Processus d’autorisation d’un relais anonyme sur des serveurs Exchange

Exchange 2016
[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment configurer un relais anonyme dans Exchange 2016.

Relais ouvert est une mauvaise option pour les serveurs de messagerie sur Internet. Les serveurs de messagerie configurés accidentellement ou volontairement comme relais ouverts permettent aux messages de n’importe quelle source d’être redirigés de manière transparente via le serveur de relais ouvert. Ce comportement masque la source des messages et fait croire que le message provient du serveur de relais ouvert. Les serveurs de relais ouvert sont dynamiquement recherchés et utilisés par les expéditeurs de courrier indésirable. Il est donc préférable que vos serveurs de messagerie ne soient pas configurés comme relais ouverts.

En revanche, l’utilisation de relais anonyme est répandue dans les entreprises qui ont des serveurs web internes, des serveurs de base de données, des applications d’analyse ou d’autres périphériques réseau qui génèrent des messages électroniques sans pouvoir les envoyer.

Dans Exchange Server 2016, vous pouvez créer un connecteur de réception dédié dans le service de transport frontal d’un serveur de boîte aux lettres. Celui-ci autorise les relais anonymes provenant d’une liste spécifique d’hôtes de réseau interne. Voici quelques points à prendre en compte pour le connecteur de réception du relais anonyme :

  • Vous devez créer un connecteur de réception dédié pour spécifier les hôtes de réseau autorisés à relayer anonymement des messages, pour que vous puissiez empêcher d’autres personnes ou éléments d’utiliser le connecteur. N’essayez pas d’ajouter la fonction de relais anonyme aux connecteurs de réception par défaut créés par Exchange. Il est important de limiter l’accès au connecteur de réception si vous ne voulez pas configurer le serveur comme relais ouvert.

  • Vous devez créer le connecteur de réception dédié dans le service de transport frontal, et non dans le service de transport. Dans Exchange 2016, le service de transport frontal et le service de transport sont toujours situés au même endroit, sur des serveurs de boîte aux lettres. Le service de transport frontal a un connecteur de réception par défaut nommé « Default Frontend <ServerName> » qui est configuré pour écouter les connexions SMTP entrantes en provenance de n’importe quelle source sur le port TCP 25. Vous pouvez créer un autre connecteur de réception dans le service de transport frontal pour écouter les connexions SMTP entrantes sur le port TCP 25, mais vous devez spécifier les adresses IP autorisées à utiliser le connecteur. Le connecteur de réception dédié est toujours utilisé pour les connexions entrantes en provenance de ces hôtes de réseau spécifiques (c’est le connecteur de réception qui correspond le mieux à l’adresse IP du serveur de connexion utilisé).

    En revanche, le service de transport a un connecteur de réception par défaut nommé « Default <ServerName> » qui est également configuré pour répertorier les connexions SMTP entrantes provenant de n’importe quelle source, mais qui écoute sur le port 2525 pour éviter tout conflit avec le connecteur de réception du service de transport frontal. De plus, seuls les autres services de transport et les serveurs Exchange de votre organisation sont censés utiliser ce connecteur de réception, pour que les méthodes d’authentification et de chiffrement soient correctement définies.

    Pour plus d’informations, consultez les rubriques relatives au Flux de messagerie et pipeline de transport et aux connecteurs de réception par défaut créés lors de l’installation.

  • Une fois le connecteur de réception dédié créé, vous devez modifier ses autorisations pour permettre l’utilisation du relais anonyme uniquement par les hôtes de réseau spécifiés, identifiés par leur adresse IP. Les hôtes de réseau requièrent, au minimum, les autorisations suivantes du connecteur de réception pour pouvoir relayer anonymement des messages :

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

    Pour plus d’informations sur les autorisations des connecteurs de réception, consultez les rubriques relatives aux groupes d’autorisations du connecteur de réception et aux autorisations du connecteur de réception.

