Options de déploiement pour les serveurs de transport Edge

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-09-24

Cette rubrique décrit les options de déploiement d'un rôle de serveur de transport Edge Microsoft Exchange Server 2007 dans votre topologie de Exchange Server existante. Elle explique en outre les éléments à prendre en compte dans le cadre de la configuration d'un serveur exécutant Microsoft Internet Security and Acceleration (ISA) Server 2006 comme pare-feu entre les serveur de transport Edge et serveur de transport Hub.

Conçu pour réduire au minimum la surface d'attaque, le serveur de transport Edge gère tout le flux de messagerie côté Internet, offrant ainsi des services de relais SMTP (Simple Mail Transfer Protocol) et d'hôte actif pour l'organisation Exchange. Des couches supplémentaires de protection des messages et de sécurité sont assurées par une série d'agents qui s'exécutent sur le serveur de transport Edge et agissent sur les messages lors de leur traitement par les composants de transport de messages. Ces agents prennent en charge les fonctions de protection contre les virus et le courrier indésirable et appliquent des règles de transport pour contrôler le flux de messagerie.

Déploiements pris en charge

Les déploiements suivants sont pris en charge :

L'option recommandée consiste à déployer le rôle serveur de transport Edge en dehors de l'organisation Exchange dans le réseau de périmètre d'une organisation. Vous pouvez déployer le serveur de transport Edge comme serveur autonome ou comme membre d'un domaine Active Directory de périmètre.

Pour plus d'informations sur le déploiement d'un serveur de transport Edge dans une organisation Exchange 2007 dans un réseau de périmètre, consultez les rubriques suivantes :

Le tableau suivant répertorie les avantages des différents types de déploiements de serveur de transport Edge.

Déploiement d'un serveur de transport Edge Avantage

Membre d'un domaine

Sécurisation moindre, gestion facilitée

Serveur autonome

Sécurisation supérieure, gestion plus difficile

Membre d'un groupe de travail

Sécurisation supérieure, gestion plus difficile

Forêt de périmètre spécial

Sécurisation supérieure et gestion facilitée mais requiert un support matériel plus important (recommandé pour les grandes entreprises)

Notes

Vous ne devez pas nécessairement déployer le rôle serveur de transport Edge pour déployer Exchange 2007. Vous pouvez avoir un seul ordinateur exécutant les rôles serveur de base, tels que les rôles serveur de boîtes aux lettres, serveur d'accès au client et serveur de transport Hub, qui accepte des messages électroniques en provenance d'Internet pour votre domaine et exécute des programmes de blocage du courrier indésirable et antivirus sur cet ordinateur.

Lorsque vous installez un serveur de transport Edge, vous activez la fonctionnalité de blocage du courrier indésirable sur ce serveur. Lorsque vous ajoutez un serveur de transport Edge à votre réseau de périmètre Exchange 2007, vous devez abonner le serveur de transport Edge à un site Active Directory en utilisant le processus d'abonnement Edge si l'une des conditions suivantes est remplie :

  • Vous projetez d'utiliser les fonctionnalités de blocage du courrier indésirable, une recherche de destinataires ou une agrégation de listes fiables.

  • Vous projetez de déployer une sécurité de domaine avec une organisation partenaire.

Si vous déployez plusieurs serveurs de transport Edge dans un réseau de périmètre d'un domaine ou d'un groupe de travail au sein d'une organisation Exchange 2007, vous pouvez équilibrer la charge du trafic SMTP entre tous les serveurs de transport Edge en définissant plusieurs enregistrements de ressource MX avec la même priorité dans la base de données DNS (Domain Name System) pour votre domaine de messagerie. Le déploiement de plusieurs serveurs de transport Edge assure également une tolérance de panne.

Le tableau suivant compare les fonctionnalités disponibles pour les différentes options de déploiement de serveurs de transport Edge dans une organisation Exchange 2007.

