Audit des serveurs de