Présentation du pare-feu d'en-tête

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-09-13

Dans Microsoft Exchange Server 2007, un pare-feu d'en-tête est un mécanisme qui supprimer des champs d'en-tête spécifiques de messages entrants et sortants. Les ordinateurs exécutant Exchange 2007 sur lesquels le rôle serveur de transport Hub ou serveur de transport Edge est installé insèrent des champs d'en-tête X personnalisés dans l'en-tête de message. Un en-tête X est un champ d'en-tête défini par l'utilisateur et non officiel qui existe dans l'en-tête de message. Les en-têtes X ne sont pas mentionnés spécifiquement dans RFC 2822, mais l'utilisation d'un champ d'en-tête non défini commençant par « X- » est devenu une manière reconnue d'ajouter des champs d'en-tête non officiels à un message. Les applications de messagerie, telles que les applications de blocage du courrier indésirable et des virus et les applications de serveur de messagerie, peuvent ajouter leurs propres en-têtes X à un message. Les champs d’en-tête X sont préservés mais ignorés par les serveurs et clients de messagerie qui ne les utilisent pas.

Les champs d'en-tête X contiennent des informations sur les actions exécutées sur le message par le serveur de transport, telles que le seuil de probabilité de courrier indésirable (SCL), les résultats du filtrage du contenu et l'état de traitement des règles. La divulgation de ces informations à des sources non autorisées peut constituer un risque pour la sécurité.

Le pare-feu d'en-tête empêche l'usurpation des en-têtes X en les supprimant des messages provenant de sources non approuvées qui entrent dans l'organisation Exchange. Le pare-feu d'en-tête empêche la divulgation de ces en-têtes X en les supprimant des messages sortants adressés à des destinations non approuvées en dehors de l'organisation Exchange. Le pare-feu d'en-tête empêche également l'usurpation des en-têtes de routage standard utilisés pour suivre l'historique de routage d'un message.

En-têtes X d'organisation et en-têtes X de forêt personnalisés utilisés dans Exchange 2007

Les en-têtes X d'organisation commencent par « X-MS-Exchange-Organization- ». Les en-têtes X de forêt commencent par « X-MS-Exchange-Forest- ».

Le tableau 1 décrit certains en-têtes X d'organisation et en-têtes X de forêt utilisés dans les messages au sein d'une organisation Exchange 2007.

Tableau 1   En-têtes X d'organisation et en-têtes X de forêt utilisés dans les messages au sein d'une organisation Exchange 2007

En-tête X Description

X-MS-Exchange-Forest-RulesExecuted

Cet en-tête X indique les règles de transport appliquées au message.

X-MS-Exchange-Organization-Antispam-Report

Cet en-tête X récapitule les résultats des filtres de blocage du courrier indésirable appliqués au message par l'Agent de filtrage du contenu.

X-MS-Exchange-Organization-AuthAs

Cet en-tête X est toujours présent lorsque la sécurité d'un message a été évaluée. Il spécifie la source d'authentification. Les valeurs possibles sont Anonymous, Internal, External ou Partner.

X-MS-Exchange-Organization-AuthDomain

Cet en-tête X est renseigné lors de l'authentification sécurisée de domaine. La valeur correspond au nom de domaine complet (FQDN) du domaine authentifié distant.

X-MS-Exchange-Organization-AuthMechanism

Cet en-tête X spécifie le mécanisme d'authentification utilisé pour le dépôt du message. La valeur est un nombre hexadécimal à deux chiffres.

X-MS-Exchange-Organization-AuthSource

Cet en-tête X spécifie le FQDN du serveur qui a évalué l'authentification du message pour le compte de l'organisation.

X-MS-Exchange-Organization-Journal-Report

L'en-tête X identifie les états de journal en cours de transport. Dès que le message quitte le serveur de serveur de transport, l'en-tête devient X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Cet en-tête X indique l'heure à laquelle le message est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-Original-Sender

Cet en-tête X indique l'expéditeur d'origine d'un message lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-OriginalSize

Cet en-tête X indique la taille d'origine d'un message lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-Original-Scl

Cet en-tête X indique le seuil SCL d'origine d'un message lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-PCL

Cet en-tête X indique le seuil de probabilité de courrier de hameçonnage (PCL). La plage des valeurs de PCL possibles s'étend de 1 à 8. Une valeur élevée indique un message suspect. Pour plus d'informations, consultez la rubrique Marquages de courrier indésirable.

X-MS-Exchange-Organization-Quarantine

Cet en-tête X indique que le message a été mis en quarantaine dans la boîte aux lettres de mise en quarantaine du courrier indésirable et qu'une notification d'état de remise a été envoyée. Il peut également indiquer que le message a été mis en quarantaine, puis libéré par l'administrateur. Ce champ d'en-tête X empêche le nouveau dépôt du message libéré dans la boîte aux lettres de mise en quarantaine du courrier indésirable. Pour plus d'informations, consultez la rubrique Procédure de récupération des messages mis en quarantaine à partir de la boîte aux lettres de mise en quarantaine du courrier indésirable..

X-MS-Exchange-Organization-SCL

Cet en-tête X identifie le SCL du message. La plage des valeurs de SCL possibles s'étend de 0 à 9. Une valeur élevée indique un message suspect. La valeur spéciale -1 exempte le message de tout traitement par l'Agent de filtrage du contenu. Pour plus d'informations, consultez la rubrique Configuration du filtrage du contenu.

X-MS-Exchange-Organization-SenderIdResult

Cet en-tête X contient les résultats de l'Agent d'ID de l'expéditeur. L'agent d'ID de l'expéditeur utilise le SPF (sender policy framework) pour comparer l'adresse IP source du message au domaine utilisé dans l'adresse de messagerie de l'expéditeur. Les résultats de l'ID de l'expéditeur permettent de calculer le SCL d'un message. Pour plus d'informations, consultez la rubrique ID de l'expéditeur.

Pare-feu d'en-tête pour les en-têtes X d'organisation et les en-têtes X de forêt

Exchange 2007 applique un pare-feu d'en-tête aux en-têtes X d'organisation et de forêt qui existent dans les messages comme suit :

  • Des autorisations utilisables pour préserver ou supprimer des en-têtes X spécifiques dans les messages sont attribuées aux connecteurs d'envoi ou de réception.

  • Un pare-feu d'en-tête est automatiquement implémenté pour les en-têtes X des messages au cours d'autres types de dépôt de messages.

Procédure d'application d'un pare-feu d'en-tête à des en-têtes X d'organisation et des en-têtes X de forêt dans les messages

Un pare-feu d'en-tête pour les en-têtes X d'organisation et en-têtes X de forêt existant dans les messages entrants consiste en deux autorisations spécifiques attribuées à un connecteur de réception configuré sur un serveur de transport Hub ou un serveur de transport Edge :

  • Si les autorisations sont attribuées au connecteur de réception, aucun pare-feu d'en-tête n'est appliqué au message. Les en-têtes X d'organisation ou de forêt du message sont préservés.

  • Si les autorisations ne sont pas appliquées au connecteur de réception, un pare-feu d'en-tête est appliqué au message. Les en-têtes X d'organisation ou de forêt sont supprimés du message.

Le tableau 2 décrit les autorisations de pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt disponibles sur un connecteur de réception.

Tableau 2   Autorisations de pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt disponibles sur un connecteur de réception pour les messages entrants

Autorisation Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Groupe d'autorisations dont les entités de sécurité sont membres Par défaut, le type d'utilisation qui attribue les groupes d'autorisations au connecteur de réception Description

Ms-Exch-Accept-Headers-Organization

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

ExchangeServers

Internal

Cette autorisation s'applique aux en-têtes X d'organisation. Les en-têtes X d'organisation commencent par « X-MS-Exchange-Organization- ». Si cette autorisation n'est pas octroyée, le serveur de réception supprime tous les en-têtes d'organisation du message.

Ms-Exch-Accept-Headers-Forest

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

ExchangeServers

Internal

Cette autorisation s'applique aux en-têtes X de forêt. Les en-têtes X de forêt commencent par « X-MS-Exchange-Forest- ». Si cette autorisation n'est pas octroyée, le serveur de réception supprime tous les en-têtes de forêt du message.

Pour appliquer un pare-feu d'en-tête à des en-têtes X d'organisation et de forêt dans un scénario de connecteur de réception personnalisé, utilisez l'une des méthodes suivantes :

  • Créez un connecteur de réception, puis sélectionnez un type d'utilisation autre que Internal. Vous ne pouvez définir le type d'utilisation du connecteur de réception que lors de la création du connecteur. Pour plus d'informations, consultez la rubrique Procédure de création d'un connecteur de réception.

