Fonctionnalités de transport et de flux de messages d'Exchange Server 2003

  • Article

 

Dernière rubrique modifiée : 2006-05-02

Microsoft® Exchange Server 2003 comporte de nouvelles fonctionnalités et fonctions destinées à améliorer le transport et le flux de messages. Cette rubrique explique :

  • Améliorations de l'état des liens
    Cette section explique dans quelle mesure les améliorations de l'état des liens réduit la quantité d'informations relatives à celui-ci répliquée dans l'organisation Exchange, ce qui permet d'améliorer les performances.
  • Configuration de l'authentification entre forêts
    Comme Exchange 2003 empêche l'usurpation ou la falsification d'adresses électroniques, l'authentification entre forêts nécessite un travail préalable de configuration. Cette section explique comment activer l'authentification entre forêts.
  • Assistant Messagerie Internet
    Exchange 2003 propose une nouvelle version de l'Assistant Messagerie Internet pour vous guider lors de la configuration de la remise des messages électroniques dans votre organisation. Cette section traite de l'utilisation de l'Assistant dans la configuration de la remise des messages électroniques.
  • Codes et enregistrement des diagnostics pour la notification d'état de remise
    Exchange 2003 propose l'enregistrement des diagnostics pour la notification d'état de remise (DSN, Delivery Status Notification) et met en œuvre un certain nombre de nouveaux codes DSN. Cette section traite de la configuration de l'enregistrement des diagnostics DSN et explique les nouveaux codes DSN disponibles dans Exchange 2003.
  • Prise en charge du déplacement des répertoires de files d'attente X.400 (MTA) et SMTP
    Exchange 2003 permet d'utiliser le Gestionnaire système Exchange afin de déplacer les répertoires de stockage des données des files d'attente SMTP et X.400. Cette section explique comment déplacer votre répertoire de file d'attente à l'aide du Gestionnaire système Exchange.
  • Filtrage des connexions
    Exchange 2003 prend en charge le filtrage des connexions en fonction de listes d'interdiction. Cette section traite du fonctionnement du filtrage des connexions et de sa configuration sur votre serveur Exchange.
  • Filtrage des destinataires
    Exchange 2003 prend également en charge le filtrage des destinataires, permettant ainsi de filtrer les messages électroniques adressés aux utilisateurs qui n'appartiennent pas au service d'annuaire Microsoft Active Directory® ou les messages électroniques publicitaires non sollicités.
  • Nouveauté de SP2 : Filtrage des ID expéditeur
    Dans Exchange Server 2003 SP2, vous pouvez utiliser les fonctions de filtrage des ID expéditeur. Les ID expéditeur représentent une initiative du secteur de la messagerie électronique qui permet d'assurer plus de protection contre les messages publicitaires non sollicités et le phishing. Les ID expéditeur permettent notamment d'éviter l'usurpation de domaine.
  • Nouveauté de SP2 : Filtrage de messages intelligent
    Dans Exchange Server 2003 SP2, le filtrage de messages intelligent est désormais actif lorsque vous installez Exchange Server 2003 SP2.
  • Mise en place de filtres
    Cette section explique comment des filtres et des restrictions sont appliqués lors d'une session SMTP.
  • Nouvelles possibilités pour limiter les envois vers un serveur virtuel SMTP
    Cette section explique comment restreindre des envois basés sur des groupes de sécurité dans Exchange 2003.
  • Nouvelles possibilités pour limiter les relais sur un serveur virtuel SMTP
    Cette section explique comment restreindre des relais basés sur des groupes de sécurité dans Exchange 2003.

Exchange 2003 offre également les autres fonctionnalités suivantes, qui améliorent le transport et le flux du courrier :

  • Un nouveau type de groupe de distribution, appelé groupe de distribution fondé sur une requête, vous permet d'utiliser une requête LDAP pour créer des membres de manière dynamique dans les groupes de distribution. Pour plus d'informations, voir les sections « Groupes de distribution fondés sur une requête » et « Suivi des messages amélioré » de la rubrique Fonctionnalités d'administration dans Exchange Server 2003.
  • Vous pouvez déterminer qui peut envoyer des messages électroniques à une liste de distribution. Pour plus d'informations, voir la section sur la capacité améliorée de limiter les envois aux utilisateurs et aux listes de distribution (listes de distribution restreintes) de la rubrique Fonctionnalités d'administration dans Exchange Server 2003.
  • Vous pouvez désormais effectuer le suivi des messages après la catégorisation (la phase où les utilisateurs sont recherchés et où les groupes de distribution sont développés sous la forme de destinataires individuels) et au cours de la procédure de routage. Vous pouvez également utiliser le Gestionnaire système Exchange pour déplacer des journaux de suivi de messages. Pour plus d'informations, voir la section « Suivi des messages amélioré » de la rubrique Fonctionnalités d'administration dans Exchange Server 2003.
  • Améliorations de l'Afficheur des files d'attente. L'affichage d'un plus grand nombre de files d'attente a pour but de faciliter l'identification des problèmes de flux du courrier. Pour plus d'informations, voir la section « Améliorations de l'Afficheur des files d'attente » de la rubrique Fonctionnalités d'administration dans Exchange Server 2003.
  • La fonctionnalité d'archivage disponible sur une banque de boîtes aux lettres permet d'archiver tous les destinataires, y compris ceux de la ligne Cci. Pour plus d'informations, voir la section « Ajout des destinataires Cci dans les messages archivés » de la rubrique Fonctionnalités d'administration dans Exchange Server 2003.

Améliorations de l'état des liens

À l'aide du routage de l'état des liens, Exchange détermine la meilleure méthode d'envoi des messages entre serveurs, en fonction de l'état actuel de la connectivité et du coût de messagerie. Si aucun chemin secondaire n'existe ou si la connexion est oscillante (c'est-à-dire si elle est disponible et indisponible par intermittence), Exchange 2003 améliore la communication des informations sur l'état des liens. Plus précisément, Exchange 2003 réduit le trafic de l'état des liens en tentant de déterminer si l'état du connecteur oscille ou si aucun autre chemin n'existe ; si l'une ou l'autre condition est vérifiée, Exchange supprime les informations sur l'état des liens.

Amélioration de la disponibilité de l'état des liens

Dans Exchange 2003, même si aucun autre chemin n'existe pour un lien, l'état des liens est toujours signalé comme en service. Exchange n'affecte plus l'état des liens indisponible si aucun autre chemin n'existe. En revanche, Exchange place simplement le courrier en file d'attente pour l'envoyer lorsque la route devient disponible. Cette modification améliore les performances en réduisant la propagation des informations sur l'état des liens.

Améliorations de l'état des liens pour les connexions oscillantes

Une autre amélioration notable du routage de l'état des liens concerne la gestion des connexions oscillantes dans Exchange 2003. Exchange 2003 inspecte la file d'attente de l'état des liens ; s'il détecte plusieurs modifications en conflit dans un intervalle donné pour un connecteur, ce dernier est assimilé à une connexion oscillante et son état des liens reste en service. Il est préférable de laisser un connecteur oscillant en service que de modifier continuellement l'état des liens. Ceci réduit le trafic d'état des liens répliqué entre serveurs.

Configuration de la collaboration de messagerie SMTP entre forêts

Exchange 2003 empêche l'usurpation de noms, ou la falsification d'identités, en exigeant une authentification avant de convertir le nom de l'expéditeur résolu en nom affiché dans la liste d'adresses globale. Par conséquent, dans une organisation qui couvre deux forêts, un utilisateur qui envoie des messages d'une forêt à l'autre n'est pas authentifié. En outre, le nom de l'utilisateur n'est pas résolu en nom affiché dans la liste d'adresses globale, même si celui-ci existe en tant que contact dans la forêt de destination.

Pour permettre la collaboration de messagerie entre forêts dans Exchange 2003, des étapes de configuration supplémentaires sont requises pour résoudre les contacts situés hors de votre organisation en noms affichés dans Active Directory. Deux options s'offrent à vous pour activer la résolution de ces contacts :

  • Option 1 (recommandée)   Utilisez l'authentification pour que les utilisateurs qui envoient des messages d'une forêt à l'autre soient authentifiés et que leurs noms soient résolus en noms affichés dans la liste d'adresses globale.
  • Option 2   Limitez l'accès au serveur virtuel SMTP utilisé pour la collaboration entre forêts, puis configurez Exchange pour la résolution des messages électroniques anonymes. Cette configuration est prise en charge, mais déconseillée. Par défaut, dans cette configuration, les propriétés des messages Exch50, qui correspondent aux propriétés étendues d'un message, ne sont pas conservées en cas d'envoi de messages entre forêts.

Pour comprendre les avantages de la configuration de la collaboration de messagerie entre forêts, nous allons étudier les scénarios suivants d'envoi de courrier anonyme et d'envoi de courrier authentifié entre forêts.

Scénario : Envoi de messages anonymes

Les adresses de messagerie ne sont pas résolues si l'envoi est anonyme. Par conséquent, lorsqu'un utilisateur anonyme qui tente d'usurper l'identité d'un utilisateur interne envoie un message, l'adresse de retour n'est pas résolue en nom affiché dans la liste d'adresses globale.

Exemple :

Rosalie Mignon est une utilisatrice interne autorisée de la société Les Comptoirs. Dans la liste d'adresses globale, son nom affiché est Rosalie Mignon et son adresse électronique, rosalie@lescomptoirs.com.

Pour pouvoir envoyer des messages, Rosalie doit être authentifiée. Grâce à l'authentification, les destinataires des messages de Rosalie savent qu'elle en est l'expéditrice. En outre, les propriétés affichées pour Rosalie Mignon sont celles de l'entrée correspondante dans la liste d'adresses globale. Toutefois, si Pierre Lopez tente d'usurper l'adresse de Rosalie en entrant rosalie@lescomptoirs.com dans la ligne De et en envoyant le message au serveur Exchange 2003 de la société Les Comptoirs, l'adresse de messagerie ne sera pas résolue en nom affiché de Rosalie, car Pierre ne s'est pas authentifié. Par conséquent, lorsque ce message électronique s'affiche dans Microsoft Office Outlook®, l'adresse de l'expéditeur indique rosalie@lescomptoirs.com et non Rosalie Mignon, comme ce serait le cas avec le courrier authentifié provenant de Rosalie.

Scénario : Remise des messages entre forêts

Prenez l'exemple d'une société qui utilise deux forêts : la forêt Adatum et la forêt Fabrikam. Ces forêts possèdent chacune un domaine, adatum.com et fabrikam.com, respectivement. Pour permettre la collaboration de messagerie entre forêts, tous les utilisateurs de la forêt Adatum sont représentés comme contacts dans l'annuaire Active Directory de la forêt Fabrikam. De même, tous les utilisateurs de la forêt Fabrikam sont représentés en tant que contacts dans l'annuaire Active Directory de la forêt Adatum.

Si un utilisateur de la forêt Adatum envoie un message vers la forêt Fabrikam via une connexion anonyme, l'adresse de l'expéditeur n'est pas résolue, bien que celui-ci figure en tant que contact dans l'annuaire Active Directory et dans la liste d'adresses globale Outlook. Ceci est dû au fait que l'utilisateur de la forêt Adatum n'est pas un utilisateur authentifié de la forêt Fabrikam.

Exemple :

Rosalie Mignon est une utilisatrice de messagerie dans la forêt Adatum, son adresse électronique est rosalie@adatum.com et son nom affiché dans la liste d'adresses globale Outlook est Rosalie Mignon. Bernard Guyot est un utilisateur de la forêt Fabrikam, son adresse électronique est bernard@fabrikam.com et son nom affiché dans la liste d'adresses globale Outlook est Bernard Guyot. Bernard est représenté en tant que contact Active Directory dans la forêt Adatum ; par conséquent, Rosalie peut voir l'adresse électronique de Bernard et la résoudre en nom affiché figurant dans la liste d'adresses globale Outlook, à savoir Bernard Guyot. Lorsque Bernard reçoit un message de Rosalie, l'adresse de cette dernière n'est pas résolue ; Bernard ne voit pas s'afficher le nom affiché de Rosalie tel qu'il figure dans la liste d'adresses globale, il voit en fait son adresse électronique non résolue, c'est-à-dire rosalie@adatum.com. Dans la mesure où Rosalie envoie du courrier en tant qu'utilisateur anonyme, son adresse électronique n'est pas résolue. Bien que Rosalie soit authentifiée lors de l'envoi de messages, la connexion n'est pas authentifiée entre les deux forêts.

Pour que les utilisateurs d'une forêt puissent envoyer du courrier à des utilisateurs d'autres forêts et que leurs adresses électroniques soient résolues en noms affichés dans la liste d'adresses globale, vous devez activer la collaboration de messagerie entre forêts. Les sections suivantes décrivent les deux options disponibles pour la configuration de cette collaboration entre deux forêts.

Activation de l'authentification entre forêts

Pour activer l'authentification SMTP entre forêts, vous devez créer des connecteurs dans chaque forêt qui utilisent un compte authentifié de l'autre forêt. Ainsi, tout message électronique envoyé d'une forêt à l'autre par un utilisateur authentifié est résolu en nom affiché approprié de la liste d'adresses globale. Cette section décrit la procédure d'activation de l'authentification entre forêts.

À l'aide de l'exemple basé sur les forêts Adatum et Fabrikam (voir le scénario sur la remise du courrier entre forêts dans la section précédente), procédez comme suit pour activer l'authentification entre forêts :

  1. Créez dans la forêt Fabrikam un compte qui dispose des autorisations Envoyer en tant que. Rappelons que pour chaque utilisateur de la forêt Adatum existe un contact correspondant dans la forêt Fabrikam. Ce compte permet donc aux utilisateurs Adatum d'envoyer du courrier authentifié. Configurez ces autorisations sur tous les serveurs Exchange qui accepteront des messages entrants en provenance d'Adatum.
  2. Sur un serveur Exchange de la forêt Adatum, créez un connecteur qui exige une authentification en utilisant ce compte pour envoyer des messages sortants.

De la même façon, pour configurer l'authentification entre les forêts Fabrikam et Adatum, répétez ces étapes, en veillant à créer le compte dans Adatum et le connecteur dans Fabrikam. Pour obtenir des instructions détaillées, voir la section sur la procédure d'activation de l'authentification SMTP entre forêts dans le Guide de déploiement de Microsoft Exchange Server 2003.

Activation de la collaboration entre forêts par résolution du courrier anonyme

Pour permettre la résolution de contacts extérieurs à votre organisation en noms affichés dans Active Directory, vous pouvez également configurer la résolution de courrier électronique anonyme sur le serveur Exchange. Supposez que votre société utilise deux forêts, la forêt Adatum et la forêt Fabrikam.

importantImportant :
Autoriser la résolution des envois de courrier anonyme sur le serveur Exchange ouvre la porte aux messages électroniques avec adresse de retour falsifiée émanant d'utilisateurs malintentionnés. Les destinataires ne sont pas en mesure de différencier le courrier authentique du courrier falsifié. Pour réduire ce risque, veillez à limiter l'accès du serveur virtuel SMTP aux adresses IP de vos serveurs Exchange.

Pour activer la résolution de contacts des utilisateurs Adatum en noms affichés dans la forêt Fabrikam, procédez comme suit :

  1. Créez un connecteur dans la forêt Adatum qui se connecte à la forêt Fabrikam.
  2. Sur le serveur tête de pont de réception de la forêt Fabrikam, limitez l'accès au serveur virtuel SMTP en fonction de l'adresse IP. En procédant ainsi, vous êtes assuré que seuls les serveurs de la forêt Adatum peuvent envoyer du courrier à ce serveur.
  3. Sur le serveur virtuel SMTP hébergeant le connecteur, activez le paramètre Résoudre la messagerie anonyme.
  4. Modifiez une clé de Registre pour garantir que les propriétés de message étendues (propriétés Exch50) sont conservées entre les forêts. Dans le cas contraire, vous risquez de perdre des informations de message importantes.

À présent, tous les utilisateurs envoyant du courrier de la forêt Adatum à la forêt Fabrikam auront leur adresse électronique résolue en noms affichés dans la liste d'adresses globale Fabrikam. Répétez les points 1 à 3 pour la forêt Fabrikam.

Les procédures suivantes montrent comment :

  • configurer un connecteur dans la forêt Adatum pour se connecter à la forêt Fabrikam ;
  • limiter l'accès au serveur tête de pont de réception dans la forêt Fabrikam ;
  • activer la résolution de messages électroniques anonymes au niveau du serveur virtuel SMTP sur le serveur tête de pont de réception afin de résoudre les contacts Adatum dans la forêt Fabrikam.

Dans un environnement de production, répétez simplement ce processus pour configurer la résolution des contacts Fabrikam de la forêt Adatum.

Étape 1 : création d'un connecteur dans la forêt de connexion

Vous devez d'abord créer un connecteur dans la forêt de connexion. Pour obtenir des instructions détaillées, voir la rubrique Procédure de création d'un connecteur dans une forêt de connexion.

Pour obtenir des instructions détaillées sur la procédure de création du compte pour l'authentification entre forêts, voir la rubrique sur la procédure de création du compte utilisé pour l'authentification entre forêts dans le Guide de transport et de routage Exchange Server 2003.

Exchange utilisera désormais ce connecteur pour acheminer l'ensemble du courrier destiné à fabrikam.com (la forêt Fabrikam).

Étape 2 : limitation des adresses IP sur le serveur tête de pont de réception

Après avoir créé le connecteur dans la forêt Adatum (la forêt de connexion), vous devez limiter l'accès au serveur tête de pont de réception. Pour ce faire, n'autorisez que l'adresse IP des serveurs de connexion de la forêt Adatum à envoyer du courrier au serveur tête de pont de réception de la forêt Fabrikam.

Pour obtenir des instructions détaillées, voir la section sur la procédure de limitation de l'accès par adresse IP sur le serveur tête de pont de réception dans le Guide de transport et de routage Exchange Server 2003.

Étape 3 : résolution de courrier anonyme sur le serveur virtuel SMTP

Après avoir limité l'accès au serveur tête de pont de réception, vous devez configurer la résolution des adresses électroniques anonymes sur le serveur virtuel SMTP de ce serveur.

Pour obtenir des instructions détaillées, voir la section sur la procédure de configuration d'un serveur virtuel SMTP pour résoudre les adresses de messagerie anonymes dans le Guide de transport et de routage Exchange Server 2003..

Étape 4 : activation de la clé de Registre pour conserver les propriétés des messages entre forêts

Comme expliqué précédemment, lorsque des messages sont envoyés de façon anonyme entre des forêts, leurs propriétés étendues ne sont pas transmises. Lorsque des sociétés isolées implémentent un scénario entre forêts, les propriétés des messages doivent être transmises, car il est possible de perdre les informations relatives aux messages. Par exemple, la propriété Exchange étendue SCL indique le taux de contrôle d'accès de courrier non sollicité généré par des solutions tierces. Cette propriété n'est pas transmise lorsque le courrier est envoyé de façon anonyme. Si une solution tierce de blocage du courrier indésirable est déployée dans la forêt Adatum et qu'un message reçu dans cette forêt est destiné à un utilisateur de la forêt Fabrikam, la solution tierce alimente la propriété SCL du message ; cependant, lorsque le message est livré à la forêt Fabrikam, la propriété étendue contenant le contrôle d'accès disparaît.

Pour garantir la transmission de propriétés étendues entre forêts lors de l'envoi anonyme d'un message, vous devez activer une clé de Registre sur le serveur tête de pont de réception.

Pour configurer Exchange de sorte qu'il accepte les propriétés de message étendues, vous pouvez activer une clé de Registre sur le serveur tête de pont de réception ou sur le serveur virtuel SMTP qui réside sur ce serveur tête de pont. L'activation de la clé de Registre sur le serveur Exchange permet de configurer tous les serveurs virtuels SMTP hébergés sur ce dernier, afin qu'ils acceptent les propriétés étendues.

Configuration du serveur Exchange pour accepter des propriétés de message étendues lors des connexions anonymes

Utilisez la procédure suivante pour configurer le serveur Exchange afin d'accepter les propriétés étendues lors des connexions anonymes. Si votre serveur Exchange fonctionne uniquement en tant que serveur tête de pont pour les communications entre forêts, vous pouvez configurer ce paramètre au niveau du serveur. Si vous disposez d'autres serveurs virtuels SMTP sur ce serveur Exchange, songez à définir cette clé de Registre uniquement sur le serveur virtuel SMTP.

noteRemarque :
Si vous activez cette clé de Registre sur un serveur Exchange, le paramètre s'applique à l'ensemble des serveurs virtuels SMTP hébergés sur ce serveur Exchange. Pour configurer un seul serveur virtuel SMTP à l'aide de ce paramètre, activez la clé de Registre uniquement sur le serveur virtuel SMTP concerné.
CautionAttention :
Une modification incorrecte du Registre peut provoquer de graves problèmes dont la résolution peut impliquer la réinstallation du système d'exploitation. Les problèmes résultant d'une modification incorrecte du Registre peuvent même ne pas avoir de solution. Avant de modifier le Registre, sauvegardez toutes les données importantes.

Pour obtenir des instructions détaillées, voir la section sur la procédure d'activation d'un serveur Exchange pour accepter les propriétés de message étendues envoyées de façon anonyme dans le Guide de transport et de routage Exchange Server 2003.

Configuration d'un serveur virtuel SMTP pour accepter des propriétés de message étendues envoyées de façon anonyme

La procédure ci-dessous permet de configurer le serveur virtuel SMTP sur le serveur Exchange pour que celui-ci accepte les propriétés étendues lors de connexions anonymes.

Pour obtenir des instructions détaillées, voir la section sur la procédure d'activation d'un serveur virtuel SMTP pour accepter les propriétés de message étendues envoyées de façon anonyme dans le Guide de transport et de routage Exchange Server 2003.

Assistant Messagerie Internet

Dans Exchange Server 5.5, l'Assistant Messagerie Internet guidait les administrateurs à travers la procédure de configuration de la messagerie Internet. Exchange 2003 met en œuvre une version de l'Assistant Messagerie Internet pour permettre de configurer la connectivité de messagerie Internet avec Exchange 2000 Server ou Exchange Server 2003. L'Assistant Messagerie Internet est destiné principalement aux petites et moyennes entreprises ayant des environnements moins complexes que les sociétés plus importantes.

L'Assistant vous guide à travers la configuration de l'envoi et de la réception de courrier Internet sur votre serveur Exchange. Il crée le connecteur SMTP nécessaire au courrier Internet sortant et configure la prise en charge du courrier entrant sur votre serveur virtuel SMTP. Si vous avez déjà configuré des connecteurs SMTP ou créé des serveurs virtuels SMTP supplémentaires sur le serveur Exchange, l'Assistant Messagerie Internet ne pourra plus s'exécuter sauf si vous rétablissez la configuration du serveur par défaut.

noteRemarque :
L'Assistant Messagerie Internet ne permet pas de configurer la messagerie Internet pour les versions antérieures à Exchange 2000. Si des versions antérieures d'Exchange sont utilisées, les serveurs sont encore capables d'envoyer ou de recevoir du courrier Internet, mais vous ne pouvez pas configurer la messagerie Internet sur ces serveurs à l'aide de l'Assistant Messagerie Internet.

Lorsqu'il s'exécute, l'Assistant Messagerie Internet crée un fichier journal (Exchange Internet Mail Wizard.log) de toutes les modifications (réussies ou non) qu'il apporte à la configuration. L'Assistant enregistre ce fichier journal dans le dossier Mes documents de l'utilisateur sous lequel il s'exécute.

Les sections suivantes décrivent l'utilisation de l'Assistant Messagerie Internet pour :

  • configurer l'envoi de courrier Internet sur un serveur Exchange ;
  • configurer la réception de courrier Internet sur un serveur Exchange ;
  • configurer l'envoi et la réception de courrier Internet sur un serveur Exchange ;
  • configurer la messagerie Internet sur un serveur Exchange à double hébergement.

Configuration de l'envoi de courrier Internet sur un serveur Exchange

Lors de la configuration de l'envoi de courrier Internet sur un serveur Exchange, l'Assistant Messagerie Internet transforme le serveur sélectionné en serveur tête de pont sortant. Il crée sur ce serveur un connecteur pour l'envoi de courrier aux adresses Internet que vous indiquez.

Pour obtenir des instructions détaillées, voir la rubrique Procédure d'exécution de l'Assistant Messagerie Internet et de configuration de votre serveur pour l'envoi de messages Internet.

Configuration de la réception de courrier Internet sur un serveur Exchange

À l'issue de l'Assistant Messagerie Internet, le serveur Exchange acceptera tous les messages Internet émanant des domaines SMTP que vous indiquez.

Pour obtenir des instructions détaillées, voir la rubrique Procédure d'exécution de l'Assistant Messagerie Internet et de configuration de votre serveur pour la réception de messages Internet.

Configuration de l'envoi et de la réception de courrier Internet sur un serveur Exchange

À l'issue de l'Assistant Messagerie Internet, le serveur Exchange enverra et acceptera tous les messages Internet en fonction de la configuration définie.

Pour obtenir des instructions détaillées, voir la rubrique Procédure d'exécution de l'Assistant Messagerie Internet et de configuration de votre serveur pour l'envoi et la réception de messages Internet.

Configuration de la messagerie Internet sur un serveur Exchange à double hébergement

À l'issue de l'Assistant Messagerie Internet, le serveur Exchange enverra et acceptera tous les messages Internet en fonction de la configuration définie.

Pour obtenir des instructions détaillées, voir la rubrique Procédure d'exécution de l'Assistant Messagerie Internet sur un serveur à double hébergement.

Enregistrement des diagnostics et codes de notifications d'état de remise

Dans Exchange 2003, les améliorations suivantes ont été apportées aux notifications d'état de remise.

  • Une nouvelle catégorie d'enregistrement des notifications d'état de remise est disponible.
  • De nouveaux codes de notifications d'état de remise sont destinés à faciliter le dépannage des problèmes de flux de messages.

Configuration de l'enregistrement des diagnostics

Vous pouvez à présent configurer l'enregistrement des diagnostics pour les notifications d'état de remise, également appelées rapports de non-remise.

Pour obtenir des instructions détaillées, voir la rubrique Procédure de configuration de l'enregistrement des diagnostics pour DSN.

Codes de notifications d'état de remise disponibles dans Exchange Server 2003

Le tableau suivant répertorie les messages de notification d'état de remise mis en œuvre pour le transport et le routage dans Exchange 2003.

Nouvelles notifications d'état de remise disponibles dans Exchange 2003

Code de notifications d'état de remise Cause Solution

4.2.2

Dans Exchange 2000, cette notification d'état de remise est générée lorsque la boîte aux lettres du destinataire dépasse sa capacité de stockage.

Sous Windows® 2000 et Microsoft Windows Server™ 2003, ce message est généré lorsque la capacité de stockage du répertoire de dépôt (répertoire dans lequel sont placés les messages à remettre) dépasse le quota de disque du serveur virtuel SMTP. Le quota de disque du serveur virtuel SMTP correspond à 11 fois la taille maximale d'un message sur le serveur virtuel. En l'absence de taille maximale explicite, le quota de disque est de 22 Mo par défaut. Si l'espace disque est inférieur ou égal à la taille maximale de message ou s'il atteint 2 Mo alors qu'aucune taille maximale de message n'est définie, Exchange suppose que le message entrant va dépasser le quota de disque et émet donc une notification d'état de remise.

Vérifiez la taille maximale de la boîte aux lettres et du quota de stockage de la file d'attente.

4.4.9

Correspond à une erreur temporaire de routage ou à une configuration de routage erronée. Causes possibles :

  • Un connecteur SMTP a été configuré à l'aide de DNS (au lieu d'un hôte actif) et un espace d'adressage autre que SMTP (comme une adresse X.400) lui a été ajouté.
  • Dans un groupe de routage créé par un utilisateur, un destinataire est supposé recevoir du courrier. Un connecteur de groupe de routage utilisant DNS a été employé pour relier le groupe de routage, puis ce groupe (de routage ou d'administration) a été supprimé. Par conséquent, tout courrier envoyé à ce groupe de routage a été encodé au format MSGWIA.X500 (encapsulation pour les adresses autres que SMTP) qui n'est pas pris en charge par DNS.

Le routage détecte ces situations et Exchange renvoie des notifications d'état de remise.

  • La solution du premier scénario consiste à configurer le connecteur SMTP pour qu'il utilise un hôte actif, au lieu de DNS, et puisse ainsi résoudre l'espace d'adressage autre que SMTP.
  • La solution du second scénario consiste à placer tous les utilisateurs du groupe de routage ou d'administration supprimé dans un groupe valide.

5.3.0

Exchange 2003 peut fonctionner sans l'Agent de transfert des messages (MTA). Si le MTA reçoit accidentellement du courrier, Exchange renvoie cette notification d'état de remise à l'expéditeur. Cette condition n'est appliquée que si vous avez désactivé le service MTA et utilisé des paramètres spécifiques du Registre pour désactiver le MTA/ le pilote de banque d'informations. Une configuration par défaut dirige les messages déroutés vers les files d'attente du MTA.

Vérifiez votre topologie de routage. L'outil Winroute permet de garantir la réplication parfaite des itinéraires entre serveurs et groupes de routage.

5.7.1

Accès général refusé, accès de l'expéditeur refusé — L'expéditeur du message ne dispose pas des privilèges nécessaires pour mener à bien la remise.

Causes possibles :

  • L'expéditeur du message ne possède pas les privilèges nécessaires à la remise.
  • Vous tentez de relayer votre courrier via un autre serveur Exchange 2000 qui ne permet pas d'effectuer un relais. Le serveur distant renvoie un code 5.7.1.
  • Il est possible que des restrictions de remise soient associées au destinataire (par exemple, si une restriction de remise du courrier prévoit la réception de courrier émanant d'une liste de distribution exclusivement, tout autre message électronique est refusé, et ce code DSN est retourné).
  • Nouveauté d'Exchange 2003 : Un utilisateur anonyme a tenté d'envoyer des messages électroniques à des destinataires ou des listes de distribution acceptant du courrier émanant uniquement d'une session SMTP authentifiée.

Vérifiez les privilèges et les attributs système du contact et renvoyez le message. Pour tous les autres incidents, vérifiez que vous exécutez Exchange 2000 Service Pack 1 ou ultérieur. Dans Exchange 2003, consultez les autorisations de la liste de distribution pour vérifier si elle est sécurisée.

Déplacement des emplacements de répertoires de files d'attente X.400 (MTA) et SMTP

Exchange 2003 permet de modifier les emplacements de répertoires de files d'attente des serveurs virtuels SMTP et du protocole X.400.

Pour obtenir des instructions détaillées, voir les rubriques Procédure de déplacement des données de file d'attente X.400 (MTA) et Procédure de déplacement des données de file d'attente SMTP.

Filtrage des connexions

Exchange Server 2003 prend en charge le filtrage des connexions basé sur des listes d'interdiction. Le filtrage des connexions exploite des services externes qui répertorient des sources connues de messages électroniques non sollicités, des listes de comptes d'utilisateur d'accès à distance et des serveurs ouverts pour un relais (basés sur des adresses IP). Le filtrage des connexions complète les produits tiers de filtrage des contenus. Cette fonctionnalité permet de vérifier une adresse IP entrante par rapport à la liste d'un fournisseur de listes d'interdiction pour savoir si elle appartient à l'une des catégories que vous souhaitez filtrer. Si une occurrence correspondante est trouvée sur la liste d'interdiction du fournisseur, le serveur SMTP renvoie une erreur « 550 5.x.x » en réponse à la commande RCPT TO et un message d'erreur personnalisé est adressé à l'expéditeur. Notez que RCPT TO est la commande SMTP que le serveur de connexion émet pour identifier le destinataire du message. Par ailleurs, vous pouvez utiliser plusieurs filtres de connexion et déterminer un ordre de priorité pour chaque filtre à appliquer.

Pour configurer le filtrage de connexions, vous pouvez procéder comme suit :

  • Établissez des règles de filtrage de connexions se référant à un fournisseur de service de listes d'interdiction pour les éléments suivants :
    • adresses IP d'expéditeurs connus de messages publicitaires non sollicités ;
    • serveurs configurés pour le relais ouvert ;
    • listes de comptes d'utilisateurs d'accès à distance.
  • Configurer des listes d'autorisations et de refus globales. Une liste d'autorisations globale regroupe les adresses IP desquelles vous acceptez toujours les messages. Une liste de refus globale regroupe les adresses IP desquelles vous refusez toujours les messages. Vous pouvez utiliser des listes d'autorisations et de refus globales avec ou sans l'aide d'un fournisseur de service de listes d'interdiction.
  • Configurer une adresse de destinataire échappant à toutes les règles de filtrage de connexions. Vous pouvez créer une adresse de destinataire échappant à toutes les règles de filtrage de connexions. Tout message électronique envoyé à cette adresse est automatiquement accepté même si l'expéditeur figure dans une liste d'interdiction.

Fonctionnement des règles de filtrage des connexions

SMTP utilise la règle de filtrage de connexions que vous venez de créer pour effectuer une interrogation DNS d'une liste fournie par un service de listes d'interdiction tiers. Le filtre des connexions compare chaque adresse IP entrante avec le contenu d'une liste d'interdiction tierce. Le fournisseur de listes d'interdiction émet l'une des deux réponses suivantes :

  • hôte introuvable   Indique que l'adresse IP ne figure pas dans sa liste d'interdiction.
  • 127.0.0.x   Code d'état de réponse indiquant qu'une occurrence de l'adresse IP a été trouvée dans la liste des contrevenants. x varie en fonction du fournisseur de listes d'interdiction.

Si l'adresse IP entrante existe dans la liste d'interdiction, le protocole SMTP renvoie une erreur de type 5.x.x en réponse à la commande RCPT TO (cette dernière est la commande SMTP que le serveur de connexion émet pour identifier le destinataire attendu).

Il est possible de personnaliser la réponse renvoyée à l'expéditeur. De plus, comme les fournisseurs de listes d'interdiction comportent des catégories de contrevenants différentes, vous pouvez indiquer les occurrences à refuser. Voici les trois types de contrevenants traités par la plupart des fournisseurs de listes d'interdiction :

  • Sources de messages publicitaires non sollicités. Ces listes sont alimentées par les adresses source des messages publicitaires non sollicités reçus.
  • Serveurs du relais ouvert connus. Ces listes sont établies en identifiant des serveurs SMTP du relais ouvert présents sur Internet. Le problème est généralement dû à une erreur de configuration commise par l'administrateur système.
  • Utilisateurs d'accès à distance. Ces listes sont créées à partir de listes de fournisseurs d'accès Internet comportant des adresses IP d'accès à distance, ou à partir d'adresses correspondant à une probable connexion à distance.

Identification des adresses IP interdites par les fournisseurs de listes d'interdiction

Lorsqu'un message électronique est envoyé à votre organisation alors que vous avez défini un filtre de connexion, Exchange contacte le fournisseur de listes d'interdiction. Le fournisseur vérifie l'existence d'un enregistrement A (hôte) auprès de son serveur DNS. Exchange soumet la requête d'informations dans un format spécifique. Par exemple, si l'adresse de connexion est 192.168.5.1 alors que l'organisation du fournisseur de listes d'interdiction est contoso.org, Exchange soumet la requête dans le format suivant :

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

soit, dans ce cas :

1.5.168.192..contoso.org

Si cette adresse IP figure dans la liste d'interdiction, le fournisseur renvoie un code d'état 127.0.0.x indiquant l'adresse IP incriminée et le type d'attaque. Tous les fournisseurs de liste d'interdiction retournent un code réponse au format 127.0.0.x, dans lequel x désigne le type d'attaque. Cette valeur numérique varie selon le fournisseur de listes d'interdiction.

Description des codes de réponse renvoyés par les fournisseurs de listes d'interdiction

Nous avons vu précédemment que le fournisseur de listes d'interdiction renvoie un code d'état 127.0.0.x s'il trouve un enregistrement concordant. Le code d'état est un code de retour explicite ou un masque de bits (code de retour multifonction). Si votre fournisseur de listes d'interdiction renvoie une valeur, vous pouvez la filtrer. Toutefois, si votre fournisseur de listes d'interdiction renvoie un masque de bits, vous devez être familiarisé avec une telle valeur de retour pour indiquer les adresses à filtrer.

Un masque de bits est une méthode permettant de vérifier qu'un bit précis est défini pour un enregistrement. Il se distingue d'un masque classique dans la mesure où il recherche une valeur de bit spécifique, contrairement à un masque de sous-réseau, qui recherche une plage de valeurs. Prenons l'exemple suivant.

Pour chaque occurrence de la liste d'interdiction, un fournisseur de listes d'interdiction renvoie les codes d'état répertoriés dans le tableau suivant.

Exemples de codes d'état d'une liste d'interdiction

Catégorie Code d'état renvoyé

Expéditeurs connus de messages publicitaires non sollicités

127.0.0.3

Compte d'utilisateur d'accès à distance

127.0.0.2

Serveur de relais connu

127.0.0.4

Toutefois, si une adresse IP figure dans deux listes, le fournisseur de listes d'interdiction ajoute les valeurs du dernier octet. Par conséquent, si une adresse IP fait partie de la liste des serveurs de relais et des expéditeurs connus de messages publicitaires non sollicités, le fournisseur de listes d'interdiction renvoie le code d'état 127.0.7, dans lequel 7 correspond aux valeurs combinées du dernier octet de retour des deux listes.

Pour définir un filtre ne s'appliquant qu'aux expéditeurs connus de messages publicitaires non sollicités, entrez 0.0.0.3 comme valeur de masque de bits ; la liste d'interdiction filtre alors les valeurs possibles, comme 127.0.0.3, 127.0.0.5, 127.0.0.7 et 127.0.0.9.

Le tableau suivant répertorie les valeurs de masque de bits associées à chaque code d'état de l'exemple.

Codes d'état d'une liste d'interdiction et exemples de masques de bits correspondants

Catégorie Code d'état renvoyé Masque de bits

Expéditeurs connus de messages publicitaires non sollicités

127.0.0.3

0.0.0.3

Compte d'utilisateur d'accès à distance

127.0.0.2

0.0.0.2

Serveur de relais connu

127.0.0.4

0.0.0.4

Serveur de relais connu et compte d'utilisateur d'accès à distance

127.0.0.6

0.0.0.6

Dans la catégorie Serveur de relais connu et compte d'utilisateur d'accès à distance, le masque de bits 0.0.0.6 ne renvoie de correspondance d'adresse IP que si elle figure à la fois dans la liste de serveurs de relais et dans la liste de comptes d'utilisateur d'accès à distance. Il ne renvoie pas de correspondance si l'adresse IP figure uniquement dans l'une des deux listes. Un masque de bits ne permet pas de rechercher une seule correspondance dans plusieurs listes.

noteRemarque :
Un masque de bits effectue une vérification par rapport à une seule valeur. Si vous définissez une valeur de masque de bits renvoyée lorsqu'une adresse IP apparaît dans deux listes, le masque ne mettra en correspondance que les adresses IP figurant à la fois dans l'une et l'autre liste. Si vous souhaitez rechercher une adresse IP dans l'une ou l'autre liste, entrez les codes d'état de ces paramètres.

