Exploration de la frontière du serveur de transport Edge
Dernière rubrique modifiée : 2007-06-06
Par Kate Follis
Supposons qu'à l'avenir les communications aient lieu de manière quasi instantanée, que les messages d'importance vitale soient remis de manière sure, que les messages falsifiés soient identifiés immédiatement et que les chevaux de Troie ne passent jamais la porte… À présent, acceptez l'avenir, car il est devenu réalité. Évoquons l'histoire de cet administrateur de messagerie intrépide qui découvrit les avantages du déploiement d'un serveur de transport Edge Microsoft Exchange Server 2007.
Journal de l'administrateur, Star date Exchange 2007
Aujourd'hui, j'ai déployé une solution de communication qui répond enfin aux besoins du siège social de la société et améliore les performances du système interne. J'attends de cette innovation qu'elle renforce mes chances de promotion en tant qu'administrateur d'entreprise de la forêt Les Comptoirs.
Tout a commencé ce matin. J'ai reçu l'appel avant d'avoir terminé ma première tasse de café. Le siège social de la société m'a confié la négociation des accords de vente avec Wide World Importers. J'ai toujours pensé que notre système de messagerie actuel était suffisamment au point, bien que le responsable du service Ingénierie n'ait cessé de répéter ces derniers temps : « Je ne peux plus continuer avec tous ces spam ! ». Après tout, nous exécutons Exchange 2007 avec tous les agents de blocage du courrier indésirable activés et configurés sur le serveur de transport Hub côté Internet. Toutefois, lorsque je reçus les directives du siège social, je réalisai que nous avions besoin de plus de fonctionnalités.
Le responsable des communications de Les comptoirs m'a demandé si j'étais certain de pouvoir gérer cette tâche.
Je lui ai répondu, confiant, que oui car nous exécutons Exchange 2007.
Il répondit : « Oui, on m'a dit qu'il était sécurisé ». « Comment est l'hygiène de votre messagerie ? Rien n'est plus énervant que d'activer l'accès anonyme à notre port de communication pour finalement recevoir des messages infectés de Tailspin Toys. »
« En effet, me dis-je intérieurement, je devrais vérifier ma configuration ». Tout haut, j'ai assuré au siège social que mon système était une technologie de pointe pouvant faire face à tout défi.
« Ca me rassure. Les relations avec Wide World Importers sont très importantes. Toutes les communications avec eux doivent être authentifiées et chiffrées. Je veux que les communications entrantes soient copiées vers notre siège social avant d'être traitées par vos serveurs internes. Et veillez à ce qu'aucun de ces messages ne soit bloqué. Cela nous poserait de gros, très gros, problèmes. Encore une chose. Je veux que toutes les communications apparaissent comme provenant directement de notre siège social. Nous ne devons pas exposer l'organisation interne de notre entreprise aux yeux de Wide World Importers. Vous avez bien tout compris ? »
« Oui, Monsieur, nous allons vérifier nos systèmes de sécurité avant de débuter les négociations. Je vous mettrai en copie des transmissions impliquant Wide World Importers. »
Communication avec l'équipe
Dès la fin de ma conversation avec le siège social, j'ai contacté les responsables des départements Conception et Ingénierie par courrier électronique. Voici une copie du message :
-------- Message d'origine--------
À : Design@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
De : Administrator@enterprise.northwindtraders.com
Objet : Nouvelles réglementations de la société
Le siège social de la société a confié à notre filiale le début des négociations avec Wide World Importers. Toutefois, avant de commencer les transmissions, je dois être certain que notre système de messagerie répond à nos besoins en termes de communication. Voici les toutes nouvelles exigences de la société :
Les messages de Wide World Importers doivent être copiés vers le siège social avant d'être traités par nos serveurs internes.
Tous les messages envoyés à Wide World Importers doivent également être copiés vers le siège social.
Nous devons remplacer notre adresse de messagerie par une adresse Les comptoirs.
Tous les messages à destination et en provenance de Wide World Importers doivent être authentifiés et chiffrés, et ne doivent jamais être bloqués. Existe-t-il un moyen de vérifier que les messages proviennent véritablement de Wide World Importers avant de les accepter ?
En ce qui me concerne, cela m'inquiète un peu de laisser Tailspin Toys accéder à notre port de communication avec des pièces jointes. Il semble que nous devions faire face à une propagation de virus liée à leurs messages.
----- Reply -----
À : Administrator@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
De : Design@enterprise.northwindtraders.com
Objet : Re : Nouvelles réglementations de la société
Cela me semble logique. Nous devrions implémenter des règles qui s'appliquent au périmètre de notre réseau, ainsi que la réécriture d'adresses, la sécurité de domaine et le filtrage des pièces jointes. Nous devrions également limiter les connexions anonymes au port de communication au périmètre de notre réseau. Je propose de déployer un serveur de transport Edge.
----- Reply -----
À : Administrator@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
De : Engineer@enterprise.northwindtraders.com
Objet : Re : Nouvelles réglementations de la société
Je suis d'accord avec le responsable de la conception. Si nous pouvons déployer un serveur de transport Edge, cela reviendra à posséder un champ de force autour de notre société et un « videur » au niveau du port 25 ! Et puisque le serveur de transport Edge utilise les mêmes interfaces de gestion que les autres rôles serveur Exchange 2007, je pourrai me familiariser immédiatement avec les procédures. Dois-je commencer à travailler sur la configuration ?
----- Reply -----
À : Engineer@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
De : Administrator@enterprise.northwindtraders.com
Objet : Re : Nouvelles réglementations de la société
Retrouvez-moi dans la salle de conférence dans une heure et nous en discuterons.
Conception d'une solution
Les responsables des services Conception et Ingénierie étaient persuadés qu'un serveur de transport Edge pourrait résoudre tous les problèmes, mais certaines questions étaient encore en suspend. Tous mes collègues sont arrivés à l'heure dans la salle de conférence, avec toutes les informations dont j'avais besoin.
Le responsable du service Conception a fourni la matrice suivante des fonctionnalités contre le courrier indésirable et les virus disponibles pour les rôles serveur de transport Edge et de transport Hub. J'ai appris que les agents Exchange 2007 peuvent implémenter toutes les fonctionnalités que je souhaite utiliser.
| Fonction | Pris en charge sur les serveurs de transport Edge ? | Pris en charge sur les serveurs de transport Hub ? |
|---|---|---|
Filtre des pièces jointes L'Agent de filtrage des pièces jointes permet de bloquer des types spécifiques de pièces jointes. Soit la pièce jointe peut être supprimée mais la remise des messages électroniques est permise, soit le message électronique et la pièce jointe peuvent être silencieusement supprimés. |
Oui |
Non |
Filtre des connexion L'Agent de filtrage des connexion permet de filtrer les connexions en fonction de l'adresse IP ou de la plage d'adresses IP source. Les connexions provenant de sources de courriers indésirables connues peuvent être bloquées. |
Oui |
Oui |
Filtre de contenu L'Agent de filtrage du contenu évalue la probabilité qu'un message électronique soit un courrier indésirable. Avec une licence d'accès au client Entreprise Exchange (CAL), vous pouvez obtenir des mises à jour régulières du filtre de contenu. Ces mises à jour intègrent des données actualisées en lien avec l'hameçonnage de sites Web, l'heuristique de blocage du courrier indésirable de Microsoft SmartScreen et d'autres mises à jour du filtre de messages intelligent. |
Oui |
Oui |
Filtrage des destinataires L'Agent de filtrage des destinataires permet d'accepter uniquement les messages électroniques envoyés à des destinataires valides. |
Oui, avec un abonnement Edge |
Oui |
Filtrage de l'expéditeur L'Agent de filtrage de l'expéditeur permet de bloquer les messages électroniques reçus d'expéditeurs spécifiques. Par exemple, vous pouvez bloquer un message électronique provenant d'expéditeurs connus de courrier indésirable. |
Oui |
Oui |
ID de l'expéditeur L'Agent ID de l'expéditeur vérifie l'adresse IP de l'expéditeur d'un message électronique reçu en la comparant avec les adresses IP enregistrées du domaine source. |
Oui |
Oui |
Agrégation de listes fiables Cette fonctionnalité collecte des données des listes des destinataires approuvés ou des listes des expéditeurs approuvés de blocage du courrier indésirable et des données de contacts que les utilisateurs d'Outlook configurent, puis met ces données à la disposition des agents de blocage du courrier indésirable sur l'ordinateur sur lequel le rôle serveur de transport Edge est installé. L'agrégation de listes fiables permet de réduire les instances de faux positifs dans le filtrage de blocage du courrier indésirable exécuté par le serveur de transport Edge. Quand un administrateur Exchange active et configure correctement l'agrégation de listes fiables, l'agent de filtrage du contenu transmet les messages électroniques sûrs à la boîte aux lettres de l'entreprise sans traitement supplémentaire. |
