Présentation des connecteurs de réception
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les connecteurs de réception sont configurés sur des ordinateurs exécutant Microsoft Exchange Server 2010 et sur lesquels les rôles serveur de transport Hub ou serveur de transport Edge sont installés. Les connecteurs de réception constituent une passerelle logique via laquelle tous les messages entrants sont reçus. Cette rubrique donne une vue d’ensemble des connecteurs de réception et de la manière dont leur configuration affecte le traitement des messages individuels.
Vue d’ensemble des connecteurs de réception
Les serveurs de transport Exchange 2010 requièrent des connecteurs de réception pour recevoir des messages d’Internet, de clients de messagerie et d’autres serveurs de messagerie. Un connecteur de réception contrôle les connexions entrantes de l’organisation Exchange. Par défaut, les connecteurs de réception requis pour le flux de messagerie interne sont créés automatiquement lors de l’installation du rôle serveur de transport Hub. Le connecteur de réception capable de recevoir des messages d’Internet et des serveurs de transport Hub est créé automatiquement lors de l’installation du rôle serveur de transport Edge. Toutefois, un flux de messagerie de bout en bout n’est possible qu’après que le serveur de transport Edge a été abonné au site Active Directory, à l’aide du processus d’abonnement Edge. D’autres scénarios, tel un serveur de transport Hub côté Internet ou un serveur de transport Edge non abonné, requièrent une configuration de connecteur manuelle pour établir un flux de messagerie de bout en bout.
Dans Exchange 2010, le connecteur de réception est un écouteur de réception. Cela signifie que le connecteur de réception écoute les connexions entrantes correspondant à ses paramètres. Un connecteur de réception écoute les connexions reçues via une adresse IP et un port locaux particuliers et à partir d’une plage d’adresses IP spécifiée. Vous créez des connecteurs de réception lorsque vous voulez contrôler les serveurs qui reçoivent des messages d’une adresse IP ou d’une plage d’adresses IP particulière et lorsque vous voulez configurer des propriétés de connecteur spéciales pour les messages d’une adresse IP donnée, telles qu’une taille de message plus importante, un plus grand nombre de destinataires par message ou un plus grand nombre de connexions entrantes.
La portée des connecteurs de réception s’étend à un serveur unique et détermine la manière dont ce dernier écoute les connexions. Lorsque vous créez un connecteur de réception sur un serveur de transport Hub, le connecteur de réception est stocké dans Active Directory comme objet enfant du serveur sur lequel il est créé. Lorsque vous créez un connecteur de réception sur un serveur de transport Edge, il est stocké dans AD LDS (Active Directory Lightweight Directory Services).
Si vous avez besoin de connecteurs de réception supplémentaires pour des scénarios spécifiques, vous pouvez les créer à l’aide de la console de gestion Exchange (EMC) ou de l’environnement de ligne de commande Exchange Management Shell. Chaque connecteur de réception doit utiliser une combinaison unique de liaisons d’adresses IP, d’affectations de numéro de port et de plages d’adresses IP distantes dont les messages sont acceptés par ce connecteur.
Connecteurs de réception par défaut créés lors de l’installation
Certains connecteurs de réception sont créés par défaut lorsque vous installez un rôle serveur de transport Hub ou de transport Edge.
Connecteurs de réception par défaut créés sur un serveur de transport Hub
Lorsque vous installez le rôle serveur de transport Hub, deux connecteurs de réception sont créés. Aucun connecteur de réception supplémentaire n’est nécessaire pour une opération standard. Aussi, dans la plupart des cas, les connecteurs de réception par défaut ne requièrent aucun changement de configuration. Le type d’utilisation et la configuration de ces connecteurs sont présentés dans le tableau suivant.
Configuration par défaut du connecteur de réception sur des serveurs de transport Hub
| Nom du connecteur et type d’utilisation | Configuration |
|---|---|
Nom de serveur du client Ce connecteur de réception accepte les connexions SMTP de tous les clients non MAPI, tels que POP et IMAP. |
|
Nom de serveur par défaut Ce connecteur de réception accepte des connexions à partir d’autres serveurs de transport Edge et de tout serveur de transport Edge. |
|
.gif "Remarque") Remarque : |
|---|
| La méthode d’authentification d’Exchange Server doit être affectée à tout connecteur de réception responsable de l’acceptation de connexions à partir de serveurs de transport Edge ou d’autres serveurs de transport Hub. La méthode d’authentification d’Exchange Server est la méthode d’authentification par défaut lors de la création d’un connecteur de réception dont le type d’utilisation est Interne. |
Connecteur de réception par défaut créé sur un serveur de transport Edge
Pendant l’installation, un connecteur de réception est créé. Ce connecteur est configuré pour accepter les communications SMTP de toutes les plages d’adresses IP et est lié à toutes les adresses IP du serveur local. Il est configuré pour comporter le type d’utilisation Internet et accepte par conséquent les connexions anonymes. Dans une installation classique, aucun connecteur de réception supplémentaire n’est nécessaire. Si vous utilisez EdgeSync, vous n’avez pas besoin d’apporter des modifications à la configuration, car le processus d’abonnement Edge configure automatiquement les autorisations et les mécanismes d’authentification. Différents ensembles d’autorisations sont attribués aux sessions anonymes et aux sessions authentifiées.
Si vous n’utilisez pas le service EdgeSync, il est recommandé de modifier les paramètres de ce connecteur de réception et de créer un connecteur de réception supplémentaire pour le type d’utilisation interne. Pour achever la configuration du connecteur de réception, procédez comme suit :
Modifiez les paramètres du connecteur de réception par défaut Définissez les liaisons réseau locales sur l’adresse IP de la carte réseau côté Internet seulement.
Créez un connecteur de réception Sélectionnez Interne comme type d’utilisation du connecteur. Définissez les liaisons réseau locales sur l’adresse IP de la carte réseau côté organisation seulement. Configurez les paramètres de réseau distant pour recevoir des messages des adresses IP distantes qui sont affectées aux serveurs de transport Hub.
Remarque :La méthode d’authentification d’Exchange Server doit être affectée à tout connecteur de réception responsable de l’acceptation de connexions à partir de serveurs de transport Edge ou d’autres serveurs de transport Hub. La méthode d’authentification d’Exchange Server est la méthode d’authentification par défaut lorsque vous créez un connecteur de réception dont le type d’utilisation est Interne. Déterminez si une authentification de base est nécessaire Si vous voulez prendre en charge l’authentification de base, créez un compte d’utilisateur local et attribuez les autorisations nécessaires à l’aide de la cmdlet Add-ADPermission.
Pour plus d’informations, consultez la rubrique Configurer le flux de messagerie entre un serveur de transport Edge et des serveurs de transport Hub sans utiliser EdgeSync.
Types d’utilisation du connecteur de réception
Le type d’utilisation détermine les paramètres de sécurité par défaut pour le connecteur.
Les paramètres de sécurité d’un connecteur de réception spécifie les autorisations attribuées aux sessions qui se connectent au connecteur de réception et les mécanismes d’authentification pris en charge.
Lorsque vous utilisez la console de gestion Exchange pour configurer un connecteur de réception, l’Assistant Nouveau connecteur de réception SMTP vous invite à sélectionner le type d’utilisation du connecteur. Vous pouvez spécifier le type d’utilisation de deux manières différentes :
Utilisez le paramètre Usage avec la valeur désirée, par exemple Usage
Custom. Il existe d’autres paramètres obligatoires en fonction du type d’utilisation que vous spécifiez. Si vous ne spécifiez pas les paramètres obligatoires dans la commande New-ReceiveConnector, celle-ci échoue.Utilisez le paramètre booléen pour le type d’utilisation désiré, par exemple, Custom. Il existe d’autres paramètres obligatoires en fonction du type d’utilisation que vous spécifiez. Si vous ne spécifiez pas les paramètres obligatoires dans la commande New-ReceiveConnector, vous êtes invité à entrer les valeurs de paramètre manquantes de façon à ce que l’exécution de la commande puisse continuer.
Groupes d’autorisations
Un groupe d’autorisations est un ensemble prédéfini d’autorisations attribuées à des principaux de sécurité bien connus et à un connecteur de réception. Les principaux de sécurité incluent des utilisateurs, des ordinateurs et des groupes de sécurité. Un principal de sécurité est identifié par un identificateur de sécurité (SID). Des groupes d’autorisations ne sont disponibles que pour des connecteurs de réception. L’utilisation d’un groupe d’autorisations simplifie la configuration des autorisations sur les connecteurs de réception. La propriété PermissionGroups définit les groupes ou les rôles pouvant soumettre des messages au connecteur de réception et les autorisations attribuées à ces groupes. L’ensemble de groupes d’autorisations est prédéfini dans Exchange 2010. Cela signifie que vous ne pouvez pas créer des groupes d’autorisations supplémentaires. Vous ne pouvez pas non plus modifier les membres d’un groupe d’autorisations ni les autorisations associées.
Le tableau suivant répertorie les groupes d’autorisations disponibles et identifie les principaux de sécurité et les autorisations octroyées lorsque le groupe d’autorisations est configuré pour un connecteur de réception.
Groupes d’autorisations du connecteur de réception
| Nom du groupe d’autorisations | Principaux de sécurité associés (SID) | Autorisations octroyées | ||||
|---|---|---|---|---|---|---|
Anonyme |
Compte d’utilisateur anonyme |
|
||||
ExchangeUsers |
Comptes d’utilisateur authentifiés |
|
||||
ExchangeServers |
|
|
||||
ExchangeLegacyServers |
Groupe de sécurité Interop hérité d’Exchange |
|
||||
Partenaire |
Compte de serveur partenaire |
|
Types d’utilisation du connecteur de réception
Le type d’utilisation détermine les groupes d’autorisations par défaut attribués au connecteur de réception et les mécanismes d’authentification par défaut disponibles pour l’authentification de la session. Un connecteur de réception répond toujours à une demande d’utilisation du protocole TLS émise par un expéditeur. Le tableau suivant décrit les types d’utilisation disponibles et les paramètres par défaut.
Types d’utilisation du connecteur de réception
| Type d’utilisation | Groupes d’autorisations par défaut | Mécanismes d’authentification par défaut |
|---|---|---|
Client (indisponible sur les serveurs de transport Edge) |
ExchangeUsers |
TLS Authentification de base plus TLS Authentification Windows intégrée |
Personnalisé |
Aucun |
Aucun |
Interne |
ExchangeServers ExchangeLegacyServers (ce groupe d’autorisations est indisponible sur les serveurs de transport Edge) |
Authentification Exchange Server |
Internet |
AnonymousUsers Partenaire |
Aucun ou sécurisé de l’extérieur |
Partenaire |
Partenaire |
Non applicable. Ce type d’utilisation est sélectionné lorsque vous établissez un TLS mutuel avec un domaine distant. |
Les autorisations du connecteur de réception et les mécanismes d’authentification sont décrits ci-après dans cette rubrique.
Scénarios d’utilisation du connecteur de réception
Chaque type d’utilisation est approprié pour un scénario de connexion spécifique. Sélectionnez le type d’utilisation dont les paramètres par défaut sont les plus appropriés pour la configuration de votre choix. Vous pouvez modifier les autorisations à l’aide des cmdlets Add-ADPermission et Remove-ADPermission. Pour plus d’informations, consultez les rubriques suivantes :
Le tableau suivant présente les scénarios de connexion communs et le type d’utilisation pour chacun d’eux.
Scénarios d’utilisation du connecteur de réception
| Scénario du connecteur | Type d’utilisation | Comment |
|---|---|---|
Serveur de transport Edge recevant des messages d’Internet |
Internet |
Un connecteur de réception configuré pour accepter le courrier électronique de tous les domaines est créé automatiquement lors de l’installation du rôle serveur de transport Edge. |
Serveur de transport Hub recevant des messages d’Internet |
Internet |
Cette configuration est déconseillée. Pour plus d’informations, consultez la rubrique Configurer le flux de messagerie sur Internet directement à l’aide d’un serveur de transport Hub. |
Serveur de transport Edge recevant des messages d’un serveur tête de pont Exchange Server 2003 |
Interne |
Dans ce scénario, le serveur tête de pont Exchange 2003 est configuré pour utiliser le serveur de transport Edge comme hôte actif pour un connecteur d’envoi. |
Serveur de transport Hub recevant des dépôts de courrier électronique d’une application cliente utilisant POP3 ou IMAP4 |
Client |
Ce connecteur de réception est créé automatiquement sur chaque serveur de transport Hub lors de l’installation du rôle. Par défaut, ce connecteur de réception est configuré pour recevoir du courrier électronique via le port TCP 587. |
Serveur de transport Hub recevant des messages d’un serveur de transport Hub |
Interne |
Il n’est pas nécessaire de configurer les connecteurs de réception entre les serveurs de transport Hub au sein d’une même organisation. Ce type d’utilisation permet de configurer un connecteur de réception inter-forêts. |
Serveur de transport Hub recevant des messages d’un serveur tête de pont Exchange 2003 dans la même forêt |
Interne |
Cette configuration est facultative. Le transport entre un serveur Exchange 2010 et des versions antérieures d’Exchange s’accomplit au moyen de connecteurs de groupe de routage bidirectionnels. Si vous créez des connecteurs SMTP à des groupes de routage Exchange 2003, un connecteur de groupe de routage doit également exister. Pour plus d’informations, consultez la rubrique Créer des connecteurs de groupe de routage supplémentaires à partir d'Exchange 2010 vers Exchange 2003. |
Serveur de transport Edge recevant des messages d’un serveur de transport Hub |
Interne |
Un connecteur de réception configuré pour accepter le courrier électronique de tous les domaines est créé automatiquement lors de l’installation du rôle serveur de transport Edge. Vous pouvez créer un autre connecteur et le configurer pour recevoir uniquement des messages de l’organisation Exchange. |
Connecteur de réception inter-forêts pour un serveur de transport Hub dans une seule forêt recevant des messages électroniques d’un serveur de transport Hub situé dans une seconde forêt |
Personnalisé |
Pour obtenir la procédure de configuration détaillée, consultez la rubrique Configurer des connecteurs inter-forêts. |
Connecteur de réception inter-forêts pour un serveur de transport Hub dans une seule forêt recevant du courrier électronique d’un serveur tête de pont Exchange 2003 situé dans une deuxième forêt |
Personnalisé |
Pour obtenir la procédure de configuration détaillée, consultez la rubrique Configurer des connecteurs inter-forêts. |
Serveur de transport Hub recevant des messages d’un agent de transfert de messages (MTA) tiers |
Interne |
Spécifiez la plage d’adresses IP à partir de laquelle des messages sont acceptés et définissez le mécanisme d’authentification soit sur Authentification de base, soit sur Sécurisé de l’extérieur. |
Serveur de transport Edge recevant des messages d’un agent de transfert de messages tiers |
Personnalisé |
La cmdlet Add-ADPermission permet de définir les droits étendus. Spécifiez la plage d’adresses IP à partir de laquelle des messages sont acceptés et définissez le mécanisme d’authentification sur Authentification de base. Vous pouvez également sélectionner le type d’utilisation interne et définir la méthode d’authentification Sécurisé de l’extérieur. Si vous sélectionnez cette option, aucune configuration d’autorisations supplémentaires n’est requise. |
Serveur de transport Edge recevant des messages d’un domaine de relais externe |
Personnalisé |
Le serveur de transport Edge peut accepter des messages d’un domaine de relais externe, puis relayer vers le domaine du destinataire. Spécifiez la plage d’adresses IP à partir de laquelle les messages sont acceptés, configurez le mécanisme d’authentification approprié, puis utilisez la cmdlet Add-ADPermission pour définir les droits étendus. |
Serveur de transport Edge recevant des messages d’un domaine pour lequel vous avez établi une authentification TLS mutuelle |
Partenaire |
L’authentification TLS mutuelle ne fonctionne correctement que si les conditions suivantes sont vraies :
Pour plus d’informations, consultez la rubrique Set-ReceiveConnector. |
Serveur de transport Edge recevant des connexions d’un serveur de services Microsoft Exchange hébergés |
Personnalisé |
Le serveur de services Exchange hébergés peut agir comme un serveur faisant autorité à l’extérieur. Pour sélectionner le mécanisme d’authentification Sécurisé de l’extérieur, utilisez la cmdlet Set-ReceiveConnector pour définir le paramètre PermissionGroup sur |
Serveur de transport Hub recevant des connexions d’un serveur de services Exchange hébergés |
Personnalisé |
Le serveur de services Exchange hébergés peut agir comme un serveur faisant autorité à l’extérieur. Pour sélectionner le mécanisme d’authentification Sécurisé de l’extérieur, utilisez la cmdlet Set-ReceiveConnector pour définir le paramètre PermissionGroup sur |
Autorisations du connecteur de réception
Les autorisations du connecteur de réception sont attribuées à des principaux de sécurité lorsque vous spécifiez les groupes d’autorisations pour le connecteur. Quand un principal de sécurité établit une session avec un connecteur de réception, les autorisations du connecteur de réception déterminent si la session est acceptée et la manière dont les messages reçus sont traités. Le tableau suivant décrit les autorisations qui peuvent être affectées sur un connecteur de réception à des principaux de sécurité. Vous pouvez définir les autorisations du connecteur de réception à l’aide de la console de gestion Exchange ou du paramètre PermissionGroups avec la cmdlet Set-ReceiveConnector dans l’environnement de ligne de commande. Pour modifier les autorisations par défaut d’un connecteur de réception, vous pouvez également utiliser la cmdlet Add-ADPermission.
Autorisations du connecteur de réception
| Autorisation du connecteur de réception | Description |
|---|---|
ms-Exch-SMTP-Submit |
La session doit recevoir cette autorisation, sans quoi elle ne peut pas soumettre de messages à ce connecteur de réception. Si une session ne dispose pas de cette autorisation, les commandes MAIL FROM et AUTH échouent. |
ms-Exch-SMTP-Accept-Any-Recipient |
Cette autorisation permet à la session de relayer des messages via ce connecteur. Si cette autorisation n’est pas octroyée, seuls les messages adressés à des destinataires dans des domaines acceptés sont réceptionnés par ce connecteur. |
ms-Exch-SMTP-Accept-Any-Sender |
Cette autorisation permet à la session d’ignorer le contrôle d’usurpation d’adresse de l’expéditeur. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Cette autorisation permet aux expéditeurs ayant des adresses de messagerie dans des domaines faisant autorité d’établir une session sur ce connecteur de réception. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Cette autorisation permet aux serveurs Exchange 2003 d’envoyer des messages d’expéditeurs internes. Exchange 2010 reconnaît les messages comme internes. L’expéditeur peut déclarer le message comme approuvé. Les messages qui parviennent à votre système Exchange au moyen de dépôts anonymes sont relayés dans votre organisation Exchange avec cet indicateur dans un état non approuvé. |
ms-Exch-Accept-Headers-Routing |
Cette autorisation permet à la session de soumettre un message dont tous les en-têtes de réception sont intacts. Si cette autorisation n’est pas octroyée, le serveur supprime tous les en-têtes reçus. |
ms-Exch-Accept-Headers-Organization |
Cette autorisation permet à la session de soumettre un message dont tous les en-têtes d’organisation sont intacts. Les en-têtes d’organisation commencent tous par X-MS-Exchange-Organization-. Si cette autorisation n’est pas octroyée, le serveur de réception supprime tous les en-têtes d’organisation. |
ms-Exch-Accept-Headers-Forest |
Cette autorisation permet à la session de soumettre un message dont tous les en-têtes de forêt sont intacts. Les en-têtes de forêt commencent tous par X-MS-Exchange-Forest-. Si cette autorisation n’est pas octroyée, le serveur de réception supprime tous les en-têtes de forêt. |
ms-Exch-Accept-Exch50 |
Cette autorisation permet à la session de soumettre un message contenant la commande XEXCH50. Cette commande est nécessaire pour assurer l’interopérabilité avec Exchange 2003. La commande XEXCH50 contient des données, telles que le seuil de probabilité de courrier indésirable (SCL) d’un message. |
ms-Exch-Bypass-Message-Size-Limit |
Cette autorisation permet à la session de soumettre un message dont la taille dépasse la valeur de restriction de taille de message configurée pour le connecteur. |
Ms-Exch-Bypass-Anti-Spam |
Cette autorisation permet à la session d’ignorer le filtrage du courrier indésirable. |
Paramètres du réseau local
Dans la console de gestion Exchange, vous pouvez utiliser les paramètres du réseau local d’un connecteur de réception pour spécifier l’adresse IP et le port via lesquels le serveur de transport accepte les connexions. Dans l’environnement de ligne de commande, utilisez le paramètre Bindings pour spécifier l’adresse IP et le port locaux du serveur de transport via lesquels le connecteur de réception accepte les connexions. Ces paramètres lie le connecteur de réception à une carte réseau et un port TCP particuliers sur le serveur de transport.
Par défaut, un connecteur de réception est configuré pour utiliser toutes les cartes réseau disponibles et le port TCP 25. Si un serveur de transport comporte plusieurs cartes réseau, vous pouvez juger nécessaire qu’il soit lié à une carte réseau particulière ou qu’il accepte des connexions via un autre port. Par exemple, vous pouvez configurer un connecteur de réception sur le serveur de transport Edge pour accepter des connexions anonymes via la carte réseau externe. Vous pouvez configurer un deuxième connecteur de réception afin qu’il n’accepte des connexions que de serveurs de transport Hub via la carte réseau interne.
| Remarque : |
|---|
| Si vous décidez de lier un connecteur de réception à une adresse IP locale spécifique, celle-ci doit être valide pour le serveur de transport Hub ou Edge sur lequel le connecteur de réception se trouve. Si vous spécifiez une adresse IP locale non valide, il est possible que le redémarrage du service de transport Microsoft Exchange échoue. Au lieu de lier le connecteur de réception à une adresse IP spécifique, vous pouvez le lier à toutes les adresses IP disponibles sur le serveur de transport Hub ou Edge. |
Spécifiez l’adresse IP de la carte réseau lorsque vous configurez les liaisons du connecteur de réception. Si le connecteur de réception est configuré pour accepter des connexions via un port autre que le port par défaut, le client ou le serveur expéditeur doit être configuré pour envoyer à ce port et tous les pare-feu entre l’expéditeur du message et le serveur récepteur doivent autoriser un trafic réseau via ce port.
La page Paramètres du réseau local de l’Assistant Nouveau connecteur de réception SMTP dans la console de gestion Exchange inclut l’option Spécifiez le nom de domaine complet fourni par ce connecteur en réponse à HELO ou EHLO. Dans l’environnement de ligne de commande, cette propriété est définie à l’aide du paramètre Fqdn avec la cmdlet Set-ReceiveConnector. Une fois une session SMTP établie, une conversation de protocole SMTP commence entre le serveur de messagerie expéditeur et un serveur de messagerie récepteur. Le serveur ou le client de messagerie expéditeur envoie la commande SMTP EHLO ou HELO et son nom de domaine complet (FQDN) au serveur récepteur. En réponse, le serveur récepteur envoie un code de réussite et fournit son propre FQDN. Dans Exchange 2010, vous pouvez personnaliser le nom de domaine complet fourni par le serveur récepteur si vous configurez cette propriété sur un connecteur de réception. La valeur de nom de domaine complet s’affiche pour les serveurs de messagerie connectés chaque fois qu’un nom de serveur de destination est requis, comme dans les exemples suivants :
Dans la bannière SMTP par défaut du connecteur de réception
Dans le champ d’en-tête
Received:le plus récent du message entrant lors de l’arrivée de celui-ci sur le serveur de transport Hub ou EdgeDurant l’authentification TLS
| Remarque : |
|---|
| Ne modifiez pas la valeur du nom de domaine complet sur le connecteur de réception par défaut « <Nom de serveur> » qui est créé automatiquement sur les serveurs de transport Hub. Si votre organisation Exchange compte plusieurs serveurs de transport Hub et que vous modifiez la valeur du nom de domaine complet sur le connecteur de réception « <Nom de serveur> » par défaut, le flux de messagerie interne entre les serveurs de transport Hub échouera. |
Paramètres du réseau distant
Dans la console de gestion Exchange, vous pouvez utiliser les paramètres du réseau distant d’un connecteur de réception pour spécifier les plages d’adresses IP à partir desquelles ce connecteur de réception accepte des connexions. Dans l’environnement de ligne de commande, vous pouvez utiliser le paramètre RemoteIPRanges pour spécifier les plages d’adresses IP à partir desquelles ce connecteur de réception accepte des connexions. Par défaut, des connecteurs de réception sont créés sur les serveurs de transport Hub et Edge, qui autorisent les connexions à partir de 0.0.0.0-255 255 255 255 ou de toute adresse IP.
| Remarque : |
|---|
| Dans Exchange 2010, la plage d’adresses IPv6, 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 existe également dans les connecteurs de réception par défaut sur un serveur de transport Hub. |
Si vous configurez un connecteur de réception pour un scénario spécifique, définissez les paramètres de réseau distant uniquement sur les adresses IP des serveurs qui doivent recevoir les autorisations et les paramètres de configuration pour le connecteur de réception. Plusieurs connecteurs de réception peuvent avoir des plages d’adresses IP distantes qui se chevauchent aussi longtemps qu’une plage est complètement chevauchée par une autre. Lorsque des plages d’adresses IP distantes se chevauchent, la plage d’adresses IP distante qui correspond le mieux à l’adresse IP du serveur de connexion est utilisée.
L’adresse ou la plage d’adresses IP pour les serveurs distants dont le connecteur de réception accepte les connexions entrantes est entrée dans l’un des formats suivants :
Adresse IP 192.168.1.1
Plage d’adresses IP 192.168.1.10-192.168.1.20
Adresse IP avec masque de sous-réseau 192.168.1.0(255.255.255.0)
Adresse IP avec masque de sous-réseau avec une notation CIDR (Routage inter-domaines sans classe) 192.168.1.0/24
Paramètres d’authentification du connecteur de réception
Dans la console de gestion Exchange, vous utilisez les paramètres d’authentification d’un connecteur de réception pour spécifier les mécanismes d’authentification qui sont pris en charge par le serveur de transport Exchange 2010. Dans l’environnement de ligne de commande, vous utilisez le paramètre AuthMechanisms pour spécifier les mécanismes d’authentification pris en charge. Vous pouvez configurer plusieurs mécanismes d’authentification pour un connecteur de réception. Pour connaître les mécanismes d’authentification qui sont automatiquement configurés pour chaque type d’utilisation, consultez le tableau intitulé « Types d’utilisation du connecteur de réception » plus haut dans cette rubrique. Le tableau suivant présente les mécanismes d’authentification disponibles pour un connecteur de réception.
Mécanismes d’authentification du connecteur de réception
| Mécanisme d’authentification | Description |
|---|---|
Aucun |
Pas d’authentification. |
TLS |
Annoncer STARTTLS. Requiert de disposer d’un certificat de serveur pour offrir TLS. |
Intégré |
NTLM et Kerberos (authentification Windows intégrée) |
BasicAuth |
Authentification de base. Requiert une ouverture de session authentifiée. |
BasicAuthRequireTLS |
Authentification de base sur TLS. Requiert un certificat de serveur. |
ExchangeServer |
Authentification Exchange Server (interface GSSAPI et interface GSSAPI mutuelle). |
ExternalAuthoritative |
La connexion est considérée comme sécurisée de l’extérieur à l’aide d’un mécanisme de sécurité externe à Exchange. La connexion peut être une association IPSec (Internet Protocol Security) ou un réseau privé virtuel (VPN). De la même façon, les serveurs peuvent résider dans un réseau contrôlé physiquement approuvé. La méthode d’authentification |
Propriétés du connecteur de réception supplémentaires
La configuration de propriété pour un connecteur de réception définit la manière dont des messages électroniques sont reçus via ce connecteur. Certaines propriétés ne sont pas disponibles dans la console de gestion Exchange. Pour plus d’informations sur les propriétés pouvant être configurées à l’aide de l’environnement de ligne de commande, consultez la rubrique Set-ReceiveConnector.
Utilisation d’un connecteur de réception pour le relais anonyme
Le relais anonyme sur les serveurs de messagerie SMTP Internet constitue un grave problème de sécurité pouvant être exploité par des expéditeurs de messages électroniques commerciaux non sollicités ou de courrier indésirable pour masquer la source de leurs messages. Par conséquent, des restrictions sont placées sur les serveurs de messagerie Internet pour empêcher le relais de destinations non autorisées.
Dans Exchange 2010, le relais est généralement géré à l’aide de domaines acceptés. Les domaines acceptés sont configurés sur le serveur de transport Edge ou le serveur de transport Hub. Les domaines acceptés sont classés comme des domaines de relais internes ou externes. Pour plus d’informations sur les domaines acceptés, consultez la rubrique Présentation des domaines acceptés.
Vous pouvez également restreindre le relais anonyme selon la source des messages entrants. Cette méthode est utile lorsqu’une application ou un serveur de messagerie non authentifié doit utiliser un serveur de transport Hub ou un serveur de transport Edge comme serveur de relais.
Lorsque vous créez un connecteur de réception configuré pour autoriser le relais anonyme, vous devez placer les restrictions suivantes sur le connecteur de réception :
Paramètres du réseau local Placez des restrictions sur le connecteur de réception afin qu’il écoute uniquement sur la carte réseau appropriée du serveur de transport Hub ou du serveur de transport Edge.
Paramètres du réseau à distance Placez des restrictions sur le connecteur de réception pour qu’il accepte des connexions provenant du ou des serveurs spécifiés uniquement. Cette restriction est nécessaire, car le connecteur de réception est configuré pour accepter le relais d’utilisateurs anonymes. La restriction des serveurs sources par l’adresse IP est la seule mesure de protection autorisée sur ce connecteur de réception.
Pour attribuer l’autorisation de relais aux utilisateurs anonymes sur le connecteur de réception, vous pouvez utiliser l’une des stratégies décrites plus loin dans cette rubrique. Chaque stratégie présente des avantages et des inconvénients. Pour des instructions détaillées sur les deux approches, consultez la rubrique Autoriser le relais anonyme sur un connecteur de réception.
Octroi de l’autorisation de relais aux connexions anonymes
Cette stratégie implique les tâches suivantes :
Création d’un connecteur de réception dont le type d’utilisation est défini sur
Custom.Ajout du groupe Autorisation anonyme au connecteur de réception.
Attribution de l’autorisation de relais au principal de sécurité d’ouverture de session anonyme sur le connecteur de réception.
Le groupe Autorisation anonyme octroie les autorisations suivantes au principal de sécurité Ouverture de session anonyme sur le connecteur de réception :
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Pour autoriser le relais anonyme sur ce connecteur de réception, vous devez également octroyer l’autorisation suivante au principal de sécurité Ouverture de session anonyme sur le connecteur de réception :
- Ms-Exch-SMTP-Accept-Any-Recipient
Cette stratégie présente l’avantage d’octroyer les autorisations minimales requises pour le relais aux adresses IP distantes spécifiées.
Elle comporte par ailleurs les inconvénients suivants :
Des étapes de configuration supplémentaires sont essentielles pour attribuer les autorisations nécessaires.
Les messages provenant des adresses IP spécifiées sont considérés comme des messages anonymes. Par conséquent, les messages sont soumis aux vérifications anti-courrier indésirable et de limite de taille de message et les expéditeurs anonymes ne peuvent pas être résolus. Le processus de résolution des expéditeurs anonymes entraîne une tentative de mise en correspondance entre l’adresse de messagerie de l’expéditeur anonyme et le nom complet correspondant dans la liste d’adresses globale.
Configuration du connecteur de réception comme sécurisé de l’extérieur
Cette stratégie implique les tâches suivantes :
Création d’un connecteur de réception dont le type d’utilisation est défini sur
Custom.Ajout du groupe d’autorisations ExchangeServers au connecteur de réception.
Ajout du mécanisme d’authentification
ExternalAuthoritativeau connecteur de réception.
Le groupe d’autorisations ExchangeServers est requis lorsque vous sélectionnez le mécanisme d’authentification ExternalAuthoritative. Cette combinaison de la méthode d’authentification et du groupe d’autorisations octroie les autorisations suivantes à toute connexion entrante autorisée sur le connecteur de réception :
Ms-Exch-Accept-Headers-Routing
Ms-Exch-SMTP-Accept-Any-Sender
Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Ms-Exch-SMTP-Submit
Ms-Exch-Accept-Exch50
Ms-Exch-Bypass-Anti-Spam
Ms-Exch-Bypass-Message-Size-Limit
Ms-Exch-SMTP-Accept-Any-Recipient
Ms-Exch-SMTP-Accept-Authentication-Flag
Cette stratégie comporte les avantages suivants :
Simplicité de configuration
Les messages provenant des adresses IP spécifiées sont considérés comme des messages authentifiés. Les messages ne sont pas soumis aux vérifications anti-courrier indésirable et de limite de taille de message et peuvent résoudre les expéditeurs anonymes.
L’inconvénient de cette stratégie est que les adresses IP distantes sont considérées comme totalement fiables. Les autorisations attribuées aux adresses IP distantes permettent au serveur de messagerie distant de remettre les messages comme s’ils provenaient d’expéditeurs internes à votre organisation Exchange.
Nouveautés dans Exchange 2010 Service Pack 1
Dans Exchange Server 2010 Service Pack 1 (SP1), une nouvelle fonctionnalité à été ajoutée aux connecteurs de réception. Cette section présente une vue d’ensemble de ces nouvelles fonctionnalités.
Contrôle de sauts de ligne
Lorsqu’un serveur de messagerie établit une session SMTP, il émet des commandes SMTP pour envoyer des messages. Après avoir spécifié les données de l’expéditeur et du destinataire, le serveur d’envoi transmet le contenu du message à l’aide de la commande DATA. Le contenu transmis après l’émission de la commande DATA est appelé flux de données. Le flux de données se termine par une séquence spéciale de caractères : un retour chariot/retour à la ligne (CRLF) suivi d’un point puis d’un autre retour chariot/retour à la ligne.
Les caractères retour à la ligne (LF) qui ne sont pas immédiatement précédés d’un retour chariot (CR) sont également appelés sauts de ligne. Les sauts de ligne simples ne sont pas autorisés dans les communications SMTP. Bien qu’il soit possible pour un message contenant un saut de ligne simple d’être remis comme il se doit, de tels messages ne répondent pas aux normes de protocole SMTP et peuvent causer des problèmes avec les serveurs de messagerie.
Dans Exchange 2010 SP1, vous pouvez configurer des connecteurs de réception pour rejeter tous les messages qui contiennent des sauts de ligne dans leur flux de données. Ce comportement est contrôlé par le paramètre BareLineFeedRejectionEnabled de la cmdlet Set-ReceiveConnector. Ce paramètre est, par défaut, désactivé afin de maintenir une compatibilité ascendante. Pour plus d’informations sur la configuration de ce paramètre, voir la rubrique Set-ReceiveConnector.
Fonctionnalité Protection étendue
Windows inclut la liaison de canaux pour protéger l’authentification NTLM par le biais de canaux chiffrés des attaques du relais d’authentification. Dans Exchange 2010, tous les services fournis par Exchange ont été mis à jour de façon à prendre en charge la protection étendue de l’authentification. Pour prendre en charge cette fonctionnalité dans le transport, les connecteurs de réception ont été mis à jour. Vous pouvez autoriser, exiger ou désactiver la protection étendue de l’authentification sur vos connecteurs de réception.
Vous pouvez utiliser les paramètres ExtendedProtectionPolicy et ExtendedProtectionTlsTerminatedAtProxy de la cmdlet Set-ReceiveConnector pour contrôler la manière dont vos serveurs de transport gèrent la protection étendue. Vous pouvez configurer un connecteur de réception pour autoriser ou exiger la protection étendue. Lorsque vous configurez un connecteur de réception pour exiger la protection étendue, toutes les connexions entrantes des hôtes qui ne prennent pas en charge la protection étendue seront rejetées. Pour maintenir la comptabilité ascendante, la protection étendue est désactivée, par défaut. Pour en savoir plus sur la configuration de la protection étendue sur vos connecteurs de réception, voir la rubrique Set-ReceiveConnector.
Pour en savoir plus sur la protection étendue, consultez les ressources suivantes :
Article 973811 de la Base de connaissances Microsoft, Avis de sécurité Microsoft : Protection étendue de l’authentification.
Rubrique de la bibliothèque MSDN, Integrated Windows Authentication with Extended Protection
© 2010 Microsoft Corporation. Tous droits réservés.