Configuration du rôle serveur de transport Hub Exchange Server 2007 pour la réception de messages Internet

 

Dernière rubrique modifiée : 2011-06-16

Dans Microsoft Exchange Server 2007, le serveur de transport Edge et le serveur de transport Hub sont similaires. En revanche, ils sont conçus pour des rôles spécifiques et leurs paramètres diffèrent. Par exemple, le rôle serveur de transport Edge est configuré pour recevoir des messages en provenance d'Internet. Le rôle serveur de transport Hub est configuré pour être le plus sécurisé possible, et n'accepte pas de messages en provenance de sources non authentifiées (non approuvées).

Le serveur de transport Hub étant conçu pour être plus sûr que le serveur de transport Edge, certains clients ne peuvent pas exécuter ni décider d'exécuter un serveur de transport Edge. Dès lors, que faire si vous voulez recevoir des messages en provenance d'Internet sur le serveur Hub ? Cette rubrique décrit comment configurer un connecteur de réception sur un serveur de transport Hub pour recevoir des messages en provenance d'Internet.

Exchange Server et Internet

Comme Microsoft Exchange requiert un accès direct au service d'annuaire Active Directory, les serveurs Microsoft Exchange ne peuvent pas être directement connectés à Internet. Que vous choisissiez le rôle serveur de transport Edge ou serveur de transport Hub pour recevoir des messages en provenance d'Internet, le serveur Exchange doit se trouver derrière un pare-feu. Le type de pare-feu à utiliser dépend des protocoles devant accéder à Internet. Pour les protocoles de serveur d'accès au client tels que HTTPS, IMAP et POP, le serveur Exchange doit se trouver derrière un pare-feu de réacheminement de port/proxy inverse, tel qu'un serveur Internet Security and Acceleration (ISA). Un serveur ISA peut détecter et bloquer des attaques. Pour le protocole SMTP (Simple Mail Transfer Protocol), il est recommandé d'installer le rôle serveur de transport Edge. À la différence d'autres solutions de filtrage SMTP actif, le serveur de transport Edge inclut toutes les fonctionnalités d'Exchange 2007 et peut, le cas échéant, être complètement séparé du reste de la forêt.

Si vous ne disposez que d'un seul serveur, il est recommandé de recourir à une solution d'hygiène telle que des services hébergés Exchange (EHS, Exchange Hosted Services). Il se peut également que votre fournisseur de services Internet offre un service similaire. Une configuration habituelle pour un serveur Exchange unique consiste à placer Microsoft Exchange directement derrière un pare-feu NAT ou un proxy inverse, tel qu'un serveur ISA. Évidemment, une telle approche augmente le risque. Toutefois, pour de nombreux clients de taille modeste, ce risque est acceptable.

Pour plus d'informations sur Exchange Server et les options disponibles pour les connexions Internet, consultez la rubrique Comment configurer les connecteurs pour le flux de messages sur Internet.

Fonctions indisponibles en cas d'utilisation du rôle serveur de transport Hub

Si vous utilisez le rôle serveur de transport Hub au lieu du rôle serveur de transport Edge pour recevoir des messages en provenance d'Internet, les conditions suivantes sont vraies pour les principales fonctions du serveur :

  • Il est possible de déployer le serveur de transport Edge dans un réseau de périmètre. Pour assurer une sécurité accrue, ce serveur ne doit pas être joint à un domaine. En revanche, le serveur de transport Hub doit disposer d'une connexion au service d'annuaire Active Directory.

  • Le serveur de transport Hub ne peut pas être isolé. Le flux SMTP en provenance d'Internet peut inclure plus de 70 pour cent de courrier indésirable. En séparant le flux SMTP du trafic interne, vous pouvez éviter le traitement et le filtrage du courrier indésirable sur les serveurs internes. Les serveurs internes sont alors libres d'effectuer des opérations de routage, de contrôle de la conformité, ainsi que d'autres opérations entre boîtes aux lettres. Cela est particulièrement important si la messagerie interne est un service crucial.

  • L'agent d'application de règles de transport Edge est indisponible. Au lieu de cela, l'agent d'application de règles de transport Hub est disponible et largement utilisé pour le contrôle de la conformité. Par contre, les règles de transport Edge sont principalement destinées à l'hygiène. Pour plus d'informations à ce sujet, consultez la rubrique Understanding Transport Rules (en anglais).

  • Les règles de transport Hub incluent certaines options relatives aux pièces jointes. Toutefois, le transport Hub ne peut pas analyser le flux MIME entrant afin d'y détecter des types de pièces jointes nuisibles et de rejeter certains messages au niveau de la couche de protocole. Pour compenser l'absence de cette fonction, il est possible de recourir à des produits antivirus, tels que Microsoft Forefront, qui offrent cette fonctionnalité.

  • L'agent de réécriture d'adresses n'est pas disponible sur le serveur de transport Hub. Généralement, cet agent est utilisé par des entreprises de grande taille où un serveur de transport Edge ou des logiciels supplémentaires assurent cette fonctionnalité. Pour plus d'informations sur cette fonction, consultez la rubrique Gestion de l'Agent de réécriture d'adresses.

Configuration d'un connecteur de réception

Les connecteurs de réception constituent une passerelle logique via laquelle tous les messages entrants sont reçus. Vous pouvez les personnaliser de plusieurs manières. Toutefois, les instructions ci-après décrivent les procédures les plus courtes pour configurer les connecteurs de réception à l'aide de la console de gestion Exchange.

Configuration de connecteurs de réception dans la console de gestion Exchange

  1. Dans la console de gestion Exchange, sous le nœud Configuration du serveur, cliquez sur Transport Hub.

  2. Dans le volet Résultats, cliquez sur le nom du serveur sur lequel le rôle serveur de transport Hub est installé.

  3. Dans le volet Travail, sous l'onglet Connecteurs de réception, double-cliquez sur <nom_serveur> par défaut.

  4. Sous l'onglet Groupes d'autorisation, activez la case à cocher Utilisateurs anonymes, puis cliquez sur OK.

Notes

Si vous n'accomplissez pas cette étape, lors de l'envoi de messages au serveur de transport Hub, l'expéditeur reçoit le message de notification d'échec de remise suivant : « 530 5.7.1 Le client n’a pas été authentifié. »

Pour plus d'informations sur les connecteurs de réception, consultez les rubriques suivantes :

Domaines acceptés

Par défaut, les serveurs Microsoft Exchange acceptent uniquement les messages adressés au domaine Windows dont le serveur est membre. Pour accepter des messages destinés à votre domaine SMTP externe, vous devrez peut-être créer un domaine accepté.

Pour plus d'informations sur la création d'un domaine accepté, consultez la rubrique Procédure de création de domaines acceptés.

Notes

Si vous n'accomplissez pas cette étape, lorsque des messages sont envoyés directement, certains destinataires au sein de l'organisation risquent de recevoir le message de notification d'échec de remise suivant : « 550 5.7.1 Impossible de remettre le message. »

Configuration d'un connecteur d'envoi

Pour envoyer un message, vous devez configurer un connecteur d'envoi. Si vous avez installé Microsoft Exchange dans un environnement existant contenant Microsoft Exchange Server 2003, vous disposez probablement déjà d'un connecteur d'envoi (connecteur SMTP). Vous devez probablement vérifier les paramètres.

Si le connecteur figure sur votre serveur Exchange 2003, vous pouvez consulter les paramètres à l'aide de la console de gestion Exchange 2007. En revanche, toutes les modifications de la configuration du connecteur d'envoi doivent être apportées à l'aide du Gestionnaire système Exchange 2003. Par exemple, si vous disposez d'un connecteur uniquement sur le serveur Exchange 2003, tous les messages sortants transitent par le serveur Exchange 2003. Si vous avez un connecteur sur le serveur Exchange 2003 et un autre sur le serveur Microsoft Exchange, tous les messages sortants transitent par le connecteur le plus proche. Si vous supprimez le connecteur d'envoi sur le serveur Exchange 2003 alors que vous disposez d'un connecteur d'envoi sur le serveur Microsoft Exchange, tous les messages sortants transitent par le serveur Microsoft Exchange.

Pour configurer un connecteur d'envoi dans Microsoft Exchange, utilisez la console de gestion Exchange. Pour plus d'informations sur la création d'un connecteur d'envoi dans Exchange 2007, consultez la rubrique Procédure de création d'un connecteur d'envoi.

Lorsque vous utilisez l'Assistant Nouveau connecteur d'envoi SMTP pour créer un connecteur d'envoi, dans la page Introduction, sélectionnez « Internet » comme type d'utilisation. Pour que tous les messages sortants transitent par le connecteur, dans la page Espace d'adressage, définissez l'espace d'adressage du connecteur sur « * », puis définissez le type sur « smtp ». Pour tous les autres paramètres, suivez les instructions de l'Assistant, puis sélectionnez la configuration qui s'applique à votre environnement.

Il est également recommandé de configurer un enregistrement SPF (Sender Policy Framework) pour votre domaine. Pour plus d'informations sur la procédure de configuration d'un SPF, consultez la rubrique Sender ID Framework SPF Record Wizard (en anglais).

Pour plus d'informations sur les connecteurs d'envoi, consultez la rubrique Understanding Send Connectors (en anglais).

Configuration du blocage du courrier indésirable

Si l'environnement n'utilise pas de serveur de transport Edge, les serveurs de transport Hub doivent exécuter les fonctions de blocage du courrier indésirable. L'environnement de ligne de commande Exchange Management Shell permet d'ajouter aisément cette fonctionnalité aux serveurs de transport Hub.

Ajout de fonctionnalités de blocage du courrier indésirable à un serveur de transport Hub

  1. Dans l'environnement de ligne de commande Exchange Management Shell, localisez le répertoire suivant : C:\Program Files\Microsoft\Exchange Server\Scripts

  2. Entrez la commande suivante, puis appuyez sur ENTRÉE : Install-AntispamAgents.psi

  3. Redémarrez l'ordinateur.

Une fois le blocage du courrier indésirable activé, l'onglet Anti-spam s'affiche dans la console de gestion Exchange.

Pour plus d'informations, consultez la rubrique Activer la fonctionnalité de blocage du courrier indésirable sur un serveur de transport Hub.

Notes

Si vous disposiez précédemment de paramètres Exchange 2003 pour le blocage du courrier indésirable, vous devez opérer leur migration vers Microsoft Exchange . Pour plus d'informations, consultez la rubrique Transfert de paramètres d'Exchange Server 2003 vers Exchange 2007.

Personnalisations utiles

Pour améliorer le fonctionnement d'Exchange Server, songez aux suggestions suivantes :

  • Le serveur Exchange 2007 étant connecté directement à Internet, vous pouvez modifier le nom de domaine complet annoncé qui est envoyé dans les commandes HELO/EHLO via SMTP. Pour ce faire, utilisez la console de gestion Exchange pour opérer cette configuration pour les connecteurs d'envoi et de réception. Sous l'onglet Général de la boîte de dialogue Propriétés du connecteur d'envoi et du connecteur de réception, spécifiez le nom de domaine complet que le connecteur fournira en réponse à une commande HELO ou EHLO.

  • Comme vous n'utiliserez pas de serveur Edge, vous n'avez pas besoin du service EdgeSync d'Exchange 2007. Dans Service, définissez le service Microsoft Exchange EdgeSync sur Désactivé pour l'empêcher de démarrer et d'utiliser les ressources système.

Vérification et dépannage de la configuration

Pour achever la configuration, procédez comme suit :

  • Assurez-vous que votre enregistrement MX est correct.

  • Assurez-vous que votre pare-feu autorise les connexions entrantes sur le port 25.

Pour ce faire, si vous disposez déjà d'un serveur de messagerie, vous pouvez soit réutiliser l'adresse IP du serveur, soit mettre à jour la règle de pare-feu afin qu'elle pointe sur la nouvelle adresse IP du serveur Microsoft Exchange.

Servez-vous de l'outil Mail Flow Analyzer pour résoudre d'éventuels problèmes. En outre, plusieurs sites Web peuvent vous aider à diagnostiquer des problèmes de réception DNS et SMTP, notamment les sites suivants :

Plus d'informations

Pour plus d'informations sur le rôle serveur de transport Edge, consultez la rubrique Vue d'ensemble du rôle serveur de transport Edge.

Pour plus d'informations sur le rôle serveur de transport Hub, consultez la rubrique Vue d'ensemble du rôle serveur de transport Hub.