Oui |
Oui |
Réécriture d'adresses L'Agent de réécriture d'adresses permet de masquer l'identité d'un domaine interne en remplaçant l'adresse de messagerie interne par une autre adresse. |
Oui |
Non |
Règles de transport Les règles de transport permet d'exécuter une action sur les messages électroniques envoyés et reçus. Des prédicats, actions et exceptions différents sont disponibles selon qu'il s'agisse d'un serveur de transport Edge ou d'un serveur de transport Hub. Les règles de transport Edge fournissent des fonctionnalités supplémentaires de protection contre le courrier indésirable et les virus. Les règles de transport Hub activent l'application des stratégies au sein de l'organisation Exchange 2007. Pour plus d'informations, consultez la rubrique Vue d'ensemble des règles de transport. |
Oui |
Oui |
Sécurité de domaine La sécurité de domaine permet d'identifier les domaines approuvés et de négocier la sécurité pour les communications par messagerie électronique avec ces domaines. |
Oui, avec un abonnement Edge |
Non |
Le responsable du service Conception m'a également fourni des liens vers des informations supplémentaires sur chacune de ces fonctionnalités :
« Très bien. Apparemment, je peux utiliser le serveur de transport Hub pour implémenter les fonctionnalités dont j'ai besoin pour être conforme aux réglementations de la société relatives aux communications avec Wide World Importers. Cependant, comme le responsable de l'ingénierie mettra-t-il en œuvre le déploiement et fournira-t-il une tolérance aux pannes ? » Ai-je demandé.
« J'ai trouvé la solution », a expliqué le responsable de l'ingénierie. « Je vais déployer des serveurs de transport Edge dans le réseau de périmètre. Je vais configurer le DNS pour qu'il utilise un mécanisme de répétitions alternées pour équilibrer la charge des connexions entrantes. Il faudra donc créer manuellement des certificats avec le nom de domaine complet des deux serveurs pour fournir une sécurité de domaine. Toutes les procédures liées sont ici : Création d’un certificat ou demande de certificat pour TLS.”
« Ok. Comment allez-vous assurer la cohérence de la configuration entre les deux serveurs ? Et qu'en est-il de l'équilibrage de charge et de la tolérance aux pannes pour les connexions sortantes ? » Ai-je demandé.
« Je vais utiliser une configuration clonée pour assurer la cohérence de la configuration des deux serveurs. Puis je vais créer un abonnement Edge pour les deux serveurs. Ce qui nous permettra d'utiliser toutes les fonctionnalités du serveur de transport Edge, notamment l'agrégation de listes fiables. Ainsi, les messages de Wide World Importers ne seront jamais bloqués. L'abonnement Edge créera également tous les connecteurs d'envoi dont nous avons besoin. Les deux serveurs de transport Edge seront répertoriés comme serveurs source pour le connecteur d'envoi sortant, et nous aurons ainsi un équilibrage de la charge et une tolérance aux pannes pour les connexions sortantes. » Apparemment, cela faisait déjà un certain temps que le responsable de l'ingénierie réfléchissait à cette solution. J'ai trouvé des informations supplémentaires sur la configuration clonée ici : Utilisation d'une configuration dupliquée de serveur de transport Edge.
« Je suis tout de même inquiet de la manière dont cela affectera la sécurité. Il va falloir que je justifie les dépenses liées au matériel supplémentaire », dis-je pour calmer l'enthousiasme du responsable de l'ingénierie.
« En déployant un serveur de transport Edge, répondit-il, nous pourrons désactiver l'accès anonyme que nous avons activé sur le connecteur de réception du serveur de transport Hub. Nos ressources internes seront ainsi mieux protégées, notamment le service d'annuaire Active Directory. Le courrier indésirable et les virus seront bloqués le plus en amont possible. Nous disposerons d'une meilleure défense contre les attaques externes et les attaques visant à recueillir des informations d'annuaire, et d'un refus de service au niveau du SMTP. Le déplacement de la fonctionnalité de blocage du courrier indésirable hors du périmètre permettra de réduire la surcharge de traitement sur les serveurs de messagerie internes. Pour assurer une stratégie de défense approfondie, je continuerai à exécuter une analyse antivirus interne sur les serveurs de transport Hub. Je prévoyais de toute façon d'ajouter un serveur de transport Hub afin de gérer la charge anti-spam. Le matériel est donc déjà disponible ».
« Un instant. Comment le serveur de transport Edge protège-t-il Active Directory ? Comment peut-il exécuter une recherche de destinataire hors d'Active Directory ? » Ai-je demandé.