  • Modifiez un connecteur de réception existant et supprimez le groupe d'autorisations ExchangeServers. Pour plus d'informations, consultez la rubrique Procédure de modification de la configuration d'un connecteur de réception.

  • La cmdlet Remove-ADPermission permet de supprimer l'autorisation Ms-Exch-Accept-Headers-Organization et l'autorisation Ms-Exch-Accept-Headers-Forest d'une entité de sécurité configurée sur le connecteur de réception. Cette méthode ne fonctionne pas si l'autorisation a été attribuée à l'entité de sécurité à l'aide d'un groupe d'autorisations. Vous ne pouvez pas modifier les autorisations attribuées ou l'appartenance à un groupe d'un groupe d'autorisations. Pour plus d'informations, consultez la rubrique Remove-ADPermission.

  • La cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Accept-Headers-Organization et l'autorisation Ms-Exch-Accept-Headers-Forest à une entité de sécurité configurée sur le connecteur de réception. Pour plus d'informations, consultez la rubrique Add-ADPermission.

Procédure d'application d'un pare-feu d'en-tête à des en-têtes X d'organisation et des en-têtes X de forêt dans des messages sortants

Un pare-feu d'en-tête pour les en-têtes X d'organisation et en-têtes X de forêt existant dans des messages sortants consiste en deux autorisations spécifiques attribuées à un connecteur d'envoi configuré sur un serveur de transport Hub ou un serveur de transport Edge :

  • Si les autorisations sont attribuées au connecteur d'envoi, aucun pare-feu d'en-tête n'est appliqué au message. Les en-têtes X d'organisation ou de forêt du message sont préservés.

  • Si les autorisations ne sont pas appliquées au connecteur d'envoi, un pare-feu d'en-tête est appliqué au message. Les en-têtes X d'organisation et de forêt sont supprimés du message.

Le tableau 3 décrit les autorisations de pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt disponibles sur un connecteur d'envoi.

Tableau 3   Autorisations de pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt disponibles sur un connecteur d'envoi pour les messages sortants

Autorisation Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Par défaut, le type d'utilisation qui attribue les entités de sécurité au connecteur d'envoi Description

Ms-Exch-Send-Headers-Organization

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

  • Groupe de sécurité universel Interop hérité d'Exchange

  • Serveurs têtes de pont Exchange Server 2003 et Exchange 2000 Server

Internal

Cette autorisation s'applique aux en-têtes X d'organisation. Les en-têtes X d'organisation commencent par « X-MS-Exchange-Organization- ». Si cette autorisation n'est pas octroyée, le serveur d'envoi supprime tous les en-têtes d'organisation du message.

Ms-Exch-Send-Headers-Forest

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

  • Groupe de sécurité universel Interop hérité d'Exchange

  • Serveurs têtes de pont Exchange 2003 et Exchange 2000

Internal

Cette autorisation s'applique aux en-têtes X de forêt. Les en-têtes X de forêt commencent par « X-MS-Exchange-Forest- ». Si cette autorisation n'est pas octroyée, le serveur d'envoi supprime tous les en-têtes de forêt du message.

Pour appliquer un pare-feu d'en-tête à des en-têtes X d'organisation ou de forêt dans un scénario de connecteur d'envoi personnalisé, utilisez l'une des méthodes suivantes :

  • Créez un connecteur d'envoi, puis sélectionnez un type d'utilisation autre que Internal ou Partner. Vous ne pouvez définir le type d'utilisation du connecteur d'envoi que lors de la création du connecteur. Pour plus d'informations, consultez la rubrique Procédure de création d'un connecteur d'envoi.

  • Supprimez du connecteur une entité de sécurité qui attribue les autorisations Ms-Exch-Send-Headers-Organization et Ms-Exch-Send-Headers-Forest. Pour plus d'informations, consultez la rubrique Procédure de modification de la configuration d'un connecteur d'envoi.

  • La cmdlet Remove-ADPermission permet de supprimer l'autorisation Ms-Exch-Send-Headers-Organization et l'autorisation Ms-Exch-Send-Headers-Forest d'une entité de sécurité configurée sur le connecteur de réception. Pour plus d'informations, consultez la rubrique Remove-ADPermission.

  • La cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Send-Headers-Organization et l'autorisation Ms-Exch-Send-Headers-Forest à l'une des entités de sécurité configurées sur le connecteur d'envoi. Pour plus d'informations, consultez la rubrique Add-ADPermission.

