Processus d'autorisation du relais anonyme sur un connecteur de réception

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-07-02

Cette rubrique décrit l'utilisation de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell pour créer et configurer un connecteur de réception autorisant le relais anonyme. Le connecteur de réception est configuré sur les serveurs sur lesquels le rôle serveur de transport Hub ou serveur de transport Edge Microsoft Exchange Server 2007 est installé.

Le relais est le transfert des messages d'un serveur de messagerie SMTP vers un autre lorsque le serveur de messagerie SMTP d'acceptation ne correspond pas à la destination finale du message. Lorsqu'il n'est pas restreint, le relais anonyme sur les serveurs de messagerie SMTP Internet constitue un problème de sécurité considérable pouvant être exploité par des expéditeurs de messages électroniques commerciaux non sollicités ou de courrier indésirable pour masquer la source de leurs messages. Par conséquent, des restrictions sont placées sur les serveurs de messagerie Internet pour empêcher le relais de destinations non autorisées.

Dans Exchange 2007, le relais est généralement géré à l'aide de domaines acceptés. Les domaines acceptés sont configurés sur le serveur de transport Edge ou de transport Hub. Les domaines acceptés sont classés comme des domaines de relais internes ou externes. Pour plus d'informations sur les domaines acceptés, consultez la rubrique Gestion des domaines acceptés.

Vous pouvez également restreindre le relais anonyme selon la source des messages entrants. Cette méthode est utile lorsqu'une application ou un serveur de messagerie non authentifié doit utiliser un serveur de transport Hub ou de transport Edge comme serveur de relais.

Avant de commencer

Pour exécuter cette procédure, vous devez utiliser un compte auquel ont été délégués :

  • le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible.

Pour exécuter les procédures suivantes sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

Création d'un connecteur de réception autorisant le relais anonyme vers des adresses IP sources spécifiques

Lorsque vous créez un connecteur de réception configuré pour autoriser le relais anonyme, vous devez placer les restrictions suivantes sur le connecteur de réception :

  • Paramètres du réseau local   Placez des restrictions sur le connecteur de réception pour qu'il écoute uniquement sur la carte réseau appropriée du serveur de transport Hub ou de transport Edge.

  • Paramètres du réseau distant   Placez des restrictions sur le connecteur de réception pour qu'il accepte des connexions provenant du ou des serveurs spécifiés uniquement. Cette restriction est nécessaire car le connecteur de réception est configuré pour accepter le relais d'utilisateurs anonymes. La restriction des serveurs sources par l'adresse IP est la seule mesure de protection autorisée sur ce connecteur de réception.

Pour octroyer l'autorisation de relais aux utilisateurs anonymes sur le connecteur de réception, vous pouvez utiliser l'une des stratégies décrites dans les sections suivantes. Chaque stratégie présente des avantages et des inconvénients.

Octroi de l'autorisation de relais aux connexions anonymes

Cette stratégie implique les tâches suivantes :

  • Créer un connecteur de réception dont le type d'utilisation est défini sur Custom.

  • Ajouter le groupe Autorisation anonyme au connecteur de réception.

  • Associer l'autorisation de relais à l'entité de sécurité d'ouverture de session anonyme sur le connecteur de réception.

Le groupe Autorisation anonyme dote l'entité de sécurité Ouverture de session anonyme sur le connecteur de réception des autorisations suivantes :

  • Ms-Exch-Accept-Headers-Routing ;

  • Ms-Exch-SMTP-Accept-Any-Sender ;

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ;

  • Ms-Exch-SMTP-Submit ;

Pour autoriser le relais anonyme sur ce connecteur de réception, vous devez également octroyer l'autorisation suivante à l'entité de sécurité Ouverture de session anonyme sur le connecteur de réception :

  • Ms-Exchange-SMTP-Accept-Any-Recipient.

Cette stratégie présente l'avantage d'octroyer les autorisations minimales requises pour le relais aux adresses IP distantes spécifiées.

Elle comporte par ailleurs les inconvénients suivants :

  • Vous pouvez uniquement affecter l'autorisation de relais au compte d'ouverture de session anonyme sur le connecteur de réception à l'aide de l'environnement de ligne de commande Exchange Management Shell dans une étape indépendante après la création du connecteur de réception.

  • Les messages provenant des adresses IP spécifiées sont considérés comme des messages anonymes. Par conséquent, les messages sont soumis aux vérifications anti-courrier indésirable et de limite de taille de message et les expéditeurs anonymes ne peuvent pas être résolus. Le processus de résolution des expéditeurs anonymes entraîne une tentative de mise en correspondance entre l'adresse de messagerie de l'expéditeur anonyme et le nom complet correspondant dans la liste d'adresses globale.

    noteRemarque :
    Si Exchange 2007 Service Pack 1 (SP1) est déployé sur un ordinateur exécutant Windows Server 2008, vous pouvez entrer des adresses IP et des plages d'adresses IP au format du protocole IPv4, du protocole IPv6 ou aux deux formats. Une installation par défaut de Windows Server 2008 prend en charge les protocoles IPv4 et IPv6.
    Il est fortement déconseillé de configurer les connecteurs de réception pour accepter des connexions anonymes d'adresses IPv6 inconnues. Si vous configurez un connecteur de réception pour accepter des connexions anonymes d'adresses IPv6 inconnues, il est probable que la quantité de courrier indésirable pénétrant au sein de votre organisation augmente. Il n'existe pas actuellement de protocole standard largement accepté pour la recherche d'adresses IPv6. La plupart des fournisseurs de listes d'adresses IP bloquées ne prennent pas en charge les adresses IPv6. C'est pourquoi, si vous autorisez des connexions anonymes à partir d'adresses IPv6 inconnues sur un connecteur de réception, vous augmentez la probabilité que des expéditeurs de courrier indésirable contournent les listes d'adresses bloquées et parviennent à faire pénétrer du courrier indésirable dans votre organisation.
    Pour plus d'informations sur la prise en charge par Exchange 2007 SP1 des adresses IPv6, consultez la rubrique Prise en charge du protocole IPv6 dans Exchange 2007 SP1 et SP2. Pour plus d'informations sur le filtrage des connexions, sur l'ajout d'adresses IP aux listes d'adresses IP autorisées et bloquées ainsi que sur la configuration fournisseurs de liste d'adresses IP bloquées et autorisées, consultez la rubrique Configuration du filtrage des connexions.

Utilisation de la console de gestion Exchange pour créer un connecteur de réception octroyant l'autorisation de relais aux connexions anonymes

  1. Ouvrez la console de gestion Exchange. Exécutez une des étapes suivantes :

    1. Pour créer un connecteur de réception sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, sélectionnez Transport Edge, puis, dans le volet Travail, cliquez sur l'onglet Connecteurs de réception.

    2. Pour créer un connecteur de réception sur un rôle serveur de transport Hub, dans l'arborescence de la console, développez Configuration du serveur, puis sélectionnez Transport Hub. Dans le volet Résultats, sélectionnez le serveur sur lequel vous voulez créer le connecteur, puis cliquez sur l'onglet Connecteurs de réception.

  2. Dans le volet Actions, cliquez sur Nouveau connecteur de réception. L'Assistant Nouveau connecteur de réception SMTP démarre.

  3. Dans la page Introduction, procédez comme suit :

    1. Dans le champ Nom : tapez un nom significatif pour ce connecteur. Ce nom permet d'identifier le connecteur.

    2. Dans le champ Sélectionner l'usage de ce connecteur : , sélectionnez Personnaliser.

    3. Cliquez sur Suivant.

  4. Dans la page Paramètres du réseau local, procédez comme suit :

    1. Sélectionnez l'entrée Tous disponibles, puis cliquez sur Icône Suppression.

    2. Cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une liaison du connecteur de réception, sélectionnez Spécifier une adresse IP. Tapez une adresse IP associée à une carte réseau sur le serveur local le plus à même de communiquer avec le serveur de messagerie distant.

    3. Dans la page Paramètres du réseau local, dans le champ Port, tapez 25, puis cliquez sur OK.

    4. Cliquez sur Suivant.

  5. Dans la page Paramètres du réseau distant, procédez comme suit :

    1. Sélectionnez l'entrée 0.0.0.0 - 255.255.255.255 existante, puis cliquez sur Icône Suppression.

    2. Cliquez sur Ajouter ou sur la flèche de liste déroulante à côté de Ajouter, puis tapez l'adresse IP ou la plage d'adresses IP du ou des serveurs de messagerie distants autorisés à relayer des messages sur ce serveur. Lorsque vous avez fini d'entrer les adresses IP, cliquez sur OK.

    3. Cliquez sur Suivant.

  6. Dans la page Nouveau connecteur, consultez le résumé de la configuration pour le connecteur. Pour modifier les paramètres, cliquez sur Précédent. Pour créer le connecteur de réception à l'aide des paramètres du résumé de la configuration, cliquez sur Nouveau.

  7. Dans la page Achèvement, cliquez sur Terminer.

  8. Dans le volet Travail, sélectionnez le connecteur de réception que vous avez créé.

  9. Sous le nom du connecteur de réception dans le volet Actions, cliquez sur Propriétés pour ouvrir la page Propriétés.

  10. Cliquez sur l'onglet Groupes d'autorisations. Sélectionnez Utilisateurs anonymes.

  11. Cliquez sur OK pour enregistrer vos modifications et quitter la page Propriétés.

  12. Ouvrez l'environnement de ligne de commande Exchange Management Shell.

  13. Exécutez la commande suivante en utilisant le nom du connecteur de réception que vous avez créé lors des étapes 1 à 11 :

    Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour créer un connecteur de réception octroyant l'autorisation de relais aux connexions anonymes

  1. Exécutez la commande suivante :

    New-ReceiveConnector -Name <Name> -Usage Custom -PermissionGroups AnonymousUsers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
    

    Par exemple, pour créer un connecteur de réception nommé « Anonymous Relay » qui écoute sur l'adresse IP locale 10.2.3.4 sur le port 25 à partir d'un serveur source associé à l'adresse IP 192.168.5.77, exécutez la commande suivante :

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    
  2. Exécutez la commande suivante en utilisant le nom du connecteur de réception que vous avez créé lors de l'étape 1 :

    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    

Configuration du connecteur de réception comme sécurisé de l'extérieur

Cette stratégie implique les tâches suivantes :

  • Créer un connecteur de réception dont le type d'utilisation est défini sur Custom.

  • Ajouter le groupe d'autorisation Serveurs Exchange au connecteur de réception.

  • Ajouter le mécanisme d'authentification ExternalAuthoritative au connecteur de réception.

Le groupe d'autorisations Serveurs Exchange est requis lorsque vous sélectionnez le mécanisme d'authentification ExternalAuthoritative. Cette combinaison de la méthode d'authentification et du groupe d'autorisation octroie les autorisations suivantes à toute connexion entrante autorisée sur le connecteur de réception :

  • Ms-Exch-Accept-Headers-Routing ;

  • Ms-Exch-SMTP-Accept-Any-Sender ;

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ;

  • Ms-Exch-SMTP-Submit ;

  • Ms-Exch-Accept-Exch50 ;

  • Ms-Exch-Bypass-Anti-Spam ;

  • Ms-Exch-Bypass-Message-Size-Limit ;

  • Ms-Exch-SMTP-Accept-Any-Recipient ;

  • Ms-Exch-SMTP-Accept-Authentication-Flag.

Elle comporte les avantages suivants :

  • Configuration aisée.

  • Les messages provenant des adresses IP spécifiées sont considérés comme des messages authentifiés. Les messages ne sont pas soumis aux vérifications anti-courrier indésirable et de limite de taille de message et peuvent résoudre les expéditeurs anonymes.

