en vue de la prise en charge d'OWA.

  • Pour configurer la Publication Web en vue de la prise en charge d'OWA

    1. Dans Gestion ISA, développez votre serveur ISA, puis développez Publication.

    2. Cliquez à l'aide du bouton droit sur Règles de publication Web, sélectionnez Nouveau, puis Règle.

    3. Entrez un nom tel que OWA – , puis cliquez sur Suivant.

    4. Vérifiez que Toutes les destinations est sélectionné, puis cliquez sur Suivant.

    5. Vérifiez que Toutes les demandes est sélectionné, puis cliquez sur Suivant.

    6. Sélectionnez Redirigez la demande vers ce serveur Web (nom ou adresse IP), cliquez sur Parcourir et sélectionnez votre serveur frontal OWA.

    7. Sélectionnez Envoyer l'en-tête de l'hôte d'origine vers le serveur de publication au lieu du serveur réel (spécifié ci-dessous), puis cliquez sur Suivant.

    8. Cliquez sur Terminer.

    9. Dans le volet des dossiers, cliquez sur Règles de publication Web, puis cliquez deux fois sur la nouvelle règle.

    10. Cliquez sur l'onglet Pontage.

    11. Sélectionnez Requérir un canal sécurisé (SSL) pour le site publié, sélectionnez Requérir un cryptage sur 128 bits, puis cliquez sur OK.

Remarque : Il est également nécessaire de configurer des règles appropriées pour les ports 80 et 443 sur les routeurs et les pare-feu de l'environnement.

Remarque : Pour plus d'informations sur la publication SMTP et OWA à l'aide d'ISA Server, connectez-vous à la Base de connaissances de Microsoft et consultez les articles Q290113, « How to Publish Outlook Web Access Behind ISA Server » et Q308599, « How to Configure ISA Server to Publish Exchange for OWA ».

Cryptage entre serveurs ISA et serveurs frontaux OWA

Pour crypter les communications HTTP entre ISA Server et un serveur frontal OWA, vous devez installer un certificat SSL sur les serveurs frontaux OWA. Ceux-ci, comme les serveurs ISA, faisant partie de l'infrastructure de votre organisation, l'autorité de certification racine ou n'importe quelle autorité de certification subordonnée approuvée interne peut émettre le certificat frontal OWA.

  • Pour demander un certificat pour votre serveur frontal OWA

Remarque : Pour que vous puissiez effectuer la procédure ci-dessous, une autorité de certification doit être installée dans votre environnement.

  1. Démarrez Gestionnaire des services Internet sur votre serveur frontal OWA.

  2. Cliquez avec le bouton droit de la souris sur Site Web par défaut, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Sécurité de répertoire, puis sur Certificat de serveur.

  4. Cliquez sur Suivant, cliquez ensuite sur Créer un certificat, puis sur Suivant.

  5. Cliquez sur le bouton d'option Envoyer immédiatement la demande à une Autorité de certification en ligne, puis sur Suivant.

  6. Dans le champ Nom, entrez un nom, puis cliquez sur Suivant.

  7. Dans le champ Organisation , entrez le nom de votre organisation.

  8. Dans le champ Unité d'organisation, entrez le nom de votre unité d'organisation, puis cliquez Suivant.

  9. Dans le champ Nom commun, entrez le FQDN de votre serveur frontal OWA, puis cliquez sur Suivant.

  10. Entrez les informations relatives au département et à la localité, puis cliquez sur Suivant.

  11. Vérifiez que votre autorité de certification est sélectionnée dans la zone de liste déroulante Autorités de certification, puis cliquez sur Suivant.

  12. Cliquez sur Suivant pour envoyer la demande, puis cliquez sur Terminer pour mettre fin à l'assistant.

  13. Dans la section Communications sécurisées de la page Sécurité de répertoire, cliquez sur Editer.

  14. Sélectionnez Requérir un canal sécurisé (SSL), sélectionnez Requérir un cryptage sur 128 bits, puis cliquez sur OK.

  15. Dans la section Connexions anonymes et contrôle d'authentification de la page Sécurité de répertoire, cliquez sur Editer.