« C'est l'abonnement Edge qui gère tout cela. », expliqua le responsable de l'ingénierie. « Je déploierai les serveurs de transport Edge dans un groupe de travail, puis le service EdgeSync Microsoft Exchange répliquera les destinataires sur le serveur de transport Edge sous forme d'objets chiffrés. Le serveur de transport Edge stockera toutes les données dans le service d'annuaire Application Mode (ADAM). Voici un lien vers une ressource qui vous aidera à comprendre cette technologie : Présentation des abonnements Edge.”
Le responsable de l'ingéniera appuya la déclaration du responsable de l'ingénierie. « Je suis d'accord avec la planification du responsable de la conception, répondit le responsable de la conception. C'est la ressource idéale pour répondre aux exigences du siège social. »
« Très bien. » « Nous pouvons donc commencer le déploiement ».
Implémentation de la solution
Le responsable de l'ingénierie prépara le matériel en un rien de temps. Nous étions prêts à commencer la configuration du rôle serveur de transport Edge pour répondre aux exigences du siège social.
La première tâche consistait à implémenter la réécriture d'adresses pour masquer l'identité du sous-domaine de la société. Nous avons suivi les procédures de la rubrique Procédure de réécriture de tous les messages électroniques à partir de sous-domaines. Je fus impressionné par la facilité d'utilisation de l'environnement de ligne de commande Exchange Management Shell. À partir de maintenant, tous les messages électroniques envoyés du site enterprise.NorthwindTraders.com sembleront provenir directement de NorthwindTraders.com.
La configuration de la sécurité du domaine risque de poser problème. Mais la rubrique Procédure de configuration de Mutual TLS pour la sécurité d'un domaine nous permit de mettre en place le processus. Nous avons ajouté le domaine WideWorldImporters aux attributs TLSReceiveDomainSecureList TLSSendDomainSecureList à l'aide de la cmdlet Set-TransportConfig sur le serveur de transport Hub. Et le service EdgeSync Microsoft Exchange a pris en charge la réplication de ces informations vers le nouveau serveur de transport Edge.
Pour m'assurer que les messages de Wide World Importers ne seront jamais bloqués, j'ajoutai le domaine WideWorldImporters à la liste des expéditeurs approuvés dans Outlook. Nous avons utilisé la cmdlet Update-Safelist pour mettre à jour les informations relatives aux listes fiables pour les utilisateurs Outlook, puis nous sommes assurés que le service EdgeSync Microsoft Exchange répliquait ces informations et que le filtrage du contenu était activé sur le serveur de transport Edge. Pour nous assurer que nous n'avions rien oublié, nous avons suivi les étapes de la rubrique Procédure de configuration d'agrégation de listes fiables.
Puisque le siège social insiste pour que tous les messages électroniques envoyés à ou en provenance de Wide World Importers soient copiés vers le bureau des renseignements, nous avons créé deux règles de transport sur le serveur de transport Edge. En suivant les instructions de la rubrique Procédure de création d'une règle de transport, nous avons configuré une règle qui recherche le mot « WideWorldImporters » dans l'adresse de destinataire sur les messages envoyés depuis l'organisation, puis envoie une copie du message au bureau des renseignements. Puis nous avons créé une deuxième règle qui recherche le mot « WideWorldImporters » dans l'adresse de l'expéditeur sur les messages envoyés depuis l'extérieur de l'organisation, puis envoie une copie du message au bureau des renseignements.
Le responsable de l'ingénierie est en train de développer une liste des noms et extensions de pièces jointes qui ne doivent pas entrer au sein de notre société. Il suit les procédures de la rubrique Procédure de configuration du filtrage des pièces jointes. Je suis vraiment soulagé de ne plus avoir à me préoccuper des pièces jointes contenant des virus envoyées par Tailspin Toys.
Épilogue
C'est toujours un défi de garantir un fonctionnement normal à notre société. Aujourd'hui, j'ai réussi à implémenter une solution de messagerie digne de la prochaine génération. Les négociations avec Wide World Importers suivent leur cours et notre siège social est satisfait des messages et de la documentation que je leur ai fournie.
Notes
Les exemples de sociétés, d'organisations, de produits, de domaines, d'adresses de messagerie, de logos, de personnes, d'emplacements et d'événements mentionnés ici sont fictifs. Toute ressemblance avec des sociétés, organisations, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux ou événements réels serait purement fortuite et involontaire.
Pour plus d'informations
Écrivez vos propres histoires lorsque vous découvrirez les avantages du déploiement d'un serveur de transport Edge. Pour plus d'informations, consultez les ressources suivantes :
.jpg "Kate Follis")
Kate Follis - Rédactrice technique senior, Microsoft Exchange Server