Options de déploiement pour les serveurs de transport Edge

  Aucun serveur de transport Edge n'est déployé Un serveur de transport Edge est déployé dans une forêt Active Directory qui sert l'organisation Exchange Recommandé : Un rôle serveur de transport Edge est déployé dans le groupe de travail de périmètre ou le domaine de périmètre Commentaires ou description

Nombre minimal de serveurs

1

2

2

Vous ne pouvez pas installer le rôle serveur de transport Edge sur le même ordinateur que d'autres rôles serveur. Dans le scénario à serveur unique, les agents de blocage du courrier indésirable sont déployés manuellement sur le rôle serveur de transport Hub. Le rôle serveur de transport Edge n'est pas installé.

Isolation du réseau

Non

Non

Oui

Le courrier indésirable et les logiciels malveillants sont rejetés avant leur entrée dans le réseau uniquement si le rôle serveur de transport Edge est déployé au niveau du réseau de périmètre.

Agents de blocage du courrier indésirable installés par défaut

Non

Oui

Oui

Si le rôle serveur de transport Edge n'est pas déployé, un administrateur peut activer des agents de blocage du courrier indésirable sur le rôle serveur de transport Hub en exécutant une commande de l'environnement de ligne de commande Exchange Management Shell. Pour plus d'informations, consultez la rubrique Procédure d'activation de les fonctionnalités de blocage du courrier indésirable sur un serveur de transport Hub.

Interface utilisateur de blocage du courrier indésirable

Par défaut, l'interface utilisateur de blocage du courrier indésirable est invisible. Elle est activée après le déploiement manuel des agents de blocage du courrier indésirable.

Visible par défaut

Visible par défaut

La console de gestion Exchange fournit une interface utilisateur pour configurer les éléments suivants :

  • fonctionnalité de blocage du courrier indésirable ;

  • connecteurs de réception ;

  • connecteurs d'envoi ;

  • règles de transport.

Traitement de messagerie Internet

Le traitement des messages Internet n'est activé qu'après que vous avez défini le type d'utilisation Internet sur le connecteur de réception et créé un connecteur d'envoi avec le type d'utilisation Internet.

Oui

Oui

Pour plus d'informations, consultez la rubrique Comment configurer les connecteurs pour le flux de messages sur Internet.

Filtrage des connexions

Oui

Oui

Oui

Le filtrage des connexions fournit des listes d'adresses IP bloquées et des listes d'adresses IP autorisées pour protéger contre le courrier indésirable. Pour plus d'informations, consultez la rubrique Filtrage des connexions.

Filtrage des expéditeurs

Oui

Oui

Oui

La réputation de l'expéditeur est analysée et mise à jour de façon dynamique au fil du temps. Pour plus d'informations, consultez la rubrique Filtrage des expéditeurs.

Filtrage des destinataires

Oui

Oui

Oui

Les destinataires sont validés à l'aide de la liste d'adresses globale (LAG). Pour plus d'informations, consultez la rubrique Filtrage des destinataires.

Service Microsoft Exchange EdgeSync

Non applicable

Oui

Oui

Les listes des expéditeurs approuvés Microsoft Office Outlook et la LAG sont transmises dans un format chiffré au périmètre de réseau.

ID de l'expéditeur

Oui

Oui

Oui

L'ID de l'expéditeur est vérifié lors de la réception d'un message électronique, et inclus dans la valeur de classification de courrier indésirable. Pour plus d'informations, consultez la rubrique ID de l'expéditeur.

Filtrage de contenu (filtrage de messages intelligent)

Oui

Oui

Oui

Les mises à jour ordinaires de Microsoft SmartScreen aident à contrer les menaces de courrier indésirable et de hameçonnage. Pour plus d'informations, consultez la rubrique Procédure de configuration des mises à jour automatiques du blocage du courrier indésirable.

Seuil de probabilité de courrier indésirable (SCL)

Oui

Oui

Oui

Une valeur de seuil de probabilité de courrier indésirable (SCL) est affectée à un message en fonction de divers facteurs. Pour plus d'informations, consultez la rubrique Ajustement du seuil SCL.

Marquage de courrier indésirable

Oui

Oui

Oui

Les messages sont marqués avec des détails sur l'évaluation de courrier indésirable. Pour plus d'informations, consultez la rubrique Marquages de courrier indésirable.