  16. Sélectionnez Authentification de base (mot de passe envoyé en texte clair), puis cliquez sur Oui pour accepter l'avertissement.

  17. Désélectionnez toutes les autres options, puis cliquez sur OK.

  18. Cliquez sur OK.

  19. Cliquez sur OK pour refermer la boîte de dialogue Héritages outrepassés, puis fermez Gestionnaire des services Internet.

Remarque : Le nom commun est le FQDN du serveur OWA qui correspond à la propriété de règle de publication sur le serveur ISA. Le serveur ISA vérifie la validité du certificat Web OWA ainsi que la chaîne de sécurité du certificat et la date d'expiration du certificat lors de la publication.

Cryptage entre serveurs frontaux OWA et serveurs Exchange principaux

À la différence de SSL, IPSec permet pas de crypter des données entre serveurs frontaux OWA et serveurs principaux du fait qu'ils exécutent Windows 2000. De plus, les performances d'IPSec sont supérieures à celles de SSL en termes de rapidité.

Remarque : Pour améliorer les performances et réduire la charge d'IPSec, il est conseillé d'opter pour des cartes réseau spécialisées qui traitent les communications cryptées IPSec.

IPSec permet de définir quels protocoles sont acceptés par l'adaptateur réseau, de bloquer ou d'autoriser certains ports, d'en crypter d'autres. En cas de communication serveur frontal/serveur principal, vérifiez que le port 80 est crypté.

IPSec est contrôlé par l'intermédiaire de stratégies IPSec définies dans Stratégie de groupe Windows 2000.

Tableau 1. Paramètres de stratégie IPSec

Stratégie Paramètres
Serveur frontal OWA Port 80 sortant - Crypter
Port 80 entrant - Bloquer
Principal Port 80 entrant - Crypter
Il est possible de bloquer les demandes entrantes émanant du serveur principal, car celui-ci établit toutes les communications avec le serveur principal. Le blocage des demandes évite la transmission accidentelle d'informations d'identification en texte clair et réduit le risque d'attaques par saturation de la mémoire tampon sur le serveur frontal. ##### Création de la règle IPSec du serveur frontal OWA Vous devez tout d'abord créer et configurer une stratégie pour le serveur frontal OWA. - **Pour créer le filtre TCP 80 sortant** 1. Démarrez **Utilisateurs et ordinateurs Active Directory**. 2. Développez **Serveurs membres**, **Serveurs d'applications**, puis **Exchange 2000**. 3. Cliquez à l'aide du bouton droit sur l'unité d'organisation **Serveurs frontaux OWA**, puis cliquez sur **Propriétés**. 4. Cliquez sur l'onglet **Stratégie de groupe**. 5. Sélectionnez l'objet Stratégie de groupe **OWA Front End Incremental** . 6. Cliquez sur **Editer**. 7. Développez **Paramètres Windows**, **Paramètres de sécurité**, puis cliquez à l'aide du bouton droit sur **Stratégies de sécurité IP sur Active Directory**. 8. Cliquez sur **Gérer les listes de filtres d'adresses IP et les actions de filtrage**. 9. Cliquez sur **Ajouter**. 10. Dans le champ **Nom**, entrez **Port TCP 80 sortant – serveur frontal OWA**. 11. Dans le champ **Description**, entrez **Ce filtre traite les communications sortantes du port TCP 80 sur le serveur frontal OWA**. 12. Cliquez sur **Ajouter**, puis sur **Suivant**. 13. Vérifiez que **Mon adresse IP** figure dans la zone de liste déroulante **Adresse source**, et cliquez sur **Suivant**. 14. Vérifiez que **Toute adresse IP** figure dans la zone de liste déroulante **Adresse de destination**, et cliquez sur **Suivant**. 15. Dans la zone de liste déroulante **Sélectionnez un type de protocole**, sélectionnez **TCP**, puis cliquez sur **Suivant**. 16. Vérifiez que **Depuis n'importe quel port** est sélectionné dans **Définissez le port du protocole IP**, sélectionnez **Vers ce port** et entrez **80**. 17. Cliquez sur **Suivant**, puis sur **Terminer**. 18. Cliquez sur **Fermer** pour fermer la fenêtre Liste de filtres IP. - **Pour créer le filtre TCP 80 entrant** 1. Cliquez sur **Ajouter**. 2. Dans le champ **Nom**, entrez **Port TCP 80 sortant – serveur frontal OWA**. 3. Dans le champ **Description**, entrez **Ce filtre traite les communications entrantes du port TCP 80 sur le serveur frontal OWA**. 4. Cliquez sur **Ajouter**, puis sur **Suivant**. 5. Vérifiez que **Toute adresse IP** figure dans la zone de liste déroulante **Adresse source**, et cliquez sur **Suivant**. 6. Vérifiez que **Mon adresse IP** figure dans la zone de liste déroulante **Adresse de destination**, et cliquez sur **Suivant**. 7. Dans la zone de liste déroulante **Sélectionnez un type de protocole**, sélectionnez **TCP**, puis cliquez sur **Suivant**. 8. Vérifiez que **Depuis n'importe quel port** est sélectionné dans **Définissez le port du protocole IP**, sélectionnez **Vers ce port** et entrez **80**. 9. Cliquez sur **Suivant**, puis sur **Terminer**. 10. Cliquez sur **Fermer**. 11. Cliquez sur **Fermer**. - **Pour créer l'action de blocage utilisable avec le filtre du port TCP 80 entrant** 1. Dans la fenêtre Stratégie de groupe, cliquez à l'aide du bouton droit sur **Stratégies de sécurité IP sur Active Directory**, puis sélectionnez **Gérer les listes de filtres d'adresses IP et les actions de filtrage**. 2. Cliquez sur l'onglet **Gérer les actions de filtrage**. 3. Cliquez sur **Ajouter**, puis sur **Suivant**. 4. Dans le champ **Nom**, entrez **Blocage**, puis cliquez sur **Suivant**. 5. Sélectionnez **Bloquer**, puis sur **Suivant**. 6. Cliquez sur **Terminer**. - **Pour créer l'action de cryptage utilisable avec le filtre du port TCP 80 sortant** 1. Cliquez sur l'onglet **Gérer les actions de filtrage**. 2. Cliquez sur **Ajouter**, puis sur **Suivant**. 3. Dans le champ **Nom**, entrez **Crypter**, puis cliquez sur **Suivant**. 4. Sélectionnez **Négocier la sécurité**, puis cliquez sur **Suivant**. 5. Sélectionnez **Ne pas communiquer avec des ordinateurs qui ne prennent pas en charge IPSec**, puis cliquez sur **Suivant**. 6. Vérifiez que **High (Encapsulated Secure Payload)** est sélectionné**,** puis cliquez sur **Suivant**. 7. Cliquez sur **Modifier les propriétés**, puis sur **Terminer**. 8. Cliquez sur **Ajouter**. 9. Sélectionnez **Personnalisé (pour les utilisateurs chevronnés)**, puis cliquez sur **Paramètres**. 10. Vérifiez que seule l'option **Cryptage et intégrité des données (ESP)** est sélectionnée. 11. Dans **Algorithme de cryptage**, sélectionnez **3DES**. 12. Cliquez sur **OK**. 13. Cliquez sur **OK**. 14. Sélectionnez **Personnalisé**, puis cliquez sur **Monter**. 15. Cliquez sur **OK**. 16. Cliquez sur **Fermer**. - **Pour créer la stratégie de sécurité IP, appliquer les filtres et indiquer les actions** 1. Cliquez à l'aide du bouton droit sur **Stratégies de sécurité IP sur Active Directory**, sélectionnez **Créer une stratégie de sécurité IP**, puis cliquez sur **Suivant**. 2. Dans le champ **Nom**, entrez **Bloquer-crypter le trafic sur port TCP 80 – serveur frontal OWA**, puis cliquez sur **Suivant**. 3. Vérifiez que **Activer la règle de réponse par défaut** est sélectionné, puis cliquez sur **Suivant**. 4. Vérifiez que **Valeurs par défaut de Windows 2000 (protocole Kerberos V5)** est sélectionné, puis cliquez sur **Suivant**. 5. Vérifiez que **Modifier les propriétés** est sélectionné, puis cliquez sur **Terminer**. 6. Dans la page **Règles**, cliquez sur **Ajouter** puis sur **Suivant**. 7. Vérifiez que **Cette règle ne spécifie aucun tunnel** est sélectionné, puis cliquez sur **Suivant**. 8. Vérifiez que **Toutes les connexions réseau** est sélectionné, puis cliquez sur **Suivant**. 9. Vérifiez que **Valeurs par défaut de Windows 2000 (protocole Kerberos V5)** est sélectionné, puis cliquez sur **Suivant**. 10. Dans **Listes de filtres IP**, sélectionnez **Port TCP 80 entrant – serveur frontal OWA**, puis cliquez sur **Suivant**. 11. Dans **Actions de filtrage**, cliquez sur **Bloquer**, puis sur **Suivant**. 12. Vérifiez que **Modifier les propriétés** n'est pas sélectionné, puis cliquez sur **Terminer**. 13. Dans la page **Règles**, cliquez sur **Ajouter** puis sur **Suivant**. 14. Vérifiez que **Cette règle ne spécifie aucun tunnel** est sélectionné, puis cliquez sur **Suivant**. 15. Vérifiez que **Toutes les connexions réseau** est sélectionné, puis cliquez sur **Suivant**. 16. Vérifiez que **Valeurs par défaut de Windows 2000 (protocole Kerberos V5)** est sélectionné, puis cliquez sur **Suivant**. 17. Dans **Listes de filtres IP**, sélectionnez **Port TCP 80 sortant – serveur frontal OWA**, puis cliquez sur **Suivant**. 18. Dans **Actions de filtrage**, cliquez sur **Crypter**, puis sur **Suivant**. 19. Vérifiez que **Modifier les propriétés** n'est pas sélectionné, puis cliquez sur **Terminer**. 20. Cliquez sur **Fermer**. - **Pour appliquer le filtre sortant à l'objet Stratégie de groupe** 1. Dans le volet de contenu Stratégie de groupe, cliquez à l'aide du bouton droit sur **Bloquer-crypter le trafic sur le port TCP 80 – serveur frontal OWA**, puis cliquez sur **Affecter**. 2. Fermez **Stratégie de groupe**, puis cliquez sur **OK**. - **Pour appliquer la stratégie de groupe au serveur frontal OWA** 1. Sur le serveur frontal OWA, sélectionnez **Invite de commandes**. 2. Entrez **secedit /refreshpolicy machine\_policy /enforce**, puis appuyez sur Entrée. 3. Redémarrez le serveur. **Création de la règle IPSec du serveur principal** La règle du serveur principal crypte les communications entrantes sur le port 80. - **Pour créer le filtre TCP 80 entrant** 1. Démarrez **Utilisateurs et ordinateurs Active Directory**. 2. Développez **Serveurs membres**, **Serveurs d'applications**, puis **Exchange 2000**. 3. Cliquez à l'aide du bouton droit sur l'unité d'organisation **Serveurs principaux**, puis cliquez sur **Propriétés**. 4. Cliquez sur l'onglet **Stratégie de groupe**. 5. Sélectionnez l'objet Stratégie de groupe **Back End Incremental**. 6. Cliquez sur **Editer**. 7. Développez **Paramètres Windows**, **Paramètres de sécurité**, puis cliquez à l'aide du bouton droit sur **Stratégies de sécurité IP sur Active Directory**. 8. Cliquez sur **Gérer les listes de filtres d'adresses IP et les actions de filtrage**. 9. Cliquez sur **Ajouter**. 10. Dans le champ **Nom**, entrez **Port TCP 80 entrant – serveur frontal OWA**. 11. Dans le champ **Description**, entrez **Ce filtre traite les communications entrantes du port TCP 80 sur le serveur principal**. 12. Cliquez sur **Ajouter**, puis sur **Suivant**. 13. Vérifiez que **Mon adresse IP** figure dans la zone de liste déroulante **Adresse source** , et cliquez sur **Suivant**. 14. Vérifiez que **Toute adresse IP** figure dans la zone de liste déroulante **Adresse de destination**, et cliquez sur **Suivant**. 15. Dans la zone de liste déroulante **Sélectionnez un type de protocole**, sélectionnez **TCP**, puis cliquez sur **Suivant**. 16. Vérifiez que **Depuis n'importe quel port** est sélectionné dans **Définissez le port du protocole IP**, sélectionnez **Vers ce port** et entrez **80**. 17. Cliquez sur **Suivant**, puis sur **Terminer**. 18. Cliquez sur **Fermer** pour fermer la fenêtre Liste de filtres IP. - **Pour créer la stratégie de sécurité IP, appliquer les filtres et indiquer les actions** 1. Cliquez à l'aide du bouton droit sur **Stratégies de sécurité IP sur Active Directory**, sélectionnez **Créer une stratégie de sécurité IP**, puis cliquez sur **Suivant**. 2. Dans le champ **Nom**, entrez **Crypter le trafic sur port TCP 80 – serveur principal**, puis cliquez sur **Suivant**. 3. Vérifiez que **Activer la règle de réponse par défaut** est sélectionné, puis cliquez sur **Suivant**. 4. Vérifiez que **Valeurs par défaut de Windows 2000 (protocole Kerberos V5)** est sélectionné, puis cliquez sur **Suivant**. 5. Vérifiez que **Modifier les propriétés** est sélectionné, puis cliquez sur **Terminer**. 6. Dans la page **Règles**, cliquez sur **Ajouter** puis sur **Suivant**. 7. Vérifiez que **Cette règle ne spécifie aucun tunnel** est sélectionné, puis cliquez sur **Suivant**. 8. Vérifiez que **Toutes les connexions réseau** est sélectionné, puis cliquez sur **Suivant**. 9. Vérifiez que **Valeurs par défaut de Windows 2000 (protocole Kerberos V5)** est sélectionné, puis cliquez sur **Suivant**. 10. Dans **Listes de filtres IP**, sélectionnez **Port TCP 80 entrant – serveur principal**, puis cliquez sur **Suivant**. 11. Dans **Actions de filtrage**, cliquez sur **Crypter**, puis sur **Suivant**. 12. Vérifiez que **Modifier les propriétés** n'est pas sélectionné, puis cliquez sur **Terminer**. 13. Cliquez sur **Fermer**. - **Pour appliquer le filtre entrant à l'objet Stratégie de groupe** 1. Dans le volet de contenu Stratégie de groupe, cliquez à l'aide du bouton droit sur **Crypter le trafic sur port TCP 80 traffic – serveur frontal OWA**, puis cliquez sur **Assign**. 2. Fermez **Stratégie de groupe**, puis cliquez sur **OK**. - **Pour appliquer la stratégie de groupe au serveur principal** 1. Sur le serveur frontal OWA, sélectionnez **Invite de commandes**. 2. Entrez **secedit /refreshpolicy machine\_policy /enforce**, puis appuyez sur Entrée. 3. Redémarrez le serveur. **Remarque :** Il se peut que vous souhaitiez appliquer les paramètres IPSec à chaque ordinateur local. Ceci garantit qu'IPSec sera utilisé en toutes circonstances, y compris en cas de problème d'accès à la stratégie de groupe à partir du contrôleur de domaine. **Contrôle des connexions IPSec** Il est judicieux de vérifier les fonctionnalités de la configuration IPSec en examinant attentivement les évènements liés à IPSec et en utilisant l'outil Moniteur de sécurité IP. - **Pour lancer et configurer l'outil Moniteur de sécurité IP** 1. Pour lancer l'outil Moniteur de sécurité IP sur le serveur frontal OWA ou le serveur principal, cliquez sur **Démarrer**, puis **Exécuter**, et, dans le champ **Ouvrir**, entrez **ipsecmon**. 2. Cliquez sur **Options** et faites passer la valeur de **default Refresh Seconds** de **15** à **1**. 3. Cliquez sur **OK**. - **Pour vérifier que la configuration d'IPSec est correcte** 1. Générez du trafic entre le serveur frontal OWA et le serveur principal en demandant en demandant à un utilisateur d'envoyer du courrier à l'aide d'OWA. 2. Dans le Moniteur de sécurité IP, vérifiez que le trafic entre le serveur frontal OWA et le serveur principal est crypté. **Remarque :** Pour plus d'informations sur IPSec, reportez-vous au document « Step-by-Step Guide to Internet Protocol Security (IPSec) » et à la section « Informations complémentaires » du présent document. [](#mainsection)[Haut de page](#mainsection) ### Sécurisation de communications SMTP Chaque serveur principal Exchange doit exécuter SMTP car il est responsable du transport du courrier entre serveurs Exchange et sur Internet. La présente section traite de la prise en charge et de la sécurisation de communications SMTP sur réseau d'entreprise. #### Utilisation d'un serveur ISA pour la sécurisation de SMTP Comme pour le serveur frontal OWA, il est possible de réduire au minimum le nombre de ports ouverts sur le pare-feu interne à l'aide des options ISA Server. Dans ce cas, la fonction Publication d'ISA Server permet de publier le serveur SMTP, positionnant ainsi le serveur Exchange derrière le pare-feu. ISA Server emprunte l'identité du serveur SMTP interne sans vous obliger à placer Exchange dans la zone démilitarisée. **Remarque :** Dans cette configuration, les enregistrements DNS externes de DNS doivent se reporter à l'adresse IP publiée sur le serveur ISA, et non pas à l'adresse du serveur SMTP. **Remarque :** Si vous n'êtes pas en mesure d'adapter votre infrastructure double pare-feu aux exigences d'ISA Server, vous pouvez placer ISA Server dans le pare-feu interne et le rendre accessible en activant le port TCP 25. **Remarque :** Si vous envisagez d'implémenter un mécanisme d'authentification sur un port supérieur au port 25, activez l'authentification SSL pour SMTP. **Remarque :** Il n'est pas possible de publier un serveur SMTP sortant sur un serveur ISA si le serveur est membre actif d'un tableau ISA. ##### Filtrage de contenu à l'aide du Filtreur de messages Le filtrage de contenu active le filtre SMTP qui accepte des communications entrantes sur le port 25, les inspecte et ne les transmet que si elles sont conformes aux règles en vigueur. Le filtre accepte ou refuse des messages en fonction du nom de l'utilisateur ou du domaine de l'expéditeur, accepte ou refuse pièces jointes ou mots clés, et fournit une protection contre les attaques par saturation de la mémoire tampon. Cependant, pour que le filtre SMTP soit pleinement opérationnel, vous devez également installer le Filtreur de messages. Le Filtreur de messages est un utilitaire distinct, fourni avec ISA Server. Il peut être installé dans un certain nombre de configurations différentes ; cependant, pour une sécurité optimale, il est conseillé de l'installer sur un ordinateur exécutant IIS avec un serveur virtuel SMTP. Celui-ci peut alors communiquer avec Exchange pour envoyer et recevoir du courrier électronique. Le serveur Exchange est ainsi mieux protégé derrière le pare-feu. **Remarque :** Pour plus d'informations sur le déploiement du Filtreur de messages, consultez l'article Q315132 de la Base de connaissances, intitulé « HOW TO: Configure SMTP Message Screener in ISA Server 2000 ». Pour plus de détails, consultez la section « Informations complémentaires », à la fin du présent module. #### Autres mesures de sécurisation de SMTP Outre la Publication SMTP via ISA Server et l'utilisation du filtre SMTP avec le Filtreur de messages, certaines mesures permettent de protéger les serveurs SMTP Exchange. ##### Utilisation d'une passerelle SMTP séparée Dans le cadre du renforcement de la sécurité, il peut être utile de protéger les serveurs principaux Exchange contre les attaques SMTP en utilisant une passerelle SMTP séparée. Tout le courrier provenant d'Internet parviendra sur ce serveur avant d'être transmis aux serveurs Exchange. Ce serveur ne fera partie d'aucun domaine Windows 2000 et ne pourra donc pas exécuter Exchange. Ainsi, le premier serveur qu'un pirate extérieur tentant d'utiliser SMTP rencontrera sera cette passerelle SMTP séparée. L'arrêt inopiné du