Spécification d'exceptions aux règles de filtrage des connexions

Il est possible d'autoriser la remise de messages à des destinataires particuliers, même si leur adresse figure dans une liste d'interdiction. Cette fonction est utile si vous souhaitez que des organisations fiables puissent contacter le compte administrateur pour communiquer avec vos administrateurs. Par exemple, imaginez qu'une société fiable possède un serveur configuré par inadvertance pour autoriser le relais ouvert ; dans ce cas, les messages électroniques envoyés par cette société à vos utilisateurs sont bloqués. Pourtant, si vous avez configuré un filtrage de connexion autorisant la remise de messages au compte administrateur de votre organisation, l'administrateur de la société interdite pourra utiliser le courrier électronique pour signaler à votre compte administrateur le blocage ou en demander les raisons.

Activation du filtrage des connexions

Pour activer le filtrage des connexions, effectuez la procédure suivante :

  1. Créez le filtre de connexion sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de la remise des messages.
  2. Appliquez le filtre au niveau du serveur virtuel SMTP.
  3. Nouveauté du SP2 : Spécifiez les serveurs de votre réseau interne que vous souhaitez exclure du filtrage des connexions.

Chaque étape est détaillée dans les sections suivantes.

Étape 1 : configuration du filtrage des connexions

Pour configurer le filtrage des connexions, effectuez la procédure suivante :

  • configurer des listes d'autorisations et de refus globales ;
  • créer des règles de filtrage des connexions ;
  • créer des exceptions aux règles de filtrage des connexions.

Création de listes d'autorisations et de refus globales

Le filtrage des connexions permet de créer des listes d'autorisations et de refus globales. À l'aide de ces listes, vous pourrez ensuite accepter ou refuser systématiquement du courrier émanant d'adresses IP particulières, que vous fassiez appel ou non à un fournisseur de service de listes d'interdiction. Toute adresse IP figurant dans la liste d'autorisations globale est acceptée automatiquement, sans tenir compte des règles de filtrage. De même, toute adresse IP figurant dans la liste de refus globale est systématiquement refusée.

Les entrées de la liste d'autorisations globale ont la priorité sur celles de la liste de refus globale. Exchange consulte la liste d'autorisations globale avant la liste de refus globale ; aussi, si vous souhaitiez refuser les connexions d'un sous-réseau et d'un masque spécifiques mais accepter une adresse IP dans cette intervalle, il faudrait :

  • entrer dans la liste d'autorisations globale l'adresse IP dont vous souhaitez accepter les connexions ;
  • entrer dans la liste de refus globale le sous-réseau et le masque de la plage d'adresses IP dont vous souhaitez refuser les connexions.

Lorsque l'adresse IP que vous avez ajoutée à la liste d'autorisations globale tente de se connecter à votre serveur Exchange, celui-ci se reporte d'abord à la liste d'autorisations globale. Dans la mesure où Exchange trouve une adresse IP correspondante, il arrête la vérification liée au filtrage des connexions et accepte la connexion.

Pour obtenir des instructions détaillées, voir la section sur la procédure de création d'une liste d'autorisations globale et d'une liste de refus globale dans le Guide de transport et de routage Exchange Server 2003.

Création d'une règle de filtrage des connexions

Pour obtenir des instructions détaillées, voir la section sur la procédure de création d'un filtre de connexion dans le Guide de transport et de routage Exchange Server 2003.

Vous pouvez créer des exceptions à la règle de filtrage des connexions. Vous pouvez notamment autoriser la remise de messages à des destinataires particuliers (par exemple l'administrateur), même si leur adresse IP de connexion figure dans une liste d'interdiction.

Pour obtenir des instructions détaillées, voir la section sur la procédure de création d'une exception à une règle de connexion dans le Guide de transport et de routage Exchange Server 2003.

Étape 2 : application du filtre de connexion aux serveurs virtuels SMTP appropriés

Après avoir créé le filtre de connexion, vous devez l'appliquer aux serveurs virtuels SMTP adéquats. En général, cette opération s'effectue sur les serveurs virtuels SMTP présents sur vos serveurs passerelles qui acceptent du courrier Internet entrant. La procédure suivante permet d'appliquer un filtre de connexion à un serveur virtuel SMTP.

Pour obtenir des instructions détaillées, voir la section sur l'application d'un filtre de connexion à un serveur virtuel SMTP dans le Guide de transport et de routage Exchange Server 2003.

Nouveauté de SP2 : Étape 3 : spécification des serveurs à exclure du filtrage des connexions

Dans Exchange Server 2003 SP2, vous pouvez activer le filtrage des connexions derrière le périmètre de votre réseau. Pour ce faire, sous l'onglet Général de la boîte de dialogue Propriétés de remise des messages, spécifiez l'adresse IP des serveurs de votre réseau interne que vous souhaitez exclure de la validation.

Vous pouvez spécifier des adresses IP individuelles ou des groupes d'adresses IP. Dans la liste, vous devez inclure tous les serveurs de votre organisation qui traitent le courrier SMTP entrant. Vous devez également inclure tous les serveurs qui acheminent des messages vers les serveurs de filtrage des ID expéditeur et des connexions. Si des serveurs traitant du courrier SMTP se trouvent sur le périmètre, vous devez inclure toutes les adresses IP de périmètre de ces serveurs.

Si une adresse IP figurant sur le message électronique reçu par le serveur de filtrage des ID expéditeur ou des connexions se trouve sur cette liste, Exchange Server sautera cette adresse IP et ne lui appliquera pas la règle de filtrage des ID expéditeur ou des connexions. Cette liste peut comprendre jusqu'à 196 adresses IP.

Pour plus d'informations, voir la rubrique sur la spécification de données de configuration d'adresses IP pour le filtrage des connexions dans l'aide en ligne d'Exchange Server 2003 SP2.

Filtrage des destinataires entrants

Le filtrage des destinataires permet d'interdire le courrier destiné à des destinataires non valides. Vous pouvez également interdire le courrier destiné à des utilisateurs figurant dans une liste de filtrage des destinataires, qu'ils soient valides ou non.

Le filtre destinataire bloque le courrier électronique adressé à des destinataires non valides en filtrant le courrier entrant (à l'aide de recherches dans Active Directory) pour chaque destinataire concerné. Vous pouvez filtrer le courrier selon les critères suivants :

  • le destinataire n'existe pas dans Active Directory ;
  • le destinataire ne possède pas les autorisations appropriées.

Tout message entrant répondant à ces critères est refusé et le serveur virtuel SMTP renvoie une erreur 550 5.x.x pendant la session SMTP.

noteRemarque :
Exchange effectue uniquement des recherches dans Active Directory et bloque les destinataires non valides pour les messages électroniques entrants destinés à un domaine sur lequel il fait autorité. Ce paramètre est configuré dans des stratégies de destinataire.

Vous pouvez également configurer le filtrage des destinataires afin de filtrer les messages envoyés à une adresse de courrier électronique (valide ou non) au sein de votre organisation. Si un message est adressé à l'un des destinataires indiqués, Exchange renvoie une erreur de niveau 5.x.x lors de la session SMTP.

Par défaut, Exchange accepte le courrier destiné à n'importe quel destinataire (valide ou non), puis envoie des rapports de non-remise pour tous les destinataires non valides. En outre, comme les messages non sollicités sont généralement envoyés par des adresses non valides, Exchange tente d'adresser plusieurs fois des rapports de non-remise à des expéditeurs inexistants, ce qui consomme plus de ressources. Si vous activez le filtrage des destinataires, Exchange ne consomme plus de ressources inutilement du fait que les destinataires non valides sont filtrés. Toutefois, l'activation du filtrage des destinataires pour la résolution de destinataires dans Active Directory permet à des expéditeurs malintentionnés de résoudre des adresses électroniques valides, les sessions SMTP émettant des réponses différentes pour les destinataires valides et non valides.

noteRemarque :
Les règles de filtrage des destinataires ne s'appliquent qu'aux connexions anonymes. Les utilisateurs et les serveurs Exchange authentifiés échappent à ces validations.

Activation du filtrage des destinataires

Pour activer le filtrage des destinataires, effectuez la procédure suivante :

  1. Créez le filtre destinataire sous l'onglet Filtrage des destinataires de la boîte de dialogue Propriétés de remise des messages.
  2. Appliquez le filtre au niveau du serveur virtuel SMTP.

Chaque étape est détaillée dans les sections suivantes.

Étape 1 : création d'un filtre destinataire

Vous devez d'abord créer un filtre destinataire. Pour obtenir des instructions détaillées, voir la section sur la procédure de création d'un filtre destinataire dans le Guide de transport et de routage Exchange Server 2003.

Étape 2 : application du filtre destinataire aux serveurs virtuels SMTP appropriés

Après avoir créé le filtre destinataire, vous devez l'appliquer aux serveurs virtuels SMTP adéquats. En règle générale, vous devez effectuer cette opération sur les serveurs virtuels SMTP présents sur les serveurs de passerelle qui acceptent du courrier Internet entrant. La procédure suivante permet d'appliquer un filtre destinataire à un serveur virtuel SMTP.

Pour obtenir des instructions détaillées, voir la section sur l'application d'un filtre destinataire à un serveur virtuel SMTP dans le Guide de transport et de routage Exchange Server 2003.

Nouveauté de SP2 : Filtrage des ID expéditeur

Dans Exchange Server 2003 SP2, vous pouvez utiliser le filtrage des ID expéditeur. Les ID expéditeur représentent une initiative du secteur de la messagerie électronique qui permet d'assurer une meilleure protection contre les messages publicitaires non sollicités et le phishing. La structure des ID expéditeur est un protocole créé pour réduire l'usurpation de domaine de courrier électronique et fournir une meilleure protection contre le phishing en vérifiant l'expéditeur d'un message électronique. Pour obtenir des informations sur les ID expéditeur, voir le site Web sur les ID expéditeur.

Configuration des ID expéditeur

La présentation suivante décrit les trois étapes à suivre pour configurer le filtrage des ID expéditeur dans Exchange Server 2003 SP2.

  1. Spécifiez comment le serveur doit traiter les messages dont la validation de l'ID expéditeur a échoué en sélectionnant l'une des options suivantes sous l'onglet Filtrage des ID expéditeur de la boîte de dialogue Propriétés de remise des messages.
    • Sélectionnez Accepter (l'état de l'ID expéditeur sera joint au message pour traitement complémentaire contre le courrier indésirable) si vous souhaitez que le filtre des ID expéditeur marque les résultats de la validation sur le message et qu'il fasse l'objet d'un nouveau traitement contre le courrier indésirable (filtre de messages intelligent). C'est l'option par défaut.
    • Sélectionnez Supprimer (le message sera accepté, puis supprimé ; aucun rapport de non-remise ne sera envoyé à l'expéditeur si vous souhaitez que le filtre des ID expéditeur accepte le message et le supprime ensuite sans envoyer le rapport de non-remise à l'utilisateur.
    • Sélectionnez Rejeter (le message ne sera pas accepté ; c'est à l'expéditeur qu'il reviendra de générer le rapport de non-remise) si vous souhaitez que le filtre des ID expéditeur rejette le message au niveau du protocole SMTP et envoie un rapport de non-remise à l'utilisateur. C'est en particulier le serveur émetteur qui est responsable de la génération d'un rapport de non-remise.
  2. Spécifiez les adresses IP des serveurs de votre réseau interne à exclure de la validation sous l'onglet Général de la boîte de dialogue Propriétés de remise des messages. Vous pouvez spécifier des adresses IP individuelles ou des groupes d'adresses IP. Dans la liste, vous devez inclure tous les serveurs de votre organisation Exchange qui traitent le courrier SMTP entrant. Vous devez également inclure tous les serveurs qui acheminent des messages vers les serveurs de filtrage des ID expéditeur et des connexions. Si des serveurs traitant du courrier SMTP se trouvent sur le périmètre, vous devez inclure toutes les adresses IP de périmètre de ces serveurs. Si une adresse IP figurant sur le message électronique reçu par le serveur de filtrage des ID expéditeur ou des connexions se trouve sur cette liste, Exchange Server sautera cette adresse IP et ne lui appliquera pas la règle de filtrage des ID expéditeur ou des connexions. Cette liste peut comprendre jusqu'à 196 adresses IP.
  3. Activez le filtrage des ID expéditeur sur vos serveurs virtuels SMTP. Après la configuration des options de filtrage des ID expéditeur, vous devez activer le filtrage sur les serveurs virtuels SMTP de votre organisation Exchange.
    Pour obtenir des informations détaillées sur la réalisation de chacune de ces tâches, voir la rubrique sur la configuration du filtrage des ID expéditeur dans l'aide en ligne d'Exchange Server 2003 SP2.

Nouveauté de SP2 : Filtrage de messages intelligent

Dans Exchange Server 2003 SP2, le filtrage de messages intelligent est désormais actif lorsque vous installez Exchange Server 2003 SP2.

noteRemarque :
Si le programme d'installation d'Exchange Server 2003 détecte que vous exécutez un filtre de messages intelligent, il vous invite à le désinstaller avant de procéder à l'installation d'Exchange Server 2003 SP2.

Le filtrage de messages intelligent permet de bloquer les messages publicitaires non sollicités (spam) sur vos serveurs virtuels SMTP de passerelle. Les serveurs virtuels SMTP de passerelle sont des serveurs virtuels SMTP qui acceptent les messages Internet entrants.

Pour plus d'informations sur le filtrage de messages intelligent, voir le site Web sur le filtre de messages intelligent Exchange.

Configuration du filtrage de messages intelligent

La présentation suivante décrit les étapes à suivre pour configurer le filtrage des ID expéditeur dans Exchange Server 2003 SP2.

  1. Créez un filtre de messages intelligent à l'aide des options de l'onglet Filtrage de messages intelligent de la boîte de dialogue Propriétés de remise des messages. Vous pouvez définir deux seuils qui déterminent la façon dont le filtre de messages intelligent gère les messages électroniques avec différents contrôles d'accès SCL : un seuil de passerelle avec une action associée à exécuter sur les messages qui le dépassent et un seuil de banque de boîtes aux lettres.
    • Si le contrôle d'accès SCL d'un message est supérieur au seuil de passerelle, le filtre de messages intelligent exécute l'action indiquée. Ces options sont : Archiver, Supprimer, Aucune action et Rejeter.
    • Si le contrôle d'accès SCL du message est inférieur au seuil de passerelle, le message est envoyé à la banque de boîtes aux lettres Exchange du destinataire. Au niveau de la banque de boîtes aux lettres Exchange, si le contrôle d'accès SCL du message est supérieur au seuil de banque de boîtes aux lettres, celle-ci remet le message dans le dossier de courrier indésirable de l'utilisateur et non dans sa boîte de réception.
  2. Activez le filtre de messages intelligent sur les serveurs virtuels SMTP. Après la configuration des options de filtrage de messages intelligent, vous devez activer le filtrage sur les serveurs virtuels SMTP de votre organisation Exchange.

Pour obtenir des informations détaillées sur la réalisation de chacune de ces tâches, voir la rubrique sur la configuration du filtrage de messages intelligent dans l'aide en ligne d'Exchange Server 2003 SP2.

Nouveauté de SP2 : Mode d'application des filtres activés

Exchange Server 2003 prend en charge les filtres suivants :

  • Restrictions IP en fonction d'un serveur virtuel
  • Filtrage des connexions
  • Filtrage des destinataires
  • Filtrage des expéditeurs
  • Filtrage des ID expéditeur
  • Filtrage de messages intelligent

Bien que configurés dans la boîte de dialogue Propriétés de remise des messages, le filtrage des connexions, le filtrage des destinataires et le filtrage des expéditeurs doivent être activés sur les serveurs virtuels SMTP. En revanche, les restrictions IP sont configurées sur chaque serveur virtuel SMTP.

Cette section décrit l'ordre dans lequel ces filtres (une fois configurés et activés) sont contrôlés lors d'une session SMTP. Le contrôle du filtrage et des restrictions IP s'effectue de la façon suivante.

noteRemarque :
Cette section a été mise à jour pour fournir des informations sur le traitement du courrier indésirable sur des serveurs utilisant Exchange Server 2003 SP2. Pour les besoins de cet exemple, nous supposons qu'Exchange Server 2003 SP2 est installé sur un ordinateur passerelle.
  1. Un client SMTP tente de se connecter au serveur virtuel SMTP.
  2. L'adresse IP du client qui se connecte est comparée aux restrictions IP du serveur virtuel SMTP (configurées sous l'onglet Accès de la boîte de dialogue Propriétés du serveur virtuel SMTP) :
    • Si l'adresse IP de connexion figure dans la liste des adresses IP restreintes, la connexion est immédiatement abandonnée.
    • Si l'adresse IP de connexion ne figure pas dans la liste des adresses IP restreintes, la connexion est acceptée.
  3. Le client SMTP émet une commande EHLO ou HELO.
  4. Le client SMTP émet une commande MAIL FROM: similaire à celle-ci :
    MAIL FROM: dylanm@contoso.com
  5. L'adresse IP du client SMTP est alors recherchée dans la liste d'autorisations globale (configurée sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
    • Si l'adresse IP de connexion figure dans la liste d'autorisations globale, Exchange ne consulte pas la liste de refus globale. Reportez-vous à l'étape 7.
    • Si l'adresse IP de connexion ne figure pas dans la liste d'autorisations globale, les étapes 6 et 7 sont exécutées.
  6. L'adresse IP du client SMTP est recherchée dans la liste de refus globale (configurée sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
    • Si l'adresse IP du client SMTP figure dans la liste de refus globale, la connexion est abandonnée.
    • Si l'adresse IP du client SMTP ne figure pas dans la liste de refus globale, la session se poursuit.
  7. Le filtrage des expéditeurs vérifie, dans la liste des expéditeurs bloqués, l'existence de l'expéditeur indiqué dans la commande MAIL FROM (cette liste est configurée sous l'onglet Filtrage des expéditeurs de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
    • Si l'expéditeur figure dans la liste des expéditeurs bloqués, l'un des deux scénarios suivants se produit, selon la configuration du filtrage des expéditeurs :
      - Si le filtrage des expéditeurs prévoit l'arrêt de la connexion, celle-ci est abandonnée.
      - Si le filtrage des expéditeurs prévoit l'acceptation des messages sans notification à l'expéditeur, la session se poursuit ; cependant, le courrier est envoyé vers le répertoire Badmail sans être remis au destinataire indiqué.
    • Si l'expéditeur ne figure pas dans la liste de filtrage des expéditeurs, le serveur virtuel SMTP émet une réponse similaire à celle-ci :
      250 2.1.0 dylanm@contoso.com...Sender OK
  8. Le serveur SMTP de connexion émet une commande RCPT TO similaire à celle-ci :
    RCPT TO: kim@example.com
  9. Les règles de filtrage des connexions vérifient l'existence de l'adresse IP de connexion dans des listes d'interdiction transmises par des fournisseurs de listes d'interdiction.
    • Si l'adresse IP du client SMTP figure dans la liste d'autorisations, les règles de filtrage des connexions ne sont pas prises en compte. Reportez-vous à l'étape 10.
    • Si l'adresse IP du client SMTP figure dans une liste d'interdiction d'un fournisseur de service, le serveur virtuel SMTP renvoie un code d'erreur, puis envoie le message d'erreur personnalisé configuré pour la règle de filtrage des connexions.
    • Si l'adresse IP du client SMTP ne figure pas dans la liste d'interdiction d'un fournisseur de service, la session se poursuit.
  10. Le filtrage des connexions vérifie si le destinataire attendu figure dans la liste des exceptions.
    • Si le destinataire figure sur cette liste, la communication est acceptée et aucun autre contrôle n'est appliqué à la commande RCPT TO. Reportez-vous à l'étape 13.
    • Si le destinataire ne figure pas dans la liste des exceptions, il est recherché dans d'autres filtres.
  11. S'il ne figure pas dans la liste des exceptions configurée dans le filtrage des connexions, le destinataire est recherché parmi les destinataires bloqués configurés dans le filtrage des destinataires.
    • Si le destinataire est un destinataire refusé, le serveur virtuel SMTP renvoie une erreur indiquant que le destinataire n'est pas valide.
    • Si le destinataire n'est pas un destinataire refusé, la session continue.
  12. Si le destinataire n'est pas un destinataire bloqué, il fait l'objet d'une recherche dans Active Directory.
    • Si le destinataire n'est pas un destinataire valide dans Active Directory, le serveur virtuel SMTP renvoie une erreur indiquant que le destinataire n'est pas valide.
    • Si le destinataire est un destinataire valide répertorié dans Active Directory, la session continue.
  13. Les étapes 10 à 12 sont appliquées pour chaque destinataire supplémentaire indiqué dans une commande RCPT TO.
  14. Le serveur se connectant émet une commande DATA similaire à celle-ci :
    DATA
    To: Kim Akers
    From: dylanm@contoso.com<Dylan Miller>
    Subject: Mail Message
  15. Le filtrage des expéditeurs s'assure ensuite que l'adresse De ne correspond pas à un expéditeur bloqué.
    • Si l'expéditeur indiqué dans la commande DATA est un expéditeur bloqué, l'un des scénarios suivants se produit :
      - Si la configuration du filtrage des expéditeurs prévoit la rupture de la connexion, le serveur virtuel SMTP renvoie une erreur 5.1.0 « Expéditeur refusé », puis abandonne la connexion.
      - Si le filtrage des expéditeurs prévoit l'acceptation des messages sans notification à l'expéditeur, la session se poursuit ; cependant, le courrier est envoyé vers le répertoire Badmail sans être remis au destinataire indiqué.
    • Si l'expéditeur indiqué dans la commande DATA n'est pas un expéditeur bloqué, le message est accepté et placé en file d'attente pour être remis.
  16. Les messages sont traités par la validation des ID expéditeur.
  17. Les messages sont traités par le filtrage de messages intelligent.

Nouvelles possibilités pour limiter les envois à un serveur virtuel SMTP

Exchange Server 2003 permet de restreindre à un nombre limité de principes de sécurité, les envois à un serveur virtuel SMTP à l'aide du contrôle d'accès discrétionnaire standard de Windows 2000 Server ou de Windows Server 2003. Vous pouvez ainsi indiquer des groupes d'utilisateurs pouvant envoyer des messages électroniques à un serveur virtuel.

noteRemarque :
Évitez de restreindre les envois sur les serveurs virtuels SMTP qui acceptent des messages Internet.

Pour obtenir des instructions détaillées, voir la section sur la limitation des envois à un serveur SMTP s'appuyant sur un groupe de sécurité dans le Guide de transport et de routage Exchange Server 2003.

Nouvelles possibilités pour limiter les relais sur un serveur virtuel SMTP

Exchange 2003 permet de limiter les relais à un nombre restreint de principes de sécurité via le contrôle d'accès discrétionnaire (DACL) de Windows 2000. Vous pouvez ainsi indiquer des groupes d'utilisateurs pouvant relayer des messages électroniques par l'intermédiaire d'un serveur virtuel.

La limitation des relais sur les serveurs virtuels est utile si vous souhaitez autoriser un groupe d'utilisateurs à relayer du courrier vers Internet, mais refuser les privilèges de relais à un autre.

Pour obtenir des instructions détaillées, voir la section sur la limitation des relais en fonction d'un groupe de sécurité dans le Guide de transport et de routage Exchange Server 2003.