Procédure d'application d'un pare-feu d'en-tête à des en-têtes X d'organisation et des en-têtes X de forêt d'autres sources de messages

Les messages peuvent entrer dans le pipeline de transport Exchange 2007 sur un serveur de transport Hub ou un serveur de transport Edge sans utiliser de connecteurs d'envoi ou de réception. Un pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est appliqué aux messages provenant de ces autres sources de messages, comme indiqué dans la liste suivante :

  • Répertoire de collecte   Le répertoire de collecte est utilisé par les administrateurs ou les applications pour déposer des fichiers de messages. Un pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est toujours appliqué aux fichiers de messages dans le répertoire de collecte. Pour plus d'informations sur le répertoire de collecte, consultez la rubrique Gestion du répertoire de collecte.

  • Répertoire de relecture   Le répertoire de relecture permet de déposer de nouveau des messages exportés à partir de files d'attente des messages Exchange 2007. Le mode d'application du pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt à ces messages est contrôlé par le champ d'en-tête X-CreatedBy: dans le fichier de message :

    • Si la valeur de ce champ d'en-tête est MSExchange12, aucun pare-feu d'en-tête n'est appliqué au message.

    • Si la valeur de X-CreatedBy: n'est pas MSExchange12, un pare-feu d'en-tête est appliqué.

    • Si le champ d'en-tête X-CreatedBy: n'existe pas dans le fichier de message, un pare-feu d'en-tête est appliqué.

    Pour plus d'informations sur le répertoire de relecture, consultez la rubrique Gestion du répertoire de relecture.

  • Répertoire de dépôt   Le répertoire de dépôt est utilisé par les connecteurs étrangers sur des serveurs de transport Hub pour envoyer des messages à des serveurs de messagerie qui n'utilisent pas le protocole SMTP (Simple Mail Transfer Protocol) pour transférer des messages. Un pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est toujours appliqué aux fichiers de messages avant leur placement dans le répertoire de dépôt. Pour plus d'informations sur les connecteurs étrangers, consultez la rubrique Connecteurs étrangers.

  • Pilote de banque d'informations   Le pilote de banque d'informations sur les serveurs de transport Hub est utilisé pour l'échange de messages sur des serveurs de boîtes aux lettres. Pour les messages sortants créés et déposés à partir de boîtes aux lettres, le pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est toujours appliqué. Pour les messages entrants, le pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est appliqué de façon sélective. Les en-têtes X spécifiés dans la liste ci-après ne sont pas bloqués par le pare-feu d'en-tête pour les messages entrants adressés à des destinataires de boîte aux lettres :

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    Pour plus d'informations sur le pilote de banque d'informations, consultez la rubrique Architecture du transport.

  • Messages de notification d'état de remise   Un pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est toujours appliqué au message d'origine ou à l'en-tête de message d'origine associé au message de notification d'état de remise. Pour plus d'informations sur les messages de notification d'état de remise, consultez la rubrique Gestion des notifications d'état de remise.

  • Dépôt par des agents   Aucun pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt n'est appliqué aux messages déposés par des agents.

Pare-feu d'en-tête pour les en-têtes de routage

Les en-têtes de routage sont des champs d'en-tête SMTP standard définis dans RFC 2821 et RFC 2822. Les en-têtes de routage marquent un message à l'aide d'informations sur les différents serveurs de messagerie utilisés pour remettre le message au destinataire. Les en-têtes de routage disponibles sont décrits dans la liste ci-après :

  • Received:   Une autre instance de ce champ d'en-tête est ajoutée à l'en-tête de message par chaque serveur de messagerie ayant accepté et transmis le message au destinataire. L'en-tête Received: inclut généralement le nom du serveur de messagerie et un horodateur.

  • Resent-*:   Les champs d'en-tête Resent sont des champs informatifs qui permettent de déterminer si un message a été transféré par un utilisateur. Les champs d'en-tête Resent disponibles sont les suivants : Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: et Resent-Message-ID:.

    Les champs Resent sont utilisés de façon à ce que le message apparaisse au destinataire comme s'il était envoyé directement par l'expéditeur d'origine. Le destinataire peut afficher l'en-tête de message pour voir qui a transféré le message.

Les en-têtes de routage insérés dans les messages permettent de représenter sous un faux jour le chemin de routage qu'un message a parcouru pour atteindre un destinataire. Exchange 2007 utilise deux méthodes différentes pour appliquer un pare-feu d'en-tête aux en-têtes de routage existant dans les messages :

  • Des autorisations sont attribuées aux connecteurs d'envoi et de réception utilisables pour préserver ou supprimer des en-têtes de routage dans les messages.

  • Un pare-feu d'en-tête est automatiquement implémenté pour les en-têtes de routage des messages au cours d'autres types de dépôt de messages.

Procédure d'application d'un pare-feu d'en-tête à des en-têtes de routage dans des messages entrants

Des connecteurs de réception ont l'autorisation Ms-Exch-Accept-Headers-Routing utilisée pour accepter ou rejeter les en-têtes de routage existant dans un message entrant :

  • Si cette autorisation est octroyée, tous les en-têtes de routage sont préservés dans le message entrant.

  • Si cette autorisation n'est pas octroyée, tous les en-têtes de routage sont supprimés du message entrant.

Le tableau 4 décrit l'application par défaut de l'autorisation Ms-Exch-Accept-Headers-Routing sur un connecteur de réception.

Tableau 4   Application par défaut de l'autorisation Ms-Exch-Accept-Headers-Routing sur un connecteur de réception

Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Groupe d'autorisations dont les entités de sécurité sont membres Par défaut, le type d'utilisation qui attribue les groupes d'autorisations au connecteur de réception

Compte d'utilisateur anonyme

Anonyme

Internet

Comptes d'utilisateur authentifiés

ExchangeUsers

Client (indisponible sur les serveurs de transport Edge)

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

ExchangeServers

Internal

Groupe de sécurité Interop hérité d'Exchange

ExchangeLegacyServers

Internal

Compte de serveur partenaire

Partenaire

  • Internet

  • Partner

L'autorisation Ms-Exch-Accept-Headers-Routing est attribuée à tous les types d'utilisation, à l'exception de Custom. Pour appliquer un pare-feu d'en-tête à des en-têtes de routage dans un scénario de connecteur de réception personnalisé, procédez comme suit :

  1. Effectuez l'une des actions suivantes :

    • Créez un connecteur de réception, puis sélectionnez le type d'utilisation Custom. N'attribuez pas de groupes d'autorisations au connecteur de réception. Vous ne pouvez pas modifier les autorisations attribuées ou l'appartenance à un groupe d'un groupe d'autorisations.

    • Modifiez un connecteur de réception existant, puis définissez le paramètre PermissionGroups sur la valeur None.

  2. La cmdlet Add-ADPermission permet d'ajouter les entités de sécurité requises sur le connecteur de réception. Assurez-vous que l'autorisation Ms-Exch-Accept-Headers-Routing n'est attribuée à aucune entité de sécurité. Si nécessaire, la cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Accept-Headers-Routing à l'entité de sécurité que vous voulez configurer pour utiliser le connecteur de réception.

Pour plus d'informations, consultez les rubriques suivantes :

Procédure d'application d'un pare-feu d'en-tête à des en-têtes de routage dans des messages sortants

Des connecteurs d'envoi ont l'autorisation Ms-Exch-Send-Headers-Routing utilisée pour autoriser ou supprimer les en-têtes de routage existant dans un message sortant :

  • Si cette autorisation est octroyée, tous les en-têtes de routage sont préservés dans le message sortant.

  • Si cette autorisation n'est pas octroyée, tous les en-têtes de routage sont supprimés du message sortant.

Le tableau 5 décrit l'application par défaut de l'autorisation Ms-Exch-Send-Headers-Routing sur un connecteur d'envoi.

Tableau 5   Application par défaut de l'autorisation Ms-Exch-Send-Headers-Routing sur un connecteur d'envoi

Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Par défaut, le type d'utilisation qui attribue les entités de sécurité au connecteur d'envoi

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

  • Groupe de sécurité universel Interop hérité d'Exchange

  • Serveurs têtes de pont Exchange 2003 et Exchange 2000

Internal

Compte d'utilisateur anonyme

Internet

Serveurs partenaires

Partner

L'autorisation Ms-Exch-Send-Headers-Routing est attribuée à tous les types d'utilisation, à l'exception de Custom. Pour appliquer un pare-feu d'en-tête à des en-têtes de routage dans un scénario de connecteur d'envoi personnalisé, utilisez l'une des méthodes suivantes :

  • Créez un connecteur d'envoi, puis sélectionnez le type d'utilisation Custom. Vous ne pouvez définir le type d'utilisation du connecteur d'envoi que lors de la création du connecteur. Pour plus d'informations, consultez la rubrique Procédure de création d'un connecteur d'envoi.

  • Supprimez du connecteur une entité de sécurité qui attribue l'autorisation Ms-Exch-Send-Headers-Routing. Pour plus d'informations, consultez la rubrique Procédure de modification de la configuration d'un connecteur d'envoi.

  • La cmdlet Remove-ADPermission permet de supprimer l'autorisation Ms-Exch-Send-Headers-Routing d'une entité de sécurité configurée sur le connecteur d'envoi. Pour plus d'informations, consultez la rubrique Remove-ADPermission.

  • La cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Send-Headers-Routing à une entité de sécurité configurée sur le connecteur d'envoi. Pour plus d'informations, consultez la rubrique Add-ADPermission.

Procédure d'application d'un pare-feu d'en-tête à des en-têtes de routage d'autres sources de messages

Les messages peuvent entrer dans le pipeline de transport Exchange 2007 sur un serveur de transport Hub ou un serveur de transport Edge sans utiliser de connecteurs d'envoi ou de réception. Un pare-feu d'en-tête pour les en-têtes de routage est appliqué aux autres sources de messages décrites dans la liste suivante :

  • Répertoire de collecte   Le répertoire de collecte est utilisé par les administrateurs ou les applications pour déposer des fichiers de messages. Un pare-feu d'en-tête pour les en-têtes de routage est toujours appliqué aux fichiers de messages dans le répertoire de collecte. Pour plus d'informations sur le répertoire de collecte, consultez la rubrique Gestion du répertoire de collecte.

  • Pilote de banque d'informations   Le pilote de banque d'informations sur les serveurs de transport Hub est utilisé pour l'échange de messages sur des serveurs de boîtes aux lettres. Un pare-feu d'en-tête pour les en-têtes de routage est toujours appliqué aux messages envoyés à partir de boîtes aux lettres sur des serveurs de boîtes aux lettres. Le pare-feu d'en-tête pour le routage des en-têtes n'est pas appliqué aux messages entrants pour la remise à des destinataires de boîte aux lettres. Pour plus d'informations sur le pilote de banque d'informations, consultez la rubrique Architecture du transport.

  • Messages de notification d'état de remise   Un pare-feu d'en-tête pour les en-têtes de routage est toujours appliqué au message d'origine ou à l'en-tête de message d'origine associé au message de notification d'état de remise. Pour plus d'informations sur les messages de notification d'état de remise, consultez la rubrique Gestion des notifications d'état de remise.

  • Répertoire de relecture, Répertoire de dépôt et Soumission d'un agent   Le pare-feu d'en-tête pour le routage des en-têtes n'est pas appliqué aux messages soumis par le répertoire de relecture, le répertoire de dépôt ou les agents.

Pare-feu d'en-tête et versions antérieures d'Exchange Server

Exchange 2003 et les versions antérieures d'Exchange Server n'utilisent pas les en-têtes X d'organisation ou de forêt. Exchange 2007 traite les versions antérieures d'Exchange Server comme des sources de messages non approuvées. Un pare-feu d'en-tête est appliqué à tous les en-têtes X d'organisation et de forêt dans les messages provenant de serveurs exécutant des versions antérieures d'Exchange Server. Un pare-feu d'en-tête pour les en-têtes X d'organisation et de forêt est également appliqué aux messages remis aux serveurs exécutant des versions antérieures d'Exchange Server existant au sein de l'organisation Exchange.

Les versions antérieures d'Exchange Server utilisent le verbe propriétaire X-EXCH50 pour transmettre les informations sur les messages et les destinataires qui ne peuvent pas être incorporées dans le message électronique. Les informations sont transmises comme un objet blob EXCH50. L'objet blob EXCH50 est un ensemble de données binaires stockées comme un seul objet. Exch50 contient des données telles que le seuil de probabilité de courrier indésirable (SCL), les informations de réécriture d'adresses et d'autres propriétés MAPI qui n'ont pas de représentation MIME. X-EXCH50 étant un verbe ESMTP (Extended Simple Mail Transfer Protocol) propriétaire, les données Exch50 ne peuvent pas être propagées par un serveur sur lequel Exchange Server n'est pas installé. Pour plus d'informations, consultez la rubrique Planification de coexistence.

Les connecteurs de groupe de routage entre serveurs sur lesquels Exchange Server 2007 ou Exchange Server 2003 est installé sont automatiquement configurés pour prendre en charge l'envoi et la réception des données Exch50. Les connecteurs d'envoi et de réception disposent d'autorisations qui activent la commande Exch50.

Le tableau 6 décrit les autorisations qui activent la commande Exch50 sur un connecteur de réception pour les messages entrants. Si l'une de ces autorisations n’est pas donnée alors qu’un message contenant la commande Exch50 est envoyé, le serveur accepte le message, mais n’inclut pas la commande Exch50.

Tableau 6   Autorisations qui activent la commande Exch50 sur un connecteur de réception pour les messages entrants

Autorisation Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Groupe d'autorisations dont les entités de sécurité sont membres Par défaut, le type d'utilisation qui attribue les groupes d'autorisations au connecteur de réception

Ms-Exch-Accept-Exch50

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

Groupe de sécurité Interop hérité d'Exchange

ExchangeLegacyServers

Internal

Pour bloquer la commande Exch50 dans un scénario de connecteur de réception personnalisé, utilisez l'une des méthodes suivantes :

  • Créez un connecteur de réception, puis sélectionnez un type d'utilisation autre que Internal. Vous ne pouvez définir le type d'utilisation du connecteur de réception que lors de la création du connecteur. Pour plus d'informations, consultez la rubrique Procédure de création d'un connecteur de réception.

  • Modifiez un connecteur de réception existant et supprimez le groupe d'autorisations ExchangeServers. Pour plus d'informations, consultez la rubrique Procédure de modification de la configuration d'un connecteur de réception.

  • La cmdlet Remove-ADPermission permet de supprimer l'autorisation Ms-Exch-Accept-Exch50 d'une entité de sécurité configurée sur le connecteur de réception. Cette méthode ne fonctionne pas si l'autorisation a été attribuée à l'entité de sécurité à l'aide d'un groupe d'autorisations. Vous ne pouvez pas modifier les autorisations attribuées ou l'appartenance à un groupe d'un groupe d'autorisations. Pour plus d'informations, consultez la rubrique Remove-ADPermission.

  • La cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Accept-Exch50 à une entité de sécurité configurée sur le connecteur de réception. Pour plus d'informations, consultez la rubrique Add-ADPermission.

Le tableau 7 décrit l'autorisation qui active la commande Exch50 sur un connecteur d'envoi pour les messages sortants. Si l’autorisation n’est pas donnée alors qu’un message contenant la commande Exch50 est envoyé, le serveur envoie le message, mais n’inclut pas la commande Exch50.

Tableau 7   Autorisation activant la commande Exch50 sur un connecteur d'envoi pour les messages sortants

Autorisation Par défaut, les entités de sécurité auxquelles l'autorisation est attribuée Par défaut, le type d'utilisation qui attribue les entités de sécurité au connecteur d'envoi

Ms-Exch-Send-Exch50

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange (remarque : sur des serveurs de transport Hub uniquement)

  • Serveurs sécurisés de l'extérieur

  • Groupe de sécurité universel Interop hérité d'Exchange

  • Serveurs têtes de pont Exchange 2003 et Exchange 2000

Interne

Pour bloquer la commande Exch50 dans un scénario de connecteur d'envoi personnalisé, utilisez l'une des méthodes suivantes :

  • Créez un connecteur d'envoi, puis sélectionnez un type d'utilisation autre que Internal. Vous ne pouvez définir le type d'utilisation du connecteur d'envoi que lors de la création du connecteur. Pour plus d'informations, consultez la rubrique Procédure de création d'un connecteur d'envoi.

  • Supprimez du connecteur une entité de sécurité qui attribue l'autorisation Ms-Exch-Send-Exch50.

  • La cmdlet Remove-ADPermission permet de supprimer l'autorisation Ms-Exch-Send-Exch50 d'une entité de sécurité configurée sur le connecteur d'envoi. Pour plus d'informations, consultez la rubrique Remove-ADPermission.

  • La cmdlet Add-ADPermission permet de refuser l'autorisation Ms-Exch-Send-Exch50 à une entité de sécurité configurée sur le connecteur d'envoi. Pour plus d'informations, consultez la rubrique Add-ADPermission.