Microsoft.com
Bienvenue Connexion
Pour les professionnels de l’informatique
 Version imprimable       Envoyer     
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Articles Techniques
Exchange Server
 Comment connecter Microsoft Exchang...
Comment connecter Microsoft Exchange à Internet de façon sécurisée ?
Sur cette page

Astuces pour connecter de façon sécurisée votre site Microsoft Exchange à Internet
Par où dois-je commencer ?
Contre quoi dois-je me défendre ?
Comment Microsoft Windows NT Server et Microsoft Exchange Server protègent-ils mon réseau ?
Windows NT RPC
Advanced Security de Microsoft Exchange Server
Les fonctionnalités de sécurité de Microsoft Exchange Server Internet Mail Connector
Concepts de sécurité Internet
Qu'est ce qu'un Pare-feu
Serveur Proxy
Le système Dual-Homed
Filtrage de paquets
Logiciels Pare-feu
Domain Name System (DNS)
Astuces de sécurité pour configurer vos comptes utilisateur de connexion Internet
Compte utilisateur
Windows NT File System (NTFS)
Exécuter seulement les services dont vous avez besoin
Déconnectez tous les services non nécessaires de vos cartes réseau
Vérifiez les permissions des partages réseau
Se connecter à des hôtes SMTP avec Microsoft Exchange Internet Mail Connector
Permettre aux client Microsoft Exchange de se connecter par l'Internet
Se Connecter à X.4000 MTA avec le connecteur Microsoft Exchange X.400
DNS
Pour plus d'informations

Astuces pour connecter de façon sécurisée votre site Microsoft Exchange à Internet

Le courrier électronique est l'un des services fondamentaux que les organisations fournissent aux utilisateurs et, avec la progression phénoménale de l'Internet, avoir une connexion email Internet est devenue une nécessité pour beaucoup d'entreprises. Cependant, l'email étant omniprésent sur l'Internet, c'est l'une des cibles les plus tentantes pour les attaquants potentiels. C'est pourquoi il est important de penser à la sécurité email lorsque vous connectez votre site Microsoft Exchange Server à l'Internet. Lorsqu'ils sont configurés correctement, Microsoft Windows NT ® et Microsoft Exchange Server 5.5 fournissent les outils pour réduire les risques de sécurité.

Cet article fournit des informations sur la sécurité Microsoft Windows NT et Microsoft Exchange, des bases sur certains concepts de sécurité Internet et les points à considérer lors de la planification de l'installation de Microsoft Exchange Server. Si vous avez besoin de précisions complémentaires sur certains points, consultez vos documentation Windows NT et Microsoft Exchange Server, un Microsoft Solution Provider ou d'autres sources avant de vous connectez à l'Internet.

Par où dois-je commencer ?

La première chose à faire est de décider quel type de connectivité vous planifiez d'avoir à l'Internet. Avec Microsoft Exchange Server, il y a plusieurs possibilités :

  • Utiliser Microsoft Exchange Internet Mail Connector pour fournir une connectivité email SMTP générale entre votre organisation et les autres.

  • Connecter des sites Microsoft Exchange dans votre organisation par le biais de l'Internet protocol [s1] en utilisant Microsoft Exchange Internet Mail Connector, Microsoft Exchange X.400 Connector (RFC-1006), ou Site Connector.

  • Permettre à des clients Microsoft Exchange d'accéder à des boites aux lettres sur un ordinateur faisant tourner Microsoft Exchange Server dans votre organisation, par le biais de l'Internet.

Une fois que vous avez décidé quel type de connectivité est nécessaire, vous pouvez alors concevoir votre architecture de système pour supporter ces services tout en fournissant un niveau de sécurité approprié.

Contre quoi dois-je me défendre ?

Les systèmes email sont sujets aux types d'attaques suivantes :

  • Vol ou falsification de documents En " sniffant " ou en interceptant des messages en transit, un attaquant peut accéder à des données ou même les modifier.

  • Contrefaçon Un attaquant contrefaisant des messages pour qu'ils apparaissent comme s'ils venaient d'ailleurs peut diffuser de fausses informations ou pousser des gens à lui envoyer des données sensibles.

  • Refus de services (denial of service) Le traitement de chaque message requérant des ressources disques et CPU sur votre serveur et de la bande passante sur votre connexion Internet, un attaquant peut bloquer votre système ou votre réseau en le noyant sous les mails.

  • Les chevaux de Troie (Trojan Horses) et les virus Des utilisateurs sans soupçons peuvent exécuter un programme qu'ils ont reçu par mail qui infecte alors le système, supprime des fichiers ou provoque de nombreux problèmes. Les utilisateurs devraient toujours scanner les fichiers joints reçus de l'Internet avant de les ouvrir ou de les exécuter.



En plus, tout système qui est accessible par l'Internet est sujet à des tentatives d'intrusion de la sécurité du système d'exploitation ou à des tentatives d'exploitation des faiblesses de sécurité dans n'importe lequel des services tournant sur le système. Bien que les administrateurs s'inquiètent beaucoup de telles attaques, des utilisateurs peuvent, par inadvertance, livrer des données sensibles ou provoquer un afflux de souvent et souvent être responsable des pires entraves de sécurité.

Comment Microsoft Windows NT Server et Microsoft Exchange Server protègent-ils mon réseau ?

Le système d'exploitation Windows NT Server a été conçu depuis le départ en pensant à la sécurité. Il est listé dans la liste C2 Evaluated Products du NSCS. Windows NT Server fournit des outils complets pour aider les administrateurs à gérer et à maintenir la sécurité, y compris un contrôle centralisé des comptes utilisateurs, des audits des accès des utilisateurs aux ressources système, et un contrôle des accès utilisateurs aux ressources.

La sécurité Windows NT Challenge/Response fournit une authentification sûre pour l'Internet. Le mot de passe utilisateur n'est jamais envoyé dans les "tuyaux" : le serveur délivre un "challenge" au client, qui le crypte en utilisant le mot de passe comme clé. Le client renvoie alors le challenge crypté au serveur, qui vérifie que le client connaît le bien le mot de passe.

Windows NT 4.0 a d'autres fonctionnalités de sécurité, telle que Point-to-Point Tunneling Protocol (PPTP) qui supporte les réseaux privés virtuels multi-protocoles, permettant à des utilisateurs distants d'accéder à des réseaux d'entreprise de façon plus sécurisée par le biais de l'Internet.

Windows NT RPC

Microsoft Exchange Server utilise Remote Procedure Calls (RPC) de Windows NT pour la communication entre le client et le serveur ou entre serveurs dans un site. Microsoft Exchange tire partie de la sécurité Challenge/Response construite dans Windows NT RPC pour authentifier les connexions client/serveur et serveur/serveur. Avec Microsoft Exchange Server et Windows NT RPC il est aussi possible de crypter complètement la conversation client/serveur, permettant un accès sécurisé aux boites aux lettres par le biais de l'Internet. Windows NT RPC utilise l'algorithme RC4® de RSA Data Security Inc. avec une clé 40-bits, le maximum qui puisse être exporté hors des Etats-Unis.

Advanced Security de Microsoft Exchange Server

Microsoft Exchange Server possède "Advanced Security" qui fournit un cryptage de bout en bout et des signatures électroniques pour les messages. Les utilisateurs Microsoft Exchange ayant les permissions de sécurité peuvent signer électroniquement et sceller les messages qu'ils envoient à d'autres utilisateurs dans l'organisation. pour le cryptage en masse des contenus de messages, Microsoft Exchange Server supporte les algorithme DES et CASt avec des clés à 56 et 64 bits respectivement (UA et Canada seulement). Le cryptage CAST à 40 bits est disponible dans le monde entier. Les signatures électroniques et l'échange de clé de cryptage en masse est accompli en utilisant des clés de cryptage publiques à 512 bits de RSA Data Security Inc.

Si un message signé est envoyé à un destinataire qui n'est pas sur Microsoft Exchange Server ou qui est hors de l'organisation, le message peut être lu, mais la signature ne peut être vérifiée. Un destinataire sur Microsoft Exchange Serveur qui a la clé de cryptage appropriée peut seulement décrypter les messages cryptés [s2] .

Les fonctionnalités de sécurité de Microsoft Exchange Server Internet Mail Connector

Microsoft Exchange Server vous aide à protéger votre mail avec les fonctionnalités de sécurité suivantes :

Accepter/rejeter par adresse IP
Par défaut, Microsoft Exchange Internet Mail Connector (IMC) accepte les connexions entrantes de toutes les adresses IP. Si votre IMC n'a besoin de communiquer qu'avec des hôtes SMTP spécifiques, vous pouvez le configurer pour qu'il rejette toutes les tentatives de connexion des autres adresses IP ce qui rend plus difficile pour quelqu'un de tenter une attaque contre votre système.

Limitation de la taille des messages
Vous pouvez aussi établir une taille limite pour les messages au niveau de l'IMC. La limite de taille par défaut s'applique au courrier entrant et sortant. Si un message entrant en provenance d'un autre hôte SMTP dépasse la taille limite, l'IMC arrêtera d'écrire les données sur le disque et jettera les données restantes. Ceci permet d'éviter que de gros messages remplissent le disque du serveur, ce qui aide à réduire l'impact d'un attaque en refus de service, et permet de na pas surcharger les liaisons réseaux.

Désactiver les réponses automatiques vers l'Internet
L'IMC a la possibilité d'empêcher l'envoie de réponses générées automatiquement, tel que les réponses "hors du bureau" (out of office). Lorsque les utilisateurs sont absents pour quelques jours, ils configurent souvent leur assistant Out of Office pour envoyer une réponse à tous leurs correspondants leur indiquant jusqu'à quand ils sont absents et où ils peuvent être joints. Souvent, ce n'est pas une bonne idée de diffuser ces informations hors de l'organisation, et cela peut en fait représenter une faille de sécurité importante. Avec l'IMC, vous pouvez désactiver la délivrance externe des réponses automatiques sur une base globale ou par domaines.

Restrictions de délivrance
Vous pouvez déterminer quels utilisateurs dans votre organisation ont la permission d'envoyer des messages par l'IMC. Par exemple, seuls les employés à plein temps peuvent avoir l'autorisation. la page des restrictions de délivrance des propriétés de l'IMC dans l'administrateur de Microsoft Exchange vous permet de sélectionner les utilisateurs auxquels vous voulez accorder ou refuser un accès au mail Internet.

Les fonctionnalités de sécurité du client Microsoft Exchange Un problème courant avec l'e-mail est que les utilisateurs peuvent par inadvertance donner des informations à des utilisateurs hors de l'organisation s'ils ne font attention en vérifiant à qui ils envoient un message ou une réponse. Quand un utilisateur Microsoft Exchange voit un message reçu de l'Internet, l'adresse de l'envoyeur est affichée en même temps qu'un nom "convivial", ce qui permet au lecteur de vérifier l'origine du message en un coup d'oeil. Les utilisateurs peuvent aussi regarder les en-têtes Internet de tout message reçu par Microsoft Exchange Internet Mail Connector pour avoir plus d'indices sur son origine.

Concepts de sécurité Internet

Firewalls (Pare-feu), serveurs proxy, systèmes dual-homed, etc protègent les systèmes de messagerie des problèmes liés à l'Internet.

Qu'est ce qu'un Pare-feu

Un pare-feu sépare votre réseau interne de l'Internet. Il restreint les accès entrants et sortants et peut analyser tout le trafic entre votre réseau et l'Internet. Un pare-feu peut aller d'un simple filtre de paquets jusqu'à un bastion host qui analyse le trafic pour chaque type d'application. un bastion host est défini comme tout ordinateur qui doit être sécurisé car son accessibilité à partir de l'Internet le laisse exposé aux attaques. Un pare-feu peut être un simple routeur ou ordinateur, ou il peut être composé d'une combinaison de composants tels que des routeurs, des ordinateurs, des réseaux et des logiciels.

Serveur Proxy

Certains services, tels que le Web et le FTP, sont de point-à-point : un client se connecte directement à un serveur. Permettre à des clients à l'intérieur de votre réseau de se connecter directement à des hôtes sur l'Internet n'est généralement pas sûr. Une solution est d'utiliser un serveur proxy (également appelé une passerelle de niveau applicatif) pour traiter avec les serveurs externes à la place du client. Le client communique avec le serveur proxy, qui à son tour relaye les requêtes des clients approuvées vers les serveurs, puis relaye les réponses vers le client. Les hôtes externes ne se connectent pas directement aux clients sur votre réseau.

Microsoft Exchange Server et beaucoup d'autres systèmes d'email utilise une conception stocke-et-transfère, qui de façon inhérente utilise le serveur proxy. Les clients se connectent aux serveurs qui résident sur le réseau local. Les serveurs à leur tour communiquent entre eux pour transférer les messages emails. Des services de proxy séparés ne sont pas nécessaires lorsque Microsoft Exchange Server est configuré correctement.

Le système Dual-Homed

Une des manières de configurer un bastion host est d'utiliser un ordinateur dual-homed, qui a une connexion aux deux réseaux, mais ne route pas de paquets entre eux. Une connexion est destinée à vers votre réseau local et permet des communications avec d'autres serveurs et clients. L'autre connexion est vers l'Internet. Vous pouvez faire tourner Microsoft Exchange Server sur un ordinateur dual-homed pour fournir une connectivité email sécurisé à l'Internet.

Filtrage de paquets

Mettre un filtre de paquets entre l'Internet et votre réseau peut ajouter une couche de sécurité. Un filtre de paquets tels qu'un routeur de filtrage vous permettra de contrôler les ports et les adresses IP vers lesquelles les systèmes externes peuvent se connecter. Cependant, Si un intrus est capable de passer le routeur, votre réseau est ouvert aux attaques.

Pour minimiser le risque, beaucoup d'organisations implémentent un réseau de périphérie (perimeter network). Un réseau de périphérie se connecte à l'Internet par le biais d'un routeur de filtrage externe, puis se connecte au réseau interne par le biais d'un routeur de filtrage interne. Les ordinateurs qui sont liés au réseau de périphérie ont un accès limité à l'Internet et au réseau interne. Ceci peut être une architecture pratique si des hôtes multiples nécessite un accès direct à l'Internet.

Cette configuration fournit 3 niveaux de défense. Si le routeur externe et un bastion host sur le réseau de périphérie sont compromis, l'attaquant ne gagner un accès illimité à votre réseau interne, le routeur interne en contrôlant l'accès.

Logiciels Pare-feu

Il y a beaucoup de produits pare-feu commercialisés sur le marché qui fournissent des services de proxy. Certains d'entre eux supportent l'email SMTP. Il existe aussi des implémentations gratuites de services proxy, tel que "smap", qui transfèrent des messages entre des systèmes internes et externes. L'avantage de ces produits est que comme la sécurité est leur seule raison d'être et qu'ils sont d'habitude des implémentations simples avec des fonctionnalités restreintes (moins de 1000 lignes de codes pour smap contre plus de 30000 pour sendmail), ils sont moins sujets aux failles de sécurité. Cependant utiliser de tels logiciels présente également l'inconvénient que différents serveurs SMTP doivent être gérés, et si votre serveur SMTP interne est amélioré avec de nouvelles fonctionnalités, le logiciel de pare-feu doit aussi être mis à jour pour être capable d'en tirer parti.

Comme vous pouvez configurer Microsoft Exchange Server pour vous aider à fournir un accès Interner sécurisé, un logiciel complémentaire n'est pas nécessaire. Cependant, Microsoft Exchange Internet Mail Connector peut être utilisé en conjonction avec un logiciel pare-feu si vous le voulez. Il est nécessaire de configurer votre Microsoft Exchange Internet Mail Connector pour transférer tout le courrier vers le bastion host faisant tourner le logiciel pare-feu.

Domain Name System (DNS)

DNS est une base de données distribuées qui opère la traduction entre les noms d'hôtes et les adresses IP. Il porte également d'autres informations concernant les hôtes, telles que les enregistrements Mail eXchange (MX) qui spécifient un ou plusieurs hôtes qui vont accepter les mails pour un domaine. Quand un client a besoin de trouver des informations sur un hôte, telle que l'adresse IP pour mail.acme.net, il envoie une requête au serveur de DNS local. Le serveur de DNS local vérifie son cache et répond s'il a l'information. S'il ne l'a pas, le serveur de DNS local demande alors à chacun des autres serveurs de DNS jusqu'à ce qu'il trouve l'information ou qu'il ait fait le tour des endroits où chercher. Ce transfert de requête est transparent pour le client et se connecte seulement au serveur de DNS local.

Si votre système va accepter des mails directement d'autres hôtes sur l'Internet, il doit être listé dans les DNS. Un enregistrement DNS MX doit être créé qui route tous les mails envoyés à votre domaine enregistré vers le(s) hôte(s) qui traitent les mails entrants. A moins que vous ne prévoyiez de transférer tous les mails Internet sortant vers un hôte relais (un hôte hors de votre organisation qui a une connectivité Internet meilleure), Il faudra aussi que votre serveur soit capable de faire des requêtes auprès du DNS pour router les messages vers les bonnes destinations. Vous pouvez configurer Microsoft Exchange Server pour utiliser les services DNS de votre ISP (Provider de services Internet) ou vous pouvez avoir vos propres serveurs de DNS. Si vous maintenez vos propres serveurs de DNS, ils doivent être enregistrés auprès de votre domaine parent.

Si vous utilisez DNS, et vous ne voulez pas que les requêtes DNS de l'Internet retournent des informations concernant les ordinateurs de votre réseau interne, configurez DNS de façon à ce que les hôtes externes puissent faire des requêtes sur votre serveur Internet, mais pas sur tout autre hôte. Pour faire ceci, mettez en place une paire de serveurs DNS. Le premier sera un serveur de DNS externe, que vous devez enregistrer avec votre domaine parent et configurer avec les enregistrements d'adresses et MX pour votre (vos) bastion host.

Il vous faudra aussi mettre en place un serveur de DNS interne qui sera utilisé par les clients de votre réseau. Ce serveur de DNS doit être configuré pour transférer les requêtes qu'il ne peut résoudre vers le serveur de DNS externe, de façon à ce que les clients de votre réseau puissent résoudre les noms d'hôtes Internet. Votre bastion host devrait aussi utiliser le serveur interne pour les DNS, de façon à ce qu'il puisse résoudre les noms internes et externes. Comme le serveur de DNS externe n'a pas les informations complètes pour votre réseau interne, et que votre serveur de DNS interne n'est pas accessible de l'Internet, vous pouvez cacher la plupart de vos ordinateurs des requêtes de DNS externes simplement en ne créant pas d'enregistrements pour eux sur le serveur de DNS externe.

Astuces de sécurité pour configurer vos comptes utilisateur de connexion Internet

Protéger vos comptes utilisateur de connexion Internet en utilisant les astuces suivantes pour utiliser Microsoft Exchange Server :

Compte utilisateur

Windows NT nécessite des comptes utilisateurs assignés. Chaque opération sur un ordinateur Windows NT identifie qui accomplit la tâche. Il est préférable de limiter ce que les utilisateurs sont autorisés à faire sur le serveur connecté à l'Internet. Les droits utilisateur peuvent être administrés en utilisant le gestionnaire d'utilisateur Windows NT (Windows NT User Manager). Le gestionnaire d'utilisateur vous permet aussi de mettre en place des stratégies système strictes, concernant par exemple les fréquences d'expiration des mots de passe ou le nombre de mauvais logon tolérés avant de bloquer l'utilisateur dehors.

Il est préférable aussi de choisir des mots de passe difficiles à deviner pour tous les comptes, particulièrement ceux qui ont des privilèges administrateurs. Limitez aussi autant que possible le nombre de comptes qui ont des droits d'administration.

Windows NT File System (NTFS)

NTFS vous permet de créer des Access Control Lists (ACL) pour chaque fichier et répertoire sur le volume. Une ACL spécifie quels utilisateurs ou groupes ont accès à un élément, et quel type d'accès ils ont. En utilisant NTFS et en restreignant soigneusement l'accès à vos fichiers et répertoires, vous pouvez limiter le niveau de dommages q'un intrus peut causer s'il arrive à accéder à un compte utilisateur. Vous pouvez aussi auditer vos fichiers et répertories NTFS par le gestionnaire de fichiers. Ceci produit des enregistrements d'audit que vous pouvez périodiquement revoir pour vous assurer que personne n'a réussi à accéder illégalement à des fichiers sensibles.

Exécuter seulement les services dont vous avez besoin

Moins il y a de services tournant sur votre serveur, moins il y a de risques qu'il y ait une erreur de configuration qui puisse être exploitée. Analysez soigneusement tous les services que vous exécutez sur le serveur et désactivez tout ce qui n'est pas nécessaire.

Déconnectez tous les services non nécessaires de vos cartes réseau

La fonctionnalité "lien" (Bindings) dans le panneau de configuration Réseau enlèvent toutes les liaisons des services non nécessaires de la carte réseau connectée à l'Internet. Par exemple, il se peut que vous utilisiez le service de serveur pour copier des fichiers à partir d'ordinateurs de votre réseau interne, mais que vous ne vouliez pas que les utilisateurs distants puissent avoir un accès direct au service de serveur à partir de l'Internet. Si vous voulez utiliser le service de serveur sur votre réseau privé, la liaison du service de serveur vers toute carte d'accès réseau connectée à l'Internet devrait être désactivée. Cependant, il faut que vous compreniez bien les implications de sécurité et les questions de licences.

TCP/IP est le seul protocole dont vous ayez besoin pour lier le réseau à la carte d'accès réseau connectée à l'Internet. Assurez que le routage est désactivé, de façon à ce que votre réseau interne soit isolé de l'Internet.

Vérifiez les permissions des partages réseau

Si vous décidez de lier le service serveur à la carte d'accès réseau, vérifiez bien les permissions des fichiers dans les répertoires partagés.

Se connecter à des hôtes SMTP avec Microsoft Exchange Internet Mail Connector

Vous pouvez mettre en place un serveur Microsoft Exchange avec Microsoft Exchange Internet Mail Connector sur votre bastion host qui route le courrier entre votre organisation et les hôtes SMTP sur l'Internet. Pour minimiser les risques, vous pouvez faire de celui-ci un serveur dédié sans boites aux lettres utilisateurs, qui se contente de router le mail Internet. Si un intrus arrive à accéder au bastion host, aucune des données stockées dans les boites aux lettres des utilisateurs ou dans les dossiers publics ne courent aucun risque, étant donné que seuls les messages en transit seront stockés sur le bastion host.

Si vous utilisez un filtreur de paquets, vous devez le configurer pour permettre les connexions TCP à partir de et vers le port 25 de Microsoft Exchange Server.

Permettre aux client Microsoft Exchange de se connecter par l'Internet

Les clients Microsoft Exchange communiquent avec le serveur en utilisant Windows NT RPC. Tous les RPC sont authentifiés, ce qui fait que seul un client connecté à un compte Windows NT qui a les droits sur la boite aux lettres peut accéder. Le cryptage RPC peut être activé au niveau du client Microsoft Exchange pour sécuriser complètement la communication client/serveur. Les utilisateurs peuvent choisir de crypter des données lorsqu'ils utilisent la connexion dial-up et de ne pas utiliser le cryptage lorsqu'ils sont connectés par le réseau. Pour configurer votre client Microsoft Exchange pour qu'il crypte tout le trafic RPC :

  • sélectionnez les propriétés de service Microsoft Exchange Server à partir du menu Outils

  • A la page "avancé", vous verrez une boite disant : Crypter les informations
    []Lors de l'utilisation du réseau
    []Lors de l'utilisation d'une session Accès réseau à distance

  • Sélectionner la case appropriée pour activer la cryptage de sessions RPC.

Lorsque vous spécifiez le nom d'un serveur lors de la configuration de service Microsoft Exchange Server, vous devez aussi spécifier le nom de manière à ce qu'il puisse être résolu sur l'Internet. Spécifier simplement un nom de machine Windows NT sur votre réseau interne, tel que "server1", peut être suffisant. Cependant, les noms de machines simples (les noms NetBios) ne fonctionneront pas sur l'Internet. Vous devez spécifier le nom de domaine du serveur, tels que "server1.acme.com". Si le serveur n'est pas enregistré en DNS, vous pouvez spécifier l'adresse IP lorsque le nom du serveur vous est demandé. Comme autoriser un accès client à partir de l'Internet nécessite que vous rendiez disponible un accès RCP vers le serveur qui contient les boites aux lettres, c'est un peu plus risqué que de se contenter d'autoriser un accès SMTP par un serveur de mail Internet dédié. Une erreur dans la configuration qui permet à des attaquants d'accéder au serveur pourrait compromettre, entre autre, les contenus des boites aux lettres et des dossiers publics.

Par défaut, Microsoft Exchange Server assigne dynamiquement les numéros de port à utiliser pour les RPC aux répertoires Microsoft Exchange Server ou à la banque d'information (information store). Les clients se connectent toujours au port 135, qui est le service Windows NT RPC End-Point Mapper. Ce service dit au client quels numéros de port dynamiques utiliser pour accéder à l'annuaire de Microsoft Exchange Server et à la banque d'information (information store)

Si vous utilisez un filtre de paquets, vous pouvez forcer Microsoft Exchange Server à utiliser un port fixe pour RPC en créant une valeur de registre REG_DWORD appelée "TCP/IP port". Cette valeur doit être un numéro de port que vous configurez aussi dans votre filtre de paquets. Pour l'annuaire, la valeur doit être sous la clé suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters \TCP/IP port

Pour la banque d'information, la valeur doit être sous la clé ci-dessous :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Services\MSExchangeIS\ParametersSys tem\TCP/IP port

Vous devez configurer votre filtre de paquets pour permettre les connexions TCP sur ces ports plus le port 135 (Pour le service RPC End-Point Mapper) sur le serveur sous Microsoft Exchange.

Se Connecter à X.4000 MTA avec le connecteur Microsoft Exchange X.400

RFC-1006 défini un mécanisme pour les applications définies par la suite de protocoles ISO pour tourner au-dessus de TCP/IP. X.400 MTA peut utiliser ce mécanisme pour communiquer par l'Internet Protocol. Si vous utilisez un filtre de paquets, vous devez le configurer pour permettre les connexions TCP sur le port 102 sur la machine faisant tourner Microsoft Exchange Server. Notez que avec l'authentification X.400, les mots de passe sont envoyés en clair.

Connecter des sites par l'Internet

Vous pouvez utiliser Microsoft Exchange Mail Connector, Microsoft Exchange X.400 Connector ou Site Connector pour connecter les sites Microsoft Exchange par le biais de l'Internet protocol. Bien entendu, si le mail doit traverser un ou plusieurs hôtes SMTP pour atteindre sa destination, il est nécessaire d'utiliser Microsoft Exchange Internet Mail Connector. Notez que les données ne sont pas cryptées lorsqu'elles sont envoyées par ces connecteurs à moins que les messages ne soient eux-mêmes cryptés en utilisant Advanced Security.

Microsoft Exchange Internet Mail Connector utilise RPC pour la communication entre serveurs. Le trafic passant par Site Connector RPC est crypté par défaut, en utilisant un chiffrement standard 40 bits. Si vous utilisez un filtre de paquets, vous devez le configurer comme pour rendre possible un accès client par l'Internet.

DNS

Si vous utilisez DNS avec un routeur filtrant, vous devez configurer le routeur pour permettre des connexions UDP et TCP au port 53 du serveur de DNS.

Pour plus d'informations

Q152725 - XCLN: How to Connect over the Internet to an Exchange Server Site en anglais



Dernière mise à jour le jeudi 6 janvier 2000



Téléchargez

icon_word.gif exchInternetoc
50 Ko

Fichier Microsoft Word


© 2009 Microsoft Corporation. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité
Page view tracker