Comprendre la sécurité de la couche de transport (TLS) dans FOPE

  • Article

 

Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2012-05-02

TLS (Transport Layer Security) est un protocole qui chiffre les messages et les remet de façon sécurisée, afin d'empêcher l'écoute clandestine et l'usurpation entre les serveurs de messagerie. TLS fonctionne de deux façons pour assurer la sécurité de la messagerie :

  1. Chiffrement des messages : À l'aide d'une infrastructure à clé publique (PKI), TLS chiffre les messages d'un serveur de messagerie à un autre. Cela empêche les pirates informatiques d'intercepter et d'afficher les messages.

  2. Authentification des messages : À l'aide de certificats numériques, l'authentification TLS vérifie que les serveurs qui envoient (ou reçoivent) les messages correspondent bien à l'ID qu'ils fournissent. Cela aide à limiter l'usurpation.

Tous les messages traités par Forefront Online Protection for Exchange (FOPE) sont chiffrés à l'aide de TLS. Pour garantir la confidentialité et l'intégrité des messages, le service essaiera d'envoyer et de recevoir des messages de/vers les serveurs à l'aide du protocole TLS, mais repassera automatiquement en mode SMTP si le serveur de messagerie d'expédition ou de destination n'est pas configuré pour utiliser le protocole TLS.

Chiffrement TLS FOPE

Si TLS est configuré avec un certificat sur votre serveur, notamment un certificat généré par votre propre serveur d'autorité de certification, tout le trafic entrant et sortant entre les centres de données FOPE et votre réseau sera chiffré à l'aide de TLS. Le service FOPE prend en charge TLS opportuniste, ce qui signifie qu'il essaie d'utiliser TLS, mais si la connexion TLS avec le serveur de destination n'est pas possible, il utilise le mode SMTP standard.

Les serveurs de messagerie peuvent ou non indiquer dans un message si celui-ci a été chiffré avec TLS. Si tel est le cas, l'en-tête du message contient une ligne identique à celle ci-dessous :

« utilisation de TLSv1 avec chiffrement EDH-RSA-DES-CBC3-SHA (168/168 bits) »

L'exemple ci-dessus illustre les algorithmes et les tailles de bits qui ont été utilisés pour chiffrer le message.

Messages sortants et TLS forcé

Le service FOPE vous permet de créer des règles de stratégie, via la section Action du volet Paramètres des règles de stratégie, qui active l'option Forcer TLS. Ce paramètre de règle de stratégie met en œuvre le protocole TLS entre votre agent de transfert de courrier sortant (MTA) et celui du destinataire. Lorsque vous configurez cette règle de stratégie, l'obligation d'utiliser le protocole TLS concerne les courriers électroniques sortants correspondants et s'applique à l'intégralité de votre domaine.

RemarqueRemarque :
S'il est impossible d'établir une connexion TLS entre vos services sortants et l'environnement de messagerie du destinataire, le message est reporté pendant 24 heures. Si la remise du message échoue, une notification de non-remise est envoyée au destinataire. Pour recevoir la notification de non-remise, votre serveur doit avoir un certificat valide et reconnu.

Lorsque vous créez une règle de stratégie qui active TLS forcé, vous pouvez activer TLS opportuniste pour des destinataires non spécifiés (dans la zone Destinataire sous Correspondance – Nouvelle règle de stratégie). Cocher cette case permettra toujours d'appliquer le protocole TLS authentifié au destinataire qui correspond à cette règle, mais cela permettra également à tous les autres destinataires de recevoir le message à l'aide du TLS opportuniste si toutes les tentatives d'application du TLS échouent. Le service FOPE utilisera toujours le niveau de chiffrement le plus élevé disponible pour la transmission des messages, ou s'il n'est pas disponible, le prochain niveau disponible en dessous. Si la case à cocher Activer le TLS opportuniste pour les destinataires non spécifiés n'est pas activée, les messages sortants ne seront pas bifurqués. Autrement dit, le TLS authentifié sera appliqué pour la remise des messages à tous les destinataires du message si les destinataires correspondent à la règle Filtre de stratégie et si l'agent de transfert des messages (MTA) des destinataires est configuré pour les connexions de type TLS (y compris les certificats publics valides). Si l'un des destinataires possède un MTA qui ne prend pas en charge les connexions TLS, le message adressé à ce correspondant sera rejeté. Pour plus d'informations sur cette règle de stratégie et ses paramètres, consultez la rubrique Présentation des paramètres de règle de stratégie.

Certificats TLS

Le service FOPE requiert le certificat TLS/SSL X.509 standard. Le certificat racine GTE Cybertrust le plus récent doit être installé avec votre certificat. Les certificats doivent être achetés directement auprès d'une autorité de certification ou d'un revendeur de certificat autorisé. FOPE prend en charge de nombreuses autorités de certification racine connues. Par principe, FOPE prend uniquement en charge les autorités de certification racine actuellement valides faisant partie du Programme du Certificat racine de Microsoft. Si vous envisagez un certificat numérique pour une utilisation avec FOPE, obtenez-en un récent auprès d'un membre du Programme du Certificat racine de Microsoft. Si votre autorité de certification par défaut n'est pas listée, consultez le Programme de Certificat racine Microsoft pour savoir comment ils peuvent s'appliquer au programme.

Échec de la négociation TLS

Parfois, les utilisateurs de FOPE peuvent subir un échec de négociation TLS. Une négociation TLS peut échouer pour plusieurs raisons : les scénarios les plus courants sont expliqués ci-dessous :

  1. Le certificat TLS/SSL utilisé dans la négociation a expiré ou a été révoqué.

  2. TLS n'est pas activé pour votre MTA. Vérifiez que TLS est activé pour votre MTA.

  3. Le pare-feu qui gère la connexion n'est pas configuré pour autoriser les communications TLS via le port 25.

Le signalement d'erreur étendu utilisé dans TLS permet de dépanner les problèmes de connexion et négociation que vous pouvez rencontrer.

FAQ TLS

Vous trouverez ci-dessous une liste des questions les plus fréquemment posées par les clients du service FOPE relatives à TLS.

Q. Comment appeler une session TLS lors de l'envoi de courrier ?

R. La pile de protocole TLS/SSL doit être installée sur votre serveur de messagerie (installée par défaut avec la plupart des systèmes d'exploitation) et elle doit être configurée pour initier les connexions SMTP à l'aide de TLS. Un certificat à jour doit également être installé.

Q. Dois-je configurer mon pare-feu si j'utilise TLS ?

R. La plupart des pare-feu sont préconfigurés pour autoriser le trafic TLS/SSL sur le port 25. Consultez le fabricant de votre pare-feu si vous n'êtes pas certain que votre pare-feu prend en charge cette fonctionnalité ou s'il doit être configuré.

Q. Comment savoir si un serveur de messagerie est compatible TLS ?

R. Il existe deux façons de vous assurer si un serveur est compatible TLS :

  1. Envoyez et recevez un message du serveur et examinez les en-têtes du message. Si un élément signale TLS, alors il est probable que le serveur soit compatible TLS.

  2. Testez le serveur en utilisant une connexion Telnet.

Vous trouverez ci-dessous un exemple de session Telnet dans des centres de données FOPE qui indique l'option STARTTLS. Vous pouvez effectuer ce test sur n'importe quel serveur de messagerie. L'exemple suivant provient de serveurs FOPE :

CMD : telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD : ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD : starttls

220 Ready to start TLS

“220 Ready to start TLS” indique que le serveur est prêt à démarrer une connexion TLS.