Sécurisation des communications Exchange
Dernière mise à jour le 31 août 2004
Sur cette page
Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Sécurisation de communications dans Outlook 2002
Sécurisation de communications OWA
Sécurisation de communications SMTP
Résumé
Dans ce module
Ce module décrit les modalités de sécurisation des communications entre serveurs et clients Microsoft® Exchange. Il décrit également le cryptage du trafic engendré par les appels de procédures distantes (RPC, Remote Procedure Call) entre client et serveur de messagerie et de collaboration Microsoft Outlook®. Ce module fournit des instructions détaillées sur l'utilisation d'un serveur Microsoft Internet Security and Acceleration (ISA) en vue de sécuriser les communications entre un client Web et le serveur Exchange. La topologie serveur frontal/serveur principal Exchange ainsi que son utilisation dans le cadre du renforcement de la sécurité des communications client/serveur sont décrites en détail. Ce module aborde également la sécurisation des communications SMTP (Simple Mail Transfer Protocol).
Objectifs
Ce module vous permettra d'effectuer les opérations suivantes :
cryptage de communications RPC entre Outlook 2002 et Exchange ;
signature numérique et cryptage des messages à l'aide d'Outlook 2002 ;
sécurisation des communications du navigateur Web avec un serveur Exchange utilisant un serveur ISA avec et sans le protocole SSL (Secure Sockets Layer) ;
cryptage de communications entre un serveur ISA et des serveurs OWA (Outlook Web Access) utilisant SSL ;
cryptage de communications à l'aide d'IPSec (Internet Protocol Security) entre un serveur frontal OWA et des serveurs Exchange principaux ;
sécurisation de communications SMTP à l'aide d'un serveur ISA avec le Filtreur de messages ou à l'aide d'une passerelle SMTP distincte ;
interdiction de relais SMTP non souhaité.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft Exchange Server 2000
Microsoft Outlook 2002
Microsoft Windows® 2000 exécutant le service d'annuaires Active Directory®
Serveur Microsoft Internet Security and Acceleration (ISA)
Comment utiliser ce module
Ce module est complémentaire de l'ouvrage Security Operations for Microsoft® Windows® 2000 Server (Microsoft Press, ISBN : 0-7356-1823-2). Il est vivement recommandé de lire attentivement cet ouvrage avant d'aborder le présent module, dont certaines sections sont liées directement à Security Operations for Microsoft Windows 2000 (les références sont mentionnées dans le texte). Vous êtes également invité à lire Microsoft Exchange 2000 Server Operations (Microsoft Press, ISBN : 0-7356-1831-3), qui fournit des informations détaillées sur le fonctionnement général d'Exchange 2000.
Ce module traite de la manière de sécuriser de votre environnement Exchange 2000 sans affecter les fonctionnalités vitales du serveur Exchange. Il aborde plus particulièrement les opérations nécessaires à la création et à la gestion d'un environnement sécurisé sur serveurs Exchange 2000. Ce module fait partie intégrante de votre stratégie de sécurité globale Exchange mais ne couvre pas tous les aspects de la création et de la gestion d'un environnement sécurisé.
Ce module doit être employé conjointement avec les modules Sécurisation de l'environnement Exchange et Sécurisation de serveurs Exchange 2000 en fonction de leur rôle.
Ce module fournit une méthodologie détaillée sur la sécurisation des serveurs frontaux et principaux Exchange utilisant des appels de procédures distantes, sur la sécurisation de serveurs ISA, SSL, IPSec et du transport SMTP. Modulables, les étapes fournissent des instructions sur la configuration des serveurs avec les paramètres logiciels. Vous pouvez les implémenter dans un environnement Exchange nouveau ou précédemment créé.
Introduction
Lors du renforcement de la sécurité d'un réseau, vous devez tenir compte non seulement de la sécurité des ordinateurs mais également de la sécurité des données transmises entre ces ordinateurs. Comme avec n'importe quel système, la meilleure approche consiste à examiner les fonctionnalités disponibles, à évaluer les besoins et à considérer le risque de sécurité de chaque élément fonctionnel.
Pour effectuer les procédures de ce module, vous devez être en mesure d'envoyer et de recevoir du courrier électronique sur Internet et d'accéder à Exchange sur Internet à l'aide d'Outlook Web Access. Si vous n'avez pas besoin de cette fonctionnalité, le verrouillage de vos ordinateurs n'en sera que meilleur. D'autre part, si POP3 et IMAP4 sont nécessaires, vous devrez ouvrir l'environnement pour les prendre en charge.
L'environnement frontal/principal suggéré dans ces pages vous permettra d'envoyer et de recevoir du courrier via Internet, et d'offrir un accès Exchange sur Internet. Ce module étudie la sécurisation de ces communications sur les serveurs et les clients.
Remarque : Il est possible d'accéder à Outlook sur Internet en utilisant le filtre RPC Exchange fourni avec ISA Server. Cette méthode d'accès n'est pas traitée dans ce module. Consultez le Livre blanc « Configuring and Securing Microsoft Exchange 2000 Server and Clients » et l'ouvrage Microsoft Exchange 2000 Server Hosting Series (Microsoft Press, ISBN : 0-7356-1829-1 et 0-7356-1830-5) indiqués à la section « Informations complémentaires ».
Sécurisation de communications dans Outlook 2002
Pour renforcer la sécurité de vos communications, vous pouvez prendre un certain nombre de mesures dans Outlook 2002. Il s'agit des mesures suivantes :
cryptage de la connexion MAPI entre Outlook 2002 et le serveur Exchange ;
signature et cryptage de messages à l'aide de certificats S/MIME.
Cryptage de la connexion MAPI entre Outlook 2002 et le serveur Exchange
Windows 2000 comporte une fonctionnalité de sécurité prédéfinie permettant le cryptage 128 bits de communications RPC. Les connexions MAPI sont établies sur RPC, ce qui permet de renforcer la sécurité de vos connexions entre le client Outlook 2002 et le serveur Exchange.
Pour activer le cryptage RPC de la connexion MAPI entre Outlook 2002 et le serveur Exchange
Dans Outlook 2002, cliquez sur Outils, puis sur Comptes de messagerie.
Cliquez sur Suivant.
Assurez-vous que le serveur Exchange est sélectionné, puis cliquez sur Modifier.
Cliquez sur Paramètres supplémentaires.
Cliquez sur l'onglet Avancé.
Activez Lors de l'utilisation du réseau.
Cliquez sur OK.
Cliquez sur Suivant.
Cliquez sur Terminer.
Remarque : Vous pouvez également indiquer ce paramètre lors de la configuration de profils utilisateur dans Outlook 2002.
Le cryptage RPC ne traite que les données entre le client MAPI et le serveur Exchange. Il ne traite pas les messages eux-mêmes.
Signature et cryptage de messages
Outlook 2002 permet de signer et de crypter des messages en vue de leur distribution à des destinataires internes ou externes. Ce cryptage nécessite un certificat. Pour adresser du courrier électronique signé et/ou crypté à des destinataires sur Internet, vous devez utiliser un certificat reconnu (appelé ID numérique) émanant d'un tiers.
Après avoir installé un certificat sur le client, vous pouvez envoyer des messages signés et cryptés à l'aide de S/MIME. Vous pouvez envoyer du courrier crypté à un autre utilisateur à condition d'avoir accès à sa clé publique. Pour cela, l'autre utilisateur doit vous adresser un message signé, et vous devez ajouter son nom à la liste des contacts. La clé publique est alors disponible.
Remarque : Pour plus d'informations sur la signature et le cryptage de messages, reportez-vous à l'article Q286159 de la Base de connaissances, intitulé « Encryption and Message Security Overview ».
Service de gestion des clés
Si vous souhaitez transmettre des messages signés et cryptés entre les utilisateurs de votre organisation Exchange, vous devez envisager d'utiliser le service de gestion des clés (KMS) fourni avec Exchange 2000. Ce service utilise les Services de certificats Windows 2000 et donne accès aux clés publiques avec une gestion sécurisée et centralisée d'accès aux clés privées. Les clients bénéficient ainsi d'un accès transparent aux messages signés et cryptés, ce qui leur permet de les envoyer à d'autres destinataires figurant dans la liste d'adresses globale.
Remarque : Si vous employez un serveur de gestion des clés (KMS) avec une autorité de certification (CA) qui est subordonnée à une autorité de certification tierce, vous pouvez intégrer votre service KMS avec d'autres sur Internet.
Sécurisation de communications OWA
Au premier abord, les communications avec OWA sont très simples. Dans le cadre des échanges de courrier, les navigateurs Web communiquent avec des serveurs Web sur le port 443 ou sur le port 80 selon que la connexion est sécurisée ou non. Cependant, les clients qui ne se connectent pas aux serveurs frontaux sur ces ports doivent fournir des informations d'authentification à des contrôleurs de domaine, qui les transmettent ensuite aux serveurs frontaux. Ils doivent également communiquer avec des serveurs principaux Exchange pour accéder vraiment aux informations de la boîte aux lettres ou du dossier public approprié.
Les serveurs frontaux OWA peuvent être placés dans un réseau périmétrique (également appelé zone démilitarisée ou DMZ), le serveur principal étant, quant à lui, placé dans le pare-feu interne. Pour que cette configuration fonctionne, un grand nombre de ports doit être ouvert sur le pare-feu interne.
Utilisation d'un serveur ISA pour la sécurisation d'OWA
Pour réduire au minimum les ports nécessaires à l'ouverture du pare-feu interne, vous pouvez employer un pare-feu de la couche application, tel que Microsoft Internet Security and Acceleration (ISA) Server. ISA Server permet de placer le serveur SMTP et le serveur frontal OWA derrière le pare-feu. À l'aide des règles de publication du serveur et de publication Web, ISA Server emprunte l'identité de serveurs internes pour accéder au monde extérieur sans les placer dans la zone démilitarisée.
Remarque : Pour connaître la liste des ports utilisés pour les communications entre serveurs frontaux et autres serveurs, reportez-vous au Livre blanc « Exchange 2000 Front-end and Back-end Topology » spécifié à la fin de ce module, à la section « Informations complémentaires ».
La figure 1 représente un serveur ISA publiant un serveur OWA à des clients OWA sur Internet :
Figure 1 Structure de pare-feu sécurisée
Remarque : Dans cette configuration, les enregistrements DNS externes de DNS du serveur OWA frontal doivent se reporter à l'adresse IP publiée sur le serveur ISA, et non pas à l'adresse du serveur frontal OWA.
Remarque : Si vous n'êtes pas en mesure d'adapter votre infrastructure comportant deux pare-feu aux exigences d'ISA Server, vous pouvez placer ISA Server dans le pare-feu interne et le rendre accessible en activant le port TCP 443.
Les pare-feu permettent de protéger vos serveurs contre des attaques éventuelles. Cependant, vous devez également protéger les données échangées avec vos serveurs. Voici ce qui se passe quand des clients de navigateur Web sur Internet utilisent HTTP pour accéder à Exchange via OWA :
Une demande HTTP est envoyée au serveur ISA à partir du navigateur Web. Si cette opération est autorisée par les règles de publication ISA, les demandes sont transmises aux serveurs frontaux OWA.
ISA Server établit une nouvelle connexion HTTP avec le serveur frontal à l'aide de son adresse IP en tant qu'adresse IP source.
Les demandes HTTP sont traitées sur le serveur frontal OWA. Dans ce cadre, le serveur frontal OWA :
authentifie l'utilisateur et contacte le serveur de catalogue global pour déterminer l'emplacement de la boîte aux lettres utilisateur ;
résout l'adresse IP du serveur de la boîte aux lettres utilisateur.
Le serveur frontal OWA établit une nouvelle session HTTP avec le serveur Exchange principal.
La prise en charge d'OWA par Microsoft Internet Information Services (IIS) nécessite l'activation de l'authentification de base. L'authentification Windows intégrée ne fonctionnera pas car HTTP/HTTPS est le seul protocole employé pour les communications ; vous ne devez pas opter pour l'accès anonyme, car cela rendrait votre environnement de messagerie électronique totalement perméable à partir d'Internet.
L'authentification de base signifie que, sur une connexion HTTP, les mots de passe et le courrier électronique circulent dans une forme non cryptée sur Internet. Si aucune autre méthode de cryptage n'est employée, les paquets continuent à être acheminés en clair entre le serveur ISA et le serveur frontal OWA. Une fois que le serveur OWA a effectué l'authentification, les mêmes informations non cryptées, comprenant des mots de passe, seront échangées entre le serveur frontal OWA et le serveur principal par HTTP. Pour éviter cela, il est important de crypter les informations utilisateur ainsi que le chemin d'accès complet entre le serveur Web et le serveur Exchange principal. Ceci est possible par les moyens suivants :
sécurisation des communications entre navigateurs Web et serveur ISA grâce au cryptage SSL ;
sécurisation des communications entre serveur ISA et serveurs frontaux OWA à l'aide de SSL ;
sécurisation des communications entre serveurs frontaux OWA et serveurs Exchange principaux à l'aide du cryptage IPSec.
Nous allons examiner chacun de ces mécanismes.
Sécurisation des communications entre navigateurs Web et serveurs ISA.
Pour crypter les données entre navigateurs Web et serveur ISA à l'aide de SSL, vous devez installer un certificat SSL approprié sur le serveur ISA, puis le programme d'écoute SSL approprié. Votre certificat doit être émis par une autorité de certification globale reconnue, car il sera employé par des clients Web qui peuvent ne pas appartenir à l'infrastructure de votre organisation.
Configuration de la prise en charge de communications SSL sur le serveur ISA
Pour accepter les demandes SSL émanant de navigateurs Web, ISA Server peut être configuré de différentes façons. Il peut :
recevoir des communications SSL et les transmettre à des serveurs situés dans le pare-feu ;
crypter des communications SSL et les transmettre sous forme non cryptée au serveur principal ;
décrypter des communications SSL et les crypter à nouveau avant de les transmettre au serveur principal.
Remarque : Le décryptage et le recryptage des communications SSL, comme les procédures ci-dessous, requièrent ISA Server SP1 ou ultérieur.
Parmi ces trois méthodes, la plus sûre consiste à décrypter les paquets et à les crypter à nouveau pour permettre au serveur ISA d'inspecter les vulnérabilités des données et empêcher les attaques de données reçues.
Remarque : La législation de certains pays interdit de décrypter des données pour les inspecter en un point intermédiaire d'un réseau. Avant d'adopter cette solution, il est donc conseillé de vérifier ses implications légales.
Remarque : Pour améliorer les performances et réduire la charge de SSL, il peut être nécessaire d'utiliser des cartes réseau accélératrices SSL.
Pour garantir la réussite du cryptage des données, vérifiez les points suivants :
Le nom commun (ou nom convivial) du certificat ISA Server d'OWA doit coïncider avec le nom FQDN (Fully Qualified Domain Name, nom de domaine qualifié complet) employé par les navigateurs Web pour faire référence à des ressources OWA. Par exemple, si l'URL OWA employée par le client est https://mail.nwtraders.com/exchange, le nom convivial du certificat doit être mail.nwtraders.com.
Le certificat doit être importé dans le magasin Personnel du ou des serveurs ISA publiant les ressources OWA. Lors de l'importation du certificat dans ISA Server, assurez-vous que l'option Marquer la clé privée comme étant exportable est activée.
Pour éviter la transmission accidentelle de mots de passe en texte clair, ISA Server ne doit accepter que les communications sécurisées et doit refuser les connexions HTTP non cryptées pour le site OWA publié.
ISA Server utilise la règle de publication Web pour rendre le serveur OWA accessible aux clients Internet. Cependant, pour pouvoir créer cette règle, le service Publication Web doit être configuré sur le serveur ISA. Ceci nécessite la configuration des demandes Web entrantes et des demandes Web sortantes.
Remarque : Avant tout, vous devez importer votre certificat externe.
Pour configurer des demandes Web entrantes
Démarrez Gestion ISA.
Cliquez à l'aide du bouton droit sur votre serveur ISA, puis sélectionnez Propriétés.
Cliquez sur l'onglet Requêtes Web entrantes.
Sélectionnez Configurer les ports d'écoute individuellement par adresse IP, puis cliquez sur Ajouter.
Sélectionnez votre serveur ISA et l'adresse IP externe de celui-ci.
Sélectionnez Utiliser un serveur de certificat pour s'authentifier auprès des clients Web.
Cliquez sur Sélectionner et sélectionnez le certificat que les clients FQDN utiliseront pour accéder au site SSL.
Cliquez sur OK.
Sélectionnez Activer les ports d'écoute SSL.
Cliquez sur OK.
Cliquez sur OK.
Cliquez sur Enregistrer les modifications et redémarrer le(s) service(s), puis cliquez sur OK.
- Pour configurer des demandes Web sortantes
Remarque : La procédure suivante empêche les utilisateurs du réseau interne de se servir du serveur ISA comme serveur proxy pour accéder à sites Web sur Internet. Elle n'est pas nécessaire à la mise en œuvre d'OWA via ISA mais elle est proposée dans le cadre du renforcement de la sécurité.
Démarrez Gestion ISA.
Cliquez à l'aide du bouton droit sur votre serveur ISA, puis sélectionnez Propriétés.
Cliquez sur l'onglet Requêtes Web sortantes.
Sélectionnez Configurer les ports d'écoute individuellement par adresse IP, assurez-vous qu'aucune adresse IP ne figure dans la liste, puis cliquez sur OK.
Cliquez sur Enregistrer les modifications et redémarrer le(s) service(s), puis cliquez sur OK.
Vous pouvez à présent configurer la Publication Web en vue de la prise en charge d'OWA.
Pour configurer la Publication Web en vue de la prise en charge d'OWA
Dans Gestion ISA, développez votre serveur ISA, puis développez Publication.
Cliquez à l'aide du bouton droit sur Règles de publication Web, sélectionnez Nouveau, puis Règle.
Entrez un nom tel que OWA – , puis cliquez sur Suivant.
Vérifiez que Toutes les destinations est sélectionné, puis cliquez sur Suivant.
Vérifiez que Toutes les demandes est sélectionné, puis cliquez sur Suivant.
Sélectionnez Redirigez la demande vers ce serveur Web (nom ou adresse IP), cliquez sur Parcourir et sélectionnez votre serveur frontal OWA.
Sélectionnez Envoyer l'en-tête de l'hôte d'origine vers le serveur de publication au lieu du serveur réel (spécifié ci-dessous), puis cliquez sur Suivant.
Cliquez sur Terminer.
Dans le volet des dossiers, cliquez sur Règles de publication Web, puis cliquez deux fois sur la nouvelle règle.
Cliquez sur l'onglet Pontage.
Sélectionnez Requérir un canal sécurisé (SSL) pour le site publié, sélectionnez Requérir un cryptage sur 128 bits, puis cliquez sur OK.
Remarque : Il est également nécessaire de configurer des règles appropriées pour les ports 80 et 443 sur les routeurs et les pare-feu de l'environnement.
Remarque : Pour plus d'informations sur la publication SMTP et OWA à l'aide d'ISA Server, connectez-vous à la Base de connaissances de Microsoft et consultez les articles Q290113, « How to Publish Outlook Web Access Behind ISA Server » et Q308599, « How to Configure ISA Server to Publish Exchange for OWA ».
Cryptage entre serveurs ISA et serveurs frontaux OWA
Pour crypter les communications HTTP entre ISA Server et un serveur frontal OWA, vous devez installer un certificat SSL sur les serveurs frontaux OWA. Ceux-ci, comme les serveurs ISA, faisant partie de l'infrastructure de votre organisation, l'autorité de certification racine ou n'importe quelle autorité de certification subordonnée approuvée interne peut émettre le certificat frontal OWA.
- Pour demander un certificat pour votre serveur frontal OWA
Remarque : Pour que vous puissiez effectuer la procédure ci-dessous, une autorité de certification doit être installée dans votre environnement.
Démarrez Gestionnaire des services Internet sur votre serveur frontal OWA.
Cliquez avec le bouton droit de la souris sur Site Web par défaut, puis cliquez sur Propriétés.
Cliquez sur l'onglet Sécurité de répertoire, puis sur Certificat de serveur.
Cliquez sur Suivant, cliquez ensuite sur Créer un certificat, puis sur Suivant.
Cliquez sur le bouton d'option Envoyer immédiatement la demande à une Autorité de certification en ligne, puis sur Suivant.
Dans le champ Nom, entrez un nom, puis cliquez sur Suivant.
Dans le champ Organisation , entrez le nom de votre organisation.
Dans le champ Unité d'organisation, entrez le nom de votre unité d'organisation, puis cliquez Suivant.
Dans le champ Nom commun, entrez le FQDN de votre serveur frontal OWA, puis cliquez sur Suivant.
Entrez les informations relatives au département et à la localité, puis cliquez sur Suivant.
Vérifiez que votre autorité de certification est sélectionnée dans la zone de liste déroulante Autorités de certification, puis cliquez sur Suivant.
Cliquez sur Suivant pour envoyer la demande, puis cliquez sur Terminer pour mettre fin à l'assistant.
Dans la section Communications sécurisées de la page Sécurité de répertoire, cliquez sur Editer.
Sélectionnez Requérir un canal sécurisé (SSL), sélectionnez Requérir un cryptage sur 128 bits, puis cliquez sur OK.
Dans la section Connexions anonymes et contrôle d'authentification de la page Sécurité de répertoire, cliquez sur Editer.
Sélectionnez Authentification de base (mot de passe envoyé en texte clair), puis cliquez sur Oui pour accepter l'avertissement.
Désélectionnez toutes les autres options, puis cliquez sur OK.
Cliquez sur OK.
Cliquez sur OK pour refermer la boîte de dialogue Héritages outrepassés, puis fermez Gestionnaire des services Internet.
Remarque : Le nom commun est le FQDN du serveur OWA qui correspond à la propriété de règle de publication sur le serveur ISA. Le serveur ISA vérifie la validité du certificat Web OWA ainsi que la chaîne de sécurité du certificat et la date d'expiration du certificat lors de la publication.
Cryptage entre serveurs frontaux OWA et serveurs Exchange principaux
À la différence de SSL, IPSec permet pas de crypter des données entre serveurs frontaux OWA et serveurs principaux du fait qu'ils exécutent Windows 2000. De plus, les performances d'IPSec sont supérieures à celles de SSL en termes de rapidité.
Remarque : Pour améliorer les performances et réduire la charge d'IPSec, il est conseillé d'opter pour des cartes réseau spécialisées qui traitent les communications cryptées IPSec.
IPSec permet de définir quels protocoles sont acceptés par l'adaptateur réseau, de bloquer ou d'autoriser certains ports, d'en crypter d'autres. En cas de communication serveur frontal/serveur principal, vérifiez que le port 80 est crypté.
IPSec est contrôlé par l'intermédiaire de stratégies IPSec définies dans Stratégie de groupe Windows 2000.
Tableau 1. Paramètres de stratégie IPSec
Stratégie | Paramètres |
---|---|
Serveur frontal OWA | Port 80 sortant - Crypter Port 80 entrant - Bloquer |
Principal | Port 80 entrant - Crypter |