serveur SMTP risque de vous empêcher d'envoyer du courrier électronique sur Internet mais ne vous empêche pas d'en recevoir. La passerelle SMTP peut être dotée d'un logiciel antivirus. **Remarque :** Pour plus d'informations sur la mise en place et la configuration d'un serveur virtuel SMTP, reportez-vous à l'article Q308161 de la Base de connaissances, intitulé « HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000 ». ##### Interdiction du relais de courrier Le relais de courrier est un procédé qui consiste à utiliser un serveur intérimaire destiné à accepter du courrier et à le transférer à des destinataires sur un autre serveur. Il peut être employé à des fins légitimes. Par exemple, des utilisateurs nomades peuvent vouloir se connecter à votre serveur SMTP afin d'envoyer du courrier pendant leurs déplacements. En autorisant un relais limité depuis l'extérieur de votre réseau, vous devez réguler les actions et sécuriser les accès des utilisateurs recourant au relais de courrier (l'authentification est activée par défaut). Si le relais SMTP est trop permissif, le serveur SMTP reçoit de très nombreux messages électroniques, ce qui affecte les performances de votre environnement et augmente le volume de courrier non sollicité sur Internet. À terme, votre organisation risque d'être répertoriée sur une liste de blocage de courrier indésirable, empêchant ainsi à un certain nombre de vos messages légitimes de parvenir à destination. Autorisé, le relais de courrier peut poser des problèmes pour votre serveur de messagerie. En effet, les demandes authentifiées peuvent être exploitées par des pirates informatiques lors de tentatives d'attaques de dictionnaire contre le serveur. Pour protéger votre serveur, vous devez autant que possible désactiver le relais de courrier. Pour envoyer du courrier, les utilisateurs peuvent employer OWA au lieu de se connecter directement au serveur SMTP. Pour protéger vos serveurs Exchange Server contre le relais de courrier, vous pouvez prendre les mesures suivantes sur vos serveurs virtuels SMTP internes : - interdiction de toutes les connexions (autres que les connexions anonymes) au serveur SMTP ; - interdiction du relais de courrier pour les ordinateurs authentifiés ; - interdiction des connexions SMTP autres que celles répertoriées par des adresses IP spécifiques. Vous devrez modifier quelque peu cette configuration sur la passerelle SMTP. Les paramètres exacts dépendront de votre flux de messages et de la configuration du serveur de messagerie de votre FAI. Cependant, le meilleur moyen de renforcer la sécurité est de verrouiller totalement vos systèmes afin d'empêcher le relais de courrier et la détection de paramètres minimaux à l'envoi de messages. **Remarque :** SMTP pour ordinateurs authentifiés est nécessaire si vous envisagez d'utiliser IMAP et POP3. Dans ce cas, vous devez créer un serveur virtuel distinct pour ces messages et le protéger à l'aide de SSL. **Remarque :** Pour plus d'informations sur l'interdiction de relais SMTP non souhaité dans Exchange, consultez l'article de TechNet, « Controlling SMTP Relaying in Microsoft Exchange » et l'article Q319356 de la Base de connaissances, « HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000 Server ». [](#mainsection)[Haut de page](#mainsection) ### Résumé Exchange n'est véritablement sûr que si vous prenez des mesures pour sécuriser le serveur de messagerie. Ces mesures revêtent toute leur importance si vous autorisez OWA sur Internet, car sans elles, les mots de passe sont transmis en texte clair sur Internet et sur votre réseau interne. Les procédures de ce module sont destinées à renforcer la sécurité de vos communications Exchange. #### Informations complémentaires Configuration et sécurisation d'un serveur et de clients Microsoft Exchange 2000 : [http://www.microsoft.com/isaserver/techinfo/deployment/ISAandExchange.asp](http://www.microsoft.com/isaserver/techinfo/deployment/isaandexchange.asp) ou Aux éditions Microsoft Press Volume 1 : Planning (ISBN : 0-7356-1829-1) et Volume 2 : Deployment (ISBN : 0-7356-1830-5) Pour plus de détails sur la signature et le cryptage de messages :