Planification de la sécurité de domaine

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-02-27

Domain Security fait référence à l’ensemble des fonctionnalités de Microsoft Exchange Server 2007 et de Microsoft Office Outlook 2007 qui fournissent une alternative relativement économique à S/MIME ou à d'autres solutions de sécurité au niveau message. Le rôle de la fonctionnalité Domain Security définie est de fournir aux administrateurs un moyen de gérer les chemins de messages sécurisés sur Internet avec les partenaires commerciaux. Une fois que ces chemins de messages sécurisés sont configurés, les messages ayant voyagé avec succès sur le chemin sécurisé d'un expéditeur authentifié sont affichés à l’attention de l'utilisateur comme « Domaine sécurisé » dans l'interface Outlook et Outlook Web Access.

La sécurité de domaine utilise le protocole TLS (Transport Layer Security) avec authentification mutuelle pour fournir une authentification et un chiffrement basés sur la session. Le protocole TLS avec authentification mutuelle diffère du protocole TLS tel qu’il est généralement implémenté. Généralement, lorsque TLS est implémenté, le client vérifie que la connexion se connecte de manière sécurisée au serveur souhaité en validant le certificat du serveur. Celui-ci est reçu dans le cadre de la négociation TLS. Dans ce scénario, le client authentifie le serveur avant que le client ne transmette les données. Toutefois, le serveur n’authentifie pas la session auprès du client.

Avec l’authentification TLS manuelle, chaque serveur vérifie la connexion auprès de l'autre serveur en validant un certificat fourni par l'autre serveur. Dans ce scénario, lorsque des messages sont reçus de domaines externes sur des connexions vérifiées dans un environnement Exchange 2007, Outlook 2007 affiche une icône « Domaine sécurisé ».

importantImportant :
Une explication détaillée des technologies et concepts concernant la cryptographie et les certificats sort du cadre de cette rubrique. Avant de déployer une solution de sécurité qui utilise la cryptographie et les certificats numériques, il est conseillé de comprendre les concepts de base de l’approbation, de l’authentification, du chiffrement et de l’échange de clés publiques et privées. Pour plus d'informations, consultez les références répertoriées à la fin de cette rubrique.

Validation de certificats TLS

Pour comprendre la sécurité globale et la fiabilité résultante d'une transmission TLS mutuelle, vous devez comprendre la manière dont le certificat TLS sous-jacent est validé.

Exchange 2007 comprend un ensemble de cmdlets permettant de créer, de demander et de gérer les certificats TLS. Par défaut, ces certificats ont été auto-signés. Un certificat auto-signé est un certificat signé par son propre créateur. Dans Exchange 2007, les certificats auto-signés sont créés par l’ordinateur qui exécute Microsoft Exchange à l’aide de l’API de certificat (CAPI) Microsoft Windows sous-jacente. Les certificats étant auto-signés, les certificats obtenus sont moins dignes de confiance que les certificats générés par l’infrastructure à clé publique (PKI) ou une autorité de certification tierce. Nous vous recommandons donc d’utiliser les certificats auto-signés pour le courrier interne uniquement. De la même façon, si les organisations de réception avec lesquelles vous échangez manuellement des messages électroniques de domaine sécurisé ajoutent votre certificat auto-signé au magasin de certificats racines approuvés de chacun de leurs serveurs de transport Edge entrants, les certificats auto-signés sont approuvés explicitement.

Pour les connexions qui traversent Internet, il est vivement conseiller de générer des certificats TLS avec une infrastructure à clé publique ou une autorité de certification tierce. La génération de clés TLS avec une infrastructure à clé publique ou une autorité de certification tierce réduit la gestion globale de la sécurité de domaine. Pour plus d’informations sur les options concernant les certificats approuvés et la sécurité de domaine, consultez la rubrique Procédure d'activation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.

Vous pouvez utiliser les cmdlets de certificat Exchange 2007 pour générer des demandes de certificat pour votre propre infrastructure à clé publique ou pour des autorités de certification tierces. Pour plus d'informations, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.

Pour plus d'informations sur la configuration de Domain Security, consultez les documents suivants :

Utilisation des services Exchange hébergés

La sécurité au niveau message est améliorée par les services hébergés Microsoft Exchange ou disponible auprès de ces sites. Les services Exchange hébergés comprennent quatre services hébergés distincts :

  • Filtrage hébergé, qui aide les organisations à se protéger des logiciels nuisibles de type e-mail-borne ;

  • Archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité ;

  • Chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité ;

  • Continuité hébergée, qui les aide à conserver l'accès à la messagerie pendant et après des situations d'urgence.

Ces services s'intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d'informations sur les services Exchange hébergés, consultez la rubrique Services Microsoft Exchange hébergés.

Pour plus d'informations

Pour plus d'informations sur les technologies et les concepts liés à la cryptographie et aux certificats, consultez les ressources suivantes :

  • Housley, Russ et Tim Polk. Planification de l'infrastructure à clé publique (PKI) : Guide des meilleures pratiques pour le déploiement d’une infrastructure ç clé publique (Best Practices Guide for Deploying Public Key Infrastructure) New York : John Wiley & Son, Inc., 2001.

  • Adams, Carlisle et Steve Lloyd. Cryptographie Appliquée : Algorithmes, protocoles et codes source en langage C, 2e Edition. (Applied Cryptography : Protocols, Algorithms, and Source Code in C, 2nd Edition). New York : John Wiley & Son, Inc., 1996.

  • Meilleures pratiques pour l'implémentation d'une infrastructure à clé publique Microsoft Windows Server 2003