9. Gérez la remise héritée

de non-remise en réponse à tout message envoyé à l’adresse SMTP héritée. Si vous exécutez Exchange Server 2003, la configuration du filtrage des destinataires constitue un moyen simple de bloquer les messages envoyés à des adresses héritées sur Internet.

Dans la console Gestionnaire système Exchange (ESM), ouvrez le conteneur Global Settings (Paramètres globaux), puis Message Delivery (Remise des messages). Sous l’onglet Recipient Filtering (Filtrage des destinataires), sélectionnez Filter recipients who are not in the directory (Filtrer les destinataires qui ne sont pas dans le répertoire). Concernant chaque serveur virtuel SMTP pour lequel vous souhaitez accepter du courrier SMTP entrant, cliquez sur Advanced dans l’onglet General. Cliquez sur Edit pour afficher les options d’identification IP, puis sélectionnez Recipient Filtering. Cliquez sur OK, puis arrêtez et redémarrez le serveur virtuel SMTP. La prochaine fois qu’une personne enverra un courrier à l’adresse héritée, le serveur virtuel SMTP interrogera AD afin de vérifier l’adresse. S’il la trouve, le courrier sera accepté, sinon le destinataire sera refusé.

La figure 4 montre une session SMTP qui utilise le filtrage des destinataires. Comme vous pouvez le constater, le serveur a trouvé l’adresse Jacob dans AD et a accepté le message avec un code de réponse 250 2.1.5. En revanche, il n’a pas trouvé les adresses George et Jonas, et a retourné des codes de réponse SMTP différents, qui reflètent le motif du refus. Toutefois, le filtrage des destinataires présente des risques. Un intrus peut exploiter les codes de réponse au cours d’une attaque de récupération d’informations d’annuaire afin d’identifier les comptes existant dans votre instance d’Active Directory.

Deux autres options aboutissent à des résultats similaires sans vous exposer à une attaque de collecte d’informations d’annuaire. Premièrement, vous pouvez spécifier des adresses individuelles au niveau de la boîte de dialogue Recipient Filtering. Lorsque le serveur virtuel STMP traite l’adresse d’un destinataire, il vérifie cette liste et refuse toute adresse correspondante avec un code de réponse 550 5.7.1, comme l’illustre la figure 4. Deuxièmement, vous pouvez ajouter l’adresse SMTP héritée en tant qu’alias pour la liste de distribution vide NULL-DELIVERY. En cas de réception d’un message, l’examen de la liste ne renvoie aucun membre et le MTA rejette le message. Comme l’adresse est valide, l’expéditeur reçoit un code de réponse indiquant que l’adresse a été acceptée et aucun rapport de non-remise n’est généré. Cette solution fonctionne aussi dans les environnements Exchange 5.5, lesquels n’ont pas de possibilités de filtrage des destinataires. Toutefois, lorsque vous employez la technique d’alias NULL-DELIVERY, vous ne pouvez ajouter qu’un nombre fini d’alias. Dans un environnement AD, ce nombre est défini à 800 environ. Si vous avez beaucoup d’adresses héritées, il faudra créer des listes de distribution vides supplémentaires dès que le maximum sera atteint.

Je préfère l’option NULL-DELIVERY car les pirates ne peuvent pas s’en servir pour collecter des informations sur votre environnement. Par ailleurs, si vous souhaitez réutiliser l’adresse héritée, le filtrage des destinataires peut engendrer des problèmes de remise difficiles à identifier. Par exemple, si vous ajoutez bill.smith@sgc.mil au filtrage et que, peu de temps après, vous embauchez une personne du même nom et que vous créez un compte bill.smith, le service de mise à jour de destinataire associera l’adresse bill.smith@sgc.mil au compte. En raison du filtrage des destinataires, le compte ne pourra pas recevoir de courrier Internet et la résolution des problèmes ne pourra peut-être pas identifier rapidement la source du dysfonctionnement. Si vous ajoutez bill.smith @sgc.mil en tant qu’alias, le service de mise à jour de destinataire ne peut pas l’employer pour le nouveau compte et associe à ce dernier une adresse bill.smith2 @sgc.mil. Comme ces techniques requièrent pas mal de travail d’administration, vous allez probablement réserver le filtrage des destinataires ou les alias NULL-DELIVERY aux cas extrêmes ou particulièrement épineux.