    Il existe deux méthodes possibles pour configurer les autorisations nécessaires pour le relais anonyme sur un connecteur de réception. Ces méthodes sont décrites dans le tableau suivant :

     

    Méthode Autorisations octroyées Avantages Inconvénients

    Ajoute le groupe d’autorisations Utilisateurs anonymes (Anonymous) au connecteur de réception et ajoute l’autorisation Ms-Exch-SMTP-Accept-Any-Recipient au

    principal de sécurité NT AUTHORITY\ANONYMOUS LOGON sur le connecteur de réception.

    Les connexions utilisent le principal de sécurité NT AUTHORITY\ANONYMOUS LOGON avec les autorisations suivantes :

    ms-Exch-Accept-Headers-Routing

    ms-Exch-SMTP-Accept-Any-Recipient

    ms-Exch-SMTP-Accept-Any-Sender

    ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    ms-Exch-SMTP-Submit

    Accorde les autorisations minimales requises pour le relais anonyme.

    Plus difficile à configurer (Environnement de ligne de commande Exchange Management Shell doit être utilisé).

    Les hôtes de réseau sont considérés comme des expéditeurs anonymes. Les messages ne contournent pas les contrôles de taille maximale et de courriers indésirables, et l’adresse de messagerie de l’expéditeur ne peut pas être associée au nom complet correspondant (le cas échéant) dans la liste d’adresses globale.

    Ajoute le groupe d’autorisations Serveurs Exchange (ExchangeServers) et le mécanisme d’authentification Sécurisé de l’extérieur (ExternalAuthoritative) au connecteur de réception.

    Les connexions utilisent le principal de sécurité MS Exchange\Externally Secured Servers avec les autorisations suivantes :

    ms-Exch-Accept-Headers-Routing

    ms-Exch-Bypass-Anti-Spam

    ms-Exch-Bypass-Message-Size-Limit

    ms-Exch-SMTP-Accept-Any-Recipient

    ms-Exch-SMTP-Accept-Any-Sender

    ms-Exch-SMTP-Accept-Authentication-Flag

    ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    ms-Exch-SMTP-Accept-Exch50

    ms-Exch-SMTP-Submit

    Plus facile à configurer (toutes les opérations peuvent être effectuées dans Centre d’administration Exchange).

    Les hôtes de réseau sont considérés comme des expéditeurs authentifiés. Les messages contournent les contrôles de taille maximale et de courriers indésirables, et l’adresse de messagerie de l’expéditeur peut être associée au nom complet correspondant dans la liste d’adresses globale.

    Accorde les autorisations nécessaires pour envoyer des messages comme s’ils provenaient d’expéditeurs internes au sein de votre organisation Exchange. Les hôtes de réseau sont considérés comme étant totalement fiables, quels que soient le volume, la taille ou le contenu des messages qu’ils envoient.

    Pour finir, vous devez choisir l’approche la mieux adaptée aux besoins de votre organisation. Nous allons vous expliquer comment configurer ces deux méthodes. N’oubliez pas que vous pouvez configurer une seule méthode à la fois.

  • Durée d’exécution estimée de cette tâche : 10 minutes.

  • Certaines de ces procédures nécessitent Environnement de ligne de commande Exchange Management Shell. Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Connecteurs de réception » dans la rubrique Autorisations de flux de messagerie.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Vous pouvez créer le connecteur de réception dans le Centre d’administration Exchange ou dans Environnement de ligne de commande Exchange Management Shell.

  1. Dans le Centre d’administration Exchange, accédez à Flux de messagerie>Connecteurs de réception, puis cliquez sur AjouterIcône Ajouter. L’Assistant Nouveau connecteur de réception démarre.

  2. Sur la première page, entrez les informations suivantes :

    • Nom   Donnez un nom descriptif au connecteur de réception, par exemple, Relais anonyme.

    • Rôle   Sélectionnez Transport frontal.

    • Type   Sélectionnez Personnaliser.

    Lorsque vous avez terminé, cliquez sur Suivant.

  3. Sur la page suivante, dans la section Liaisons de carte réseau, effectuez l’une des actions suivantes :

    • Si le serveur Exchange a une carte réseau et ne sépare pas le trafic interne et externe avec des sous-réseaux différents, acceptez l’entrée (Toutes les IPv4 disponibles) existante sur le port 25.

    • Si le serveur Exchange a une carte réseau interne et une carte réseau externe, et sépare le trafic réseau interne et externe avec des sous-réseaux différents, vous pouvez renforcer la sécurité du connecteur en limitant son utilisation aux demandes provenant de la carte réseau interne. Pour ce faire, procédez comme suit :

      1. Sélectionnez l’entrée (Toutes les IPv4 disponibles) existante, cliquez sur SupprimerIcône Suppression, puis sur AjouterIcône Ajouter.

      2. Dans la boîte de dialogue Liaisons de carte réseau, sélectionnez Spécifier une adresse IPv4 ou IPv6, entrez une adresse IP valide et disponible configurée sur la carte réseau interne, puis cliquez sur Enregistrer.

    Lorsque vous avez terminé, cliquez sur Suivant.

  4. Sur la page suivante, dans la section Paramètres du réseau distant, procédez comme suit :

    1. Sélectionnez l’entrée 0.0.0.0-255.255.255.255 existante, cliquez sur SupprimerIcône Suppression, puis sur AjouterIcône Ajouter.

    2. Dans la boîte de dialogue Paramètres de l’adresse distante, entrez une adresse IP ou une plage d’adresses IP qui identifie les hôtes de réseau pouvant utiliser ce lien, puis cliquez sur Enregistrer. Vous pouvez répéter cette étape pour ajouter plusieurs adresses IP ou plages d’adresses IP. Il vaut mieux être trop spécifique pour identifier clairement les hôtes de réseau pouvant utiliser ce lien.

    Lorsque vous avez terminé, cliquez sur Terminer.

Pour créer le même connecteur de réception dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

Cet exemple permet de créer un connecteur de réception avec les options de configuration suivantes :

  • Nom Relais anonyme

  • Rôle de transport FrontEndTransport

  • Type d’utilisation   Personnalisé

  • Liaisons 0.0.0.0:25 (écoute des messages entrants sur toutes les adresses IP configurées sur toutes les cartes réseau dans le serveur Exchange sur le port TCP 25.)   

  • Adresses IP distantes autorisées à utiliser ce lien   192.168.5.10 et 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Remarques :

  • Lorsque vous spécifiez le type d’utilisation Personnalisé, vous devez renseigner le paramètre Bindings.

  • Le paramètre RemoteIpRanges accepte une seule adresse IP, une plage d’adresses IP (par exemple, 192.168.5.10-192.168.5.20) ou le routage CIDR (Classless InterDomain Routing) (par exemple, 192.168.5.1/24). Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Comme indiqué dans l’introduction, il existe deux méthodes possibles pour configurer les autorisations nécessaires sur le connecteur de réception :

  • Configuration des connexions en mode anonyme.

  • Configuration des connexions en mode sécurisé de l’extérieur.

Choisissez une de ces deux méthodes. Les exemples renvoient au connecteur de réception Relais anonyme créé à l’étape 1.

Exécutez les commandes suivantes dans Environnement de ligne de commande Exchange Management Shell :

  1. Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers
    
  2. Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    
    

  1. Dans le Centre d’administration Exchange, accédez à Flux de messagerie > Connecteurs de réception, sélectionnez le connecteur Relais anonyme, puis cliquez sur ModifierIcône Modifier.

  2. Dans les propriétés du connecteur, cliquez sur Sécurité et effectuez les sélections suivantes :

    • Authentification   Désélectionnez Protocole TLS (Transport Layer Security) et sélectionnez Sécurisé de l’extérieur (par exemple, avec IPsec).

    • Groupes d’autorisations   Sélectionnez Serveurs Exchange.

    Lorsque vous avez terminé, cliquez sur Enregistrer.

Pour répéter ces étapes dans Environnement de ligne de commande Exchange Management Shell, exécutez la commande suivante :

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Pour vérifier que vous avez bien configuré le relais anonyme, procédez comme suit :

  • Vérifiez la configuration du connecteur de réception dédié.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges
    
  • Vérifiez les autorisations sur le connecteur de réception dédié.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
    

    Ou

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
    
  • Utilisez Telnet pour vérifier si un ou plusieurs des hôtes réseau spécifiés peuvent se connecter au connecteur de réception dédié et peuvent relayer anonymement les messages via le connecteur. Par défaut, le client Telnet n’est pas installé dans la plupart des versions client ou serveur de MicrosoftWindows. Pour l’installer, consultez la rubrique Installer le client Telnet.

    Pour plus d’informations, voir la page Utiliser Telnet pour tester la communication SMTP sur les serveurs Exchange.

    Si l’hôte du réseau est un périphérique où Telnet n’est pas installé, vous pouvez temporairement ajouter l’adresse IP d’un ordinateur au connecteur de réception, puis supprimer l’adresse IP du connecteur de réception une fois le test terminé.

    Pour réaliser le test, les valeurs suivantes sont nécessaires :

    • Destination   Il s’agit de l’adresse IP ou du nom de domaine complet que vous utilisez pour vous connecter au connecteur de réception dédié. Il s’agit probablement de l’adresse IP du serveur de boîte aux lettres où le connecteur de réception est défini. Celle-ci correspond à la valeur indiquée dans la propriété Liaisons de carte réseau (ou le paramètre Bindings) configurée sur le connecteur. Vous devez utiliser une valeur valide pour votre environnement. Dans cet exemple, nous utilisons la valeur 10.1.1.1.

    • Adresse de messagerie de l’expéditeur   Vous configurerez probablement les serveurs ou périphériques qui relaient anonymement les messages pour utiliser l’adresse de messagerie d’un expéditeur située dans un domaine qui fait autorité pour votre organisation. Dans cet exemple, nous utilisons l’adresse chris@contoso.com.

    • Adresse de messagerie du destinataire   Utilisez une adresse de messagerie valide. Dans cet exemple, nous utilisons l’adresse kate@fabrikam.com.

    • Objet du message   Test

    • Corps du message   Ceci est un message de test

    1. Ouvrez une fenêtre d’invite de commandes, tapez telnet, puis appuyez sur Entrée.

    2. Tapez set localecho, puis appuyez sur Entrée.

    3. Tapez OPEN 10.1.1.1 25, puis appuyez sur Entrée.

    4. Tapez EHLO, puis appuyez sur Entrée.

    5. Tapez MAIL FROM:chris@contoso.com, puis appuyez sur Entrée.

    6. Tapez RCPT TO:kate@fabrikam.com, puis appuyez sur Entrée.

      • Si vous recevez la réponse 250 2.1.5 Recipient OK, le connecteur de réception autorise le relais anonyme en provenance de l’hôte de réseau. Passez à l’étape suivante pour terminer la procédure d’envoi du message de test.

      • Si vous recevez la réponse 550 5.7.1 Unable to relay, le connecteur de réception n’autorise pas le relais anonyme en provenance de l’hôte du réseau. Dans ce cas, procédez comme suit :

        • Vérifiez que vous vous connectez à l’adresse IP ou au nom de domaine complet correspondant au connecteur de réception dédié.

        • Vérifiez que l’ordinateur sur lequel vous exécutez Telnet peut utiliser le connecteur de réception.

        • Vérifiez les autorisations sur le connecteur de réception.

    7. Tapez DATA, puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Tapez Subject: Test, puis appuyez sur Entrée.

    9. Appuyez de nouveau sur Entrée.

    10. Tapez Ceci est un message de test, puis appuyez sur Entrée.

    11. Appuyez sur Entrée, tapez un point ( . ), puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      250 2.6.0 <GUID> Queued mail for delivery

    12. Pour vous déconnecter du serveur SMTP, tapez QUIT, puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      221 2.0.0 Service closing transmission channel

    13. Pour fermer la session Telnet, tapez quit, puis appuyez sur Entrée.

  • Si un relais anonyme fonctionne par intermittence, vous devrez peut-être modifier la fréquence et les limitations des messages par défaut sur le connecteur de réception. Pour plus d’informations, consultez la rubrique relative à la limitation des messages sur les connecteurs de réception.

 
Afficher: