Configuration des serveurs d'applications pour le relais des messages électroniques via Exchange 2007

  • Article

 

S’applique à : Exchange Server 2007 SP3

Dernière rubrique modifiée : 2009-08-14

Dans certains environnements, vous devez autoriser un serveur d'applications à relayer les messages électroniques via un serveur Microsoft Exchange. Vous pouvez être amené à faire ceci si vous avez un serveur Sharepoint, une application CRM telle que Dynamics, ou un site Web qui envoie des messages électroniques à vos employés ou clients.

La configuration de vos applications pour le relais des messages électroniques via un serveur Exchange empêche la réception du message d'erreur « 550 5.7.1 Impossible de remettre le message ».

Vous pouvez utiliser l'une des méthodes suivantes pour permettre à un serveur d'applications de relayer les messages électroniques via Exchange 2007.

  • Autoriser tous les ordinateurs pouvant authentifier les utilisateurs Exchange 2007 à relayer des messages.

  • Créer un connecteur de réception personnalisé pour les ordinateurs ne pouvant pas authentifier les utilisateurs Exchange 2007.

Autorisation des ordinateurs pouvant authentifier automatiquement les utilisateurs Exchange à relayer des messages

Par défaut, Exchange 2007 est configuré pour accepter et relayer les messages électroniques des hôtes pouvant authentifier les utilisateurs Exchange. Les connecteurs de réception « Par défaut » et « Client » sont configurés de cette manière. L'authentification est la méthode la plus simple pour autoriser les utilisateurs à envoyer des messages. Elle est préconisée dans de nombreux cas.

Le groupe « ExchangeUsers » permet aux utilisateurs authentifiés d'envoyer et de relayer des messages. Les autorisations octroyées au groupe ExchangeUsers sont les suivantes :

  • AUTORITE NT\Utilisateurs authentifiés {ms-Exch-SMTP-Submit}

  • AUTORITE NT\Utilisateurs authentifiés {ms-Exch-Accept-Headers-Routing}

  • AUTORITE NT\Utilisateurs authentifiés {ms-Exch-Bypass-Anti-Spam}

  • AUTORITE NT\Utilisateurs authentifiés {ms-Exch-SMTP-Accept-Any-Recipient}

La liste de contrôle d'accès système (SACL) spécifique qui contrôle le relais est ms-Exch-SMTP-Accept-Any-Recipient.

Création d'un connecteur de réception personnalisé pour les ordinateurs ne pouvant pas authentifier les utilisateurs Exchange

Pour les ordinateurs ne pouvant pas authentifier les utilisateurs Exchange 2007, vous devez créer un connecteur de réception personnalisé. Le connecteur de réception personnalisé ressemble à un écouteur pour protocole et permet d'authentifier les utilisateurs auprès d'Exchange. Un serveur d'applications qui doit relayer les messages via Exchange est un exemple courant. Vous devez créer un connecteur de réception pour inclure les adresses IP distantes que vous voulez autoriser.

Création d'un connecteur de réception personnalisé

  1. Ouvrez la console de gestion Exchange. Exécutez une des étapes suivantes :

    • Sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, sélectionnez Transport Edge, puis cliquez sur l'onglet Connecteurs de réception.

    • Pour créer un connecteur de réception sur un rôle serveur de transport Hub, dans l'arborescence de la console, développez Configuration du serveur, puis sélectionnez Transport Hub. Dans le volet Résultats, sélectionnez le serveur sur lequel vous voulez créer le connecteur, puis cliquez sur l'onglet Connecteurs de réception.

  2. Dans le volet Actions, cliquez sur Nouveau connecteur de réception. L'Assistant Nouveau connecteur de réception SMTP démarre.

  3. Dans le page Introduction, tapez un nom significatif pour ce connecteur dans le champ Nom. Ce nom permet d'identifier le connecteur.

  4. Dans le champ Sélectionner l'usage de ce connecteur, sélectionnez Personnalisé pour créer un connecteur personnalisé qui sera utilisé pour la connexion aux systèmes qui n'exécutent pas Exchange Server.

  5. Cliquez sur Suivant.

  6. Dans la page Paramètres du réseau distant, entrez l'adresse IP ou la plage d'adresses IP des serveurs distants à partir desquels le connecteur acceptera les connexions entrantes. Pour ajouter l'adresse IP ou la plage d'adresses IP distantes, utilisez une des méthodes suivantes :

    • Pour entrer une adresse IP ou un sous-réseau sans masque de sous-réseau, ou pour spécifier le masque de sous-réseau à l'aide d'une notation CIDR (Classless Interdomain Routing), cliquez sur Ajouter ou sur la flèche à côté de Ajouter, puis sélectionnez Adresse IP.

    • Dans la boîte de dialogue Ajouter une ou des adresses de serveurs distants, entrez l'adresse IP à l'aide d'une des méthodes suivantes :

      Entrez une adresse IP sans masque de sous-réseau. Par exemple, entrez 192.168.1.0. Si vous ne spécifiez pas de masque de sous-réseau à l'aide d'une notation CIDR, le masque de sous-réseau par défaut classful est défini.

      Entrez une adresse IP avec la notation CIDR. Par exemple, entrez 192.168.1.0/24.

    • Pour entrer une adresse IP ou un sous-réseau en même temps qu'un masque de sous-réseau dans un format décimal avec points de séparation, cliquez sur la flèche à côté de Ajouter, puis sélectionnez IP et masque. Dans la boîte de dialogue Ajouter des serveurs distants - IP et masque, entrez l'adresse IP et le masque de sous-réseau à l'aide de la syntaxe suivante :

      Adresse IP   Par exemple, entrez 192.168.1.0.

      Masque de sous-réseau   Par exemple, entrez 255.255.255.0.

    • Pour spécifier une plage d'adresses IP à l'aide de la première et de la dernière adresses IP de la plage, cliquez sur la flèche déroulante à côté de Ajouter, puis sélectionnez Plage IP. Dans la boîte de dialogue Ajouter des serveurs distants - Plage IP, entrez l'adresse IP et le masque de sous-réseau à l'aide de la syntaxe suivante :

      Adresse de début   Par exemple, entrez 192.168.1.1.

      Adresse de fin   Par exemple, entrez 192.168.255.255.

      Comme vous ne pouvez pas spécifier de masque de sous-réseau, le masque de sous réseau par défaut classful est défini.

  7. Lorsque vous avez terminé, cliquez sur OK, puis sur Suivant.

  8. Dans la page Nouveau connecteur, consultez le résumé de la configuration pour le connecteur. Pour modifier les paramètres, cliquez sur Précédent. Pour créer le connecteur de réception en utilisant les paramètres du résumé de la configuration, cliquez sur Nouveau.

  9. Dans la page Achèvement, cliquez sur Terminer.

Création d'un connecteur sécurisé de l'extérieur pour le connecteur de réception personnalisé

La création d'un connecteur sécurisé de l'extérieur pour le nouveau connecteur de réception est préconisée dans la plupart des situations dans lesquelles une application assure l'envoi de messages électroniques aux utilisateurs internes et le relais de messages électroniques vers Internet.

Avant de créer ce connecteur, vous devez activer le groupe d'autorisation Serveurs Exchange.

Notes

Vous devez effectuer les étapes suivantes dans l'ordre dans lequel elles sont présentées.

Création d'un connecteur sécurisé de l'extérieur pour le connecteur de réception personnalisé

  1. Cliquez avec le bouton droit sur le nouveau connecteur, cliquez sur Propriétés, puis sur l'onglet Groupes d'autorisation, puis sélectionnez Serveurs Exchange.

  2. Cliquez sur l'onglet Authentification, puis activez la case à cocher Sécurisé de l'extérieur.

Lorsque vous configurez ce paramètre, plusieurs droits vous sont octroyés, notamment le droit d'envoyer des messages de la part d'autres utilisateurs dans votre organisation et le droit « ResolveP2 » (pour que les messages apparaissent comme envoyés au sein de l'organisation plutôt que de façon anonyme). Ce paramètre vous permet également d'ignorer le filtrage du courrier indésirable et les limites de taille. Les autorisations Sécurisé de l'extérieur par défaut sont les suivantes :

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Accept-Authoritative-Domain}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-Bypass-Anti-Spam}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-Bypass-Message-Size-Limit}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Accept-Exch50}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-Accept-Headers-Routing}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Submit}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Accept-Any-Recipient}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Accept-Authentication-Flag}

  • MS Exchange\Serveurs sécurisés de l'extérieur {ms-Exch-SMTP-Accept-Any-Sender}

Octroi des autorisations anonymes au connecteur de réception personnalisé

Cette option octroie le nombre minimal d'autorisations requises à l'application d'envoi. Avec le connecteur de réception personnalisé créé précédemment, vous pouvez octroyer l'autorisation ms-Exch-SMTP-Accept-Any-Recipient au compte anonyme.

Octroi des autorisations anonymes au connecteur de réception personnalisé

  1. Cliquez avec le bouton droit sur le nouveau connecteur, puis cliquez sur Propriétés, sur l'onglet Groupes d'autorisation, puis sélectionnez Utilisateurs anonymes.

    Ceci permet d'octroyer les autorisations courantes au compte anonyme mais pas l'autorisation de relais. Cette étape doit être effectuée via l'environnement de ligne de commande Exchange Management Shell.

  2. Cliquez sur Démarrer, Tous les programmes, Microsoft Exchange Server 2007, puis Environnement de ligne de commande Exchange Management Shell.

  3. À l'invite de commandes, entrez la commande suivante, puis appuyez sur ENTRÉE :

    Get-ReceiveConnector "CRM Application" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"