L'inconvénient de cette stratégie est que les adresses IP distantes sont considérées comme totalement fiables. Les autorisations octroyées aux adresses IP distantes permettent au serveur de messagerie distant de remettre les messages comme s'ils provenaient d'expéditeurs internes à votre organisation Exchange.

Utilisation de la console de gestion Exchange pour créer un connecteur de réception configuré comme sécurisé de l'extérieur

  1. Ouvrez la console de gestion Exchange. Exécutez une des étapes suivantes :

    1. Pour créer un connecteur de réception sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, sélectionnez Transport Edge, puis, dans le volet Travail, cliquez sur l'onglet Connecteurs de réception.

    2. Pour créer un connecteur de réception sur un rôle serveur de transport Hub, dans l'arborescence de la console, développez Configuration du serveur, puis sélectionnez Transport Hub. Dans le volet Résultats, sélectionnez le serveur sur lequel vous voulez créer le connecteur, puis cliquez sur l'onglet Connecteurs de réception.

  2. Dans le volet Actions, cliquez sur Nouveau connecteur de réception. L'Assistant Nouveau connecteur de réception SMTP démarre.

  3. Dans la page Introduction, procédez comme suit :

    1. Dans le champ Nom : tapez un nom significatif pour ce connecteur. Ce nom permet d'identifier le connecteur.

    2. Dans le champ Sélectionner l'usage de ce connecteur : , sélectionnez Personnaliser.

    3. Cliquez sur Suivant.

  4. Dans la page Paramètres du réseau local, procédez comme suit :

    1. Sélectionnez l'entrée Tous disponibles, puis cliquez sur Icône Suppression.

    2. Cliquez sur Ajouter. Dans la boîte de dialogue Ajouter une liaison du connecteur de réception, sélectionnez Spécifier une adresse IP. Tapez une adresse IP associée à une carte réseau sur le serveur local le plus à même de communiquer avec le serveur de messagerie distant.

    3. Dans la page Paramètres du réseau local, dans le champ Port, tapez 25, puis cliquez sur OK.

    4. Cliquez sur Suivant.

  5. Dans la page Paramètres du réseau distant, procédez comme suit :

    1. Sélectionnez l'entrée 0.0.0.0 - 255.255.255.255 existante, puis cliquez sur Icône Suppression.

    2. Cliquez sur Ajouter ou sur la flèche de liste déroulante à côté de Ajouter, puis tapez l'adresse IP ou la plage d'adresses IP du ou des serveurs de messagerie distants autorisés à relayer des messages sur ce serveur. Lorsque vous avez fini d'entrer les adresses IP, cliquez sur OK.

    3. Cliquez sur Suivant.

  6. Dans la page Nouveau connecteur, consultez le résumé de la configuration pour le connecteur. Pour modifier les paramètres, cliquez sur Précédent. Pour créer le connecteur de réception à l'aide des paramètres du résumé de la configuration, cliquez sur Nouveau.

  7. Dans la page Achèvement, cliquez sur Terminer.

  8. Dans le volet Travail, sélectionnez le connecteur de réception que vous avez créé.

  9. Sous le nom du connecteur de réception dans le volet Actions, cliquez sur Propriétés pour ouvrir la page Propriétés.

  10. Cliquez sur l'onglet Groupes d'autorisations. Sélectionnez Serveurs Exchange.

  11. Cliquez sur l'onglet Authentification. Sélectionnez Sécurisé de l'extérieur (par exemple, avec IPsec).

  12. Cliquez sur OK pour enregistrer vos modifications et quitter la page Propriétés.

Utilisation de la console de gestion Exchange pour créer un connecteur de réception configuré comme sécurisé de l'extérieur

  • Exécutez la commande suivante :

    New-ReceiveConnector -Name <Name> -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings <LocalIPAddress:25> -RemoteIpRanges <SourceServer>
    

    Par exemple, pour créer un connecteur de réception nommé « Anonymous Relay » qui écoute sur l'adresse IP locale 10.2.3.4 sur le port 25 à partir d'un serveur source associé à l'adresse IP 192.168.5.77, exécutez la commande suivante :

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :