Contrôle du relais SMTP avec Microsoft Exchange

Par Paul Robichaux

Sur cette page

Qu'est-ce que le relais ?
Pourquoi est-ce important ?
Que faire ?
Blocage du relais dans Exchange 2000
Contrôle du relais par un serveur virtuel SMTP
Blocage du relais dans Exchange 5.5
Désactivation complète du relais
Autorisation partielle de relais

Qu'est-ce que le relais ?

Si vous avez un jour reçu du courrier non sollicité, vous savez déjà en quoi consiste le relais SMTP : l'utilisation d'un serveur pour l'acceptation et le renvoi de messages électroniques à des destinataires sur d'autres serveurs. Dans le cas de figure le plus simple, alice@a.com se connecte au serveur SMTP sur b.com et l'utilise pour remettre un message à charlie@c.com. Remarquez qu'il s'agit d'un scénario différent de l'utilisation par Alice du serveur SMTP de son organisation.

Voici un exemple plus concret : imaginez que vous êtes en déplacement et équipé de votre ordinateur portable. Vous avez probablement une connexion d'accès à distance (ou une connexion large bande) qui vous affecte une adresse IP hors de votre bloc réseau habituel. Si votre serveur SMTP accepte de remettre vos messages à des tiers (c.-à-d. des destinataires qui ne se trouvent pas sur votre serveur de messagerie), cette opération constitue en fait un relais. Un serveur pour lequel le relais est activé accepte le courrier adressé à des destinataires d'autres domaines et essaie de le remettre.

Pourquoi est-ce important ?

Le relais est dans certains cas indésirable, par exemple lorsque vous êtes en déplacement et souhaitez utiliser votre serveur Exchange habituel comme hôte SMTP. Cependant, il est important que des mesures de restriction et d'authentification soient associées au relais. Si ce n'est pas le cas, les pollueurs pourront utiliser votre relais pour l'envoi de courrier non sollicité et vous en serez tenu pour responsable puisque l'origine des messages apparaîtra comme étant votre serveur. Outre votre contribution à la communauté luttant contre la diffusion de courrier non sollicité, une configuration appropriée des paramètres de relais de vos serveurs Exchange vous permettra d'éviter de devenir un point de diffusion de courrier non sollicité, protégeant ainsi votre bande passante et vous mettant à l'abri de soucis potentiels.

Que faire ?

Les procédures de configuration pour Exchange 5.5 et Exchange 2000 diffèrent. Dans les deux cas, elles nécessitent la configuration du composant gérant la messagerie Internet afin que celui-ci rejette le courrier adressé aux destinataires externes. Des paramètres supplémentaires vous permettront d'autoriser le relais avec authentification ou provenant d'adresses IP particulières. N'oubliez pas que si votre serveur Exchange fournit un service SMTP à des clients POP3 ou IMAP4, vous devrez tout de même activer le relais.

Blocage du relais dans Exchange 2000

Un ensemble de fonctionnalités anti-relais particulièrement souple est intégré à Exchange 2000. Vous pouvez configurer ces fonctionnalités au niveau du serveur virtuel SMTP, de manière à utiliser différentes propriétés de relais sur différents serveurs. L'une des utilisations habituelles de ces possibilités consiste à configurer deux serveurs virtuels : sur le premier serveur, le relais sur le port 25 sera désactivé pour le trafic standard, tandis que sur le second serveur le relais avec authentification sera activé sur un numéro de port non standard. Vos clients distants peuvent configurer leur client de messagerie de manière à ce que celui-ci n'utilise pas un port standard. Cette approche permet d'éviter ingénieusement les problèmes liés aux pollueurs qui recherchent des relais ouverts.

La procédure de contrôle de relais est simple mais varie légèrement selon que la configuration de relais à effectuer concerne un serveur virtuel SMTP ou un connecteur SMTP. Si vous ne connaissez pas la différence entre serveurs virtuels et connecteurs, consultez l'article en anglais Q294736  de la Base de connaissances Microsoft. Les contrôles des relais connecteurs dépassent le cadre de cet article. consultez la section "Pour plus d'informations" ci-dessous pour plus de détails.

Contrôle du relais par un serveur virtuel SMTP

1. Démarrez le Gestionnaire système Exchange. Naviguez jusqu'au serveur virtuel SMTP (dans Groupes administratifs | votregroupeadministratif | nomdevotreserveur | Protocoles).

2. Cliquez avec le bouton droit sur le serveur virtuel et choisissez la commande Propriétés.

3. Sélectionnez l'onglet Accès.

4. Pour limiter les connexions SMTP entrantes à une plage d'adresses particulières (si vos clients POP3/IMAP4 utilisent par exemple un bloc d'adresses au travers d'une connexion d'accès à distance ou VPN), utilisez le bouton Connexion… pour indiquer les adresses autorisées à effectuer une connexion SMTP. Vous remarquerez que les paramètres de la boîte de dialogue Connexion s'appliquent à tous les hôtes qui essaient d'utiliser ce serveur SMTP.

   Pour contrôler le relais SMTP, cliquez sur le bouton Relais. La boîte de dialogue Restrictions de relais (voir Illustration 1) vous permet d'effectuer les opérations suivantes :

   • Pour désactiver le relais à partir de toute source, sélectionnez la case d'option Uniquement la liste ci-dessous, puis laissez la liste Ordinateurs vide. C'est la valeur par défaut.

   • Pour autoriser le relais depuis un seul ordinateur ou un bloc d'adresses réseau, utilisez le bouton Ajouter (voir Figure 2) pour ajouter les adresses ou blocs IP pour lesquels le relais doit être autorisé. Vous pouvez aussi autoriser le relais en fonction du nom de domaine au lieu de l'adresse IP, bien que les performances soient dans ce cas pénalisées.

   • Pour bloquer un ensemble particulier d'adresses IP, sélectionnez la case d'option Tout sauf la liste ci-dessous, puis utilisez le bouton Ajouter pour ajouter les ordinateurs ou adresses réseau spécifiques pour lesquelles le relais doit être autorisé.

   • Pour autoriser les ordinateurs authentifiés par Exchange à effectuer le relais quelles que soient les restrictions mises en place, vérifiez que la case à cocher Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessus est activée.

Figure 1 Restrictions de relais

Figure 2 Ajout d'autorisations de relais

Blocage du relais dans Exchange 5.5

Quelques précisions pour commencer : Les fonctions de contrôle de relais ont été ajoutées à l'interface IMS depuis le Service Pack 1. Vous devriez bien sûr toujours utiliser le Service Pack le plus récent, et devrez l'installer avant de suivre les instructions suivantes. Chaque Service Pack contient des corrections en matière de sécurité qui sont utiles dès lors qu'un serveur est en liaison avec Internet. Si pour une raison quelconque vous ne pouvez pas effectuer la mise à niveau vers le Service Pack 1 ou une version plus récente, consultez l'article en anglais Q193922  de la Base de connaissances Microsoft sur la configuration manuelle du sous-système de relais IMS.

Lors de l'installation d'IMS, le programme Administrateur Exchange vous demandera si vous souhaitez ou non activer le relais, la valeur par défaut étant la désactivation du relais. Après l'installation, le contrôle du relais dans Exchange 5.5 s'effectue grâce à l'onglet Routage de la boîte de dialogue Propriétés du service Internet Mail (voir Figure 3). Notez que toute modification des paramètres liés au relais nécessite l'arrêt et le redémarrage d'IMS avant de prendre effet.

Figure 3 Onglet Routage des Propriétés du service Internet Mail

Désactivation complète du relais

Pour interdire complètement le relais SMTP, sélectionnez la case d'option Ne pas rerouter le courrier SMTP entrant. C'est tout ce que vous devez faire. Cette option doit en général être activée pour les serveurs se trouvant derrière votre pare-feu et qui en temps normal n'acceptent pas les connexions provenant de clients externes.

Autorisation partielle de relais

Vous devez tout d'abord activer le relais en sélectionnant la case d'option Rerouter le courrier SMTP entrant (requis pour la prise en charge de POP3/IMAP4). Une fois cette opération effectuée, deux mécanismes principaux contrôlent le relais :

• La liste Routage indique les domaines en provenance desquels le courrier SMTP sera accepté par le serveur. Dans l'exemple, ratest.com et huntsville.ratest.com sont entrants, ce qui signifie qu'IMS acceptera le courrier et tentera de le remettre localement. Le domaine robichaux.net est défini de manière explicite comme domaine relais, ce qui signifie qu'il est ajouté manuellement (à l'aide du bouton Ajouter...) en tant que domaine pour lequel le courrier SMTP est dans tous les cas accepté.

• Les boutons Ajouter…, Modifier… et Supprimer vous permettent de choisir les domaines apparaissant dans la liste Routage, ainsi que le traitement du courrier de ces domaines effectué par IMS : blocage, acceptation de relais ou traitement équivalent à celui réservé au courrier entrant.

  Le bouton Restrictions de routage (voir Figure 4) permet d'effectuer ce qui constitue le choix de la plupart des administrateurs : permettre aux clients légitimes d'effectuer le relais tout en bloquant les pollueurs. Tous les contrôles de cette boîte de dialogue sont par défaut désactivés. Vous devez définir les restrictions spécifiques à appliquer.

  • Pour que tous les clients qui se connectent (c.-à-d. en accès POP3 ou IMAP4) puissent relayer, activez la case à cocher Hôtes et clients ont été authentifiés avec succès. Notez qu'en exigeant l'authentification SMTP en complément de cette option vous pouvez autoriser les serveurs SMTP (et non uniquement les clients) à assurer le relais au travers de votre serveur.

  • Pour autoriser le relais d'adresses IP particulières (internes ou externes), activez la case à cocher Hôtes et clients avec ces adresses IP, puis utilisez les boutons Ajouter, Modifier et Supprimer afin d'établir la liste des adresses IP à partir desquelles le relais du trafic est autorisé. N'oubliez pas que cette case à cocher contrôle le relais si vous avez sélectionné la case d'option Rerouter le courrier SMTP entrant ... de l'onglet Routage. Cette case à cocher doit en général être activée afin d'empêcher le relais. Dans le cas contraire, le relais est possible à partir du serveur.

  • Pour autoriser uniquement le relais à partir de clients qui se connectent à une adresse IP particulière sur le serveur, activez la case à cocher Hôtes et clients se connectant à ces adresses internes.

  • Pour empêcher en toutes circonstances le relais du courrier par un groupe particulier d'hôtes et de clients, indiquez leurs adresses IP et masques de réseau dans la liste Spécifier les hôtes et les clients ne pouvant jamais router le courrier.

Figure 4

Paul Robichaux est le PDG de la société Robichaux & Associates, Inc, qui propose des services de programmation, de sécurité et de communications techniques à des clients allant de simples concessionnaires automobiles à Microsoft. Son dernier livre (Managing Microsoft Exchange Server, aux éditions O'Reilly & Associates) (en anglais) est en vente actuellement, ce qui lui permet de passer plus de temps avec sa famille. Il répond volontiers aux questions des utilisateurs à l'adresse security@robichaux.net.

A Microsoft Corporation, nous espérons que les informations de cet article vous seront utiles. Cependant, vous assumez l'ensemble des risques liés à l'utilisation des informations qu'il contient. Toutes les informations de cet article sont fournies telles quelles, sans aucune garantie, expresse ou implicite, d'exactitude, d'exhaustivité ou d'adaptation à un objectif particulier, et aucun des produits ou informations tiers mentionnés dans l'article n'est édité, recommandé, supporté ou garanti par Microsoft Corporation. Microsoft Corporation ne pourra pas être tenu pour responsable des éventuels dommages spéciaux, indirects ou accessoires subis suite à l'utilisation de ces informations, même si Microsoft Corporation a été informé de la possibilité de tels dommages. Tous les prix des produits mentionnés dans ce document sont susceptibles d'être modifiés sans préavis.

Dernière mise à jour le mardi 5 mars 2002

Pour en savoir plus

• Sam Spade.org

• XFOR: Online Resources for Spam Mail Testing and Information

• XCON: Setting Up SMTP Domains for Inbound and Relay E-Mail in Exchange 2000 Server

• XFOR: How to Configure the SMTP Connector in Exchange 2000

• XCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart Host

• Internet Mail Consortium

• Guide d'évolutivité des serveurs frontaux Microsoft® Exchange 2000 et de la passerelle SMTP

• Toutes les infos de TechNet sur Microsoft Exchange 2000