Contre-pression et répulsion des courriers indésirables

Oui

Oui

Oui

La contre-pression et la répulsion des courriers indésirables protègent contre les attaques par déni de service et les attaques DHA (Directory Harvest Attack). Pour plus d'informations, consultez la rubrique Présentation de la fonctionnalité de régulation du flux et la section « Fonctionnalité de répulsion » de la rubrique Filtrage des destinataires.

Mise en quarantaine du courrier indésirable à deux niveaux

Oui

Oui

Oui

Un administrateur peut accéder au dossier de mise en quarantaine du courrier indésirable et délivrer un message à son destinataire. Pour plus d'informations, consultez la rubrique Mise en quarantaine du courrier indésirable.

Filtrage des pièces jointes

Non

Oui

Oui

Les pièces jointes sont supprimées en fonction de leur taille, de leur contenu ou du type de fichier. Pour plus d'informations, consultez la rubrique Filtrage des pièces jointes.

Forefront Security pour Exchange Server

Oui

Oui

Oui

Pour plus d'informations, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

Configuration de carte réseau dans le réseau de périmètre

En fonction de la configuration de carte réseau (également appelée NIC) ou de la configuration de pare-feu dans votre topologie de réseau de périmètre, vous pouvez déployer un serveur de transport Edge comme configuration d'hôte bastion multirésident ou monorésident, ou configuration de sous-réseau filtré, comme illustré dans la figure suivante.

Configurations réseau pour serveurs de transport Edge multirésidents et monorésidents

Configuration Edge multirésidente, unirésidente

Dans une configuration multirésidente, un hôte est connecté à au moins deux réseaux ou a au moins deux adresses réseau. Dans une configuration monorésidente, il y a un seul pare-feu avec trois cartes réseau ou NIC. C'est ce qu'on appelle généralement un pare-feu « triple-homed » (à hébergement triple).

Tant dans la configuration multirésidente que dans la configuration monorésidente, vous pouvez avoir une ou plusieurs adresses IP pour configurer des connecteurs d'envoi et des connecteurs de réception en conséquence sur vos serveurs de transport Edge et serveurs de transport Hub. Pour plus d'informations sur la configuration des connecteurs, consultez la rubrique Gestion des connecteurs.

Aspects à prendre en considération lors du déploiement d'un serveur de transport Edge avec ISA Server 2006

Vous pouvez configurer un serveur de transport Edge ou un serveur de transport Hub avec ISA Server 2006 pour protéger votre réseau et vos applications d'entreprise. Pour plus d'informations sur la configuration d'un pare-feu ISA Server 2006 entre vos serveurs de transport Hub et serveurs de transport Edge, consultez la rubrique Utilisation d'ISA Server 2006 avec Exchange 2007.

Lorsque vous configurez ISA Server 2006 dans votre organisation Exchange avec des serveurs de transport Edge et des serveurs de transport Hub, si vous voulez autoriser un trafic SMTP ou SMTPS (secure SMTP) entre les serveurs de transport Edge et les serveurs de transport Hub, procédez comme suit :

  • Si le trafic SMTP du serveur de transport Edge vers le serveur de transport Hub est filtré sur le serveur exécutant ISA Server 2006, désactivez le filtre SMTP sur ce serveur.

  • Si le trafic SMTPS du serveur de transport Edge vers le serveur de transport Hub est filtré sur le serveur exécutant ISA Server 2006, désactivez également le filtre SMTP pour cette option sur ce serveur.

Ou bien, si vous ne voulez pas désactiver le filtrage SMTP ou SMTPS sur le serveur exécutant ISA Server 2006, vous pouvez ajouter des verbes de commande SMTP, tels que X-ANONYMOUSTLS et X-EXPS, qui sont propres à Exchange 2007, au filtre complémentaire SMTP sur ISA Server 2006.

Pour plus d'informations sur la désactivation du filtrage SMTP ou SMTPS sur ISA Server 2006 ou l'ajout de verbes de commande SMTP à ISA Server 2006, consultez la rubrique File d'attente de messages sur un serveur de transport Edge avec l'erreur 500 5.1.1 Commande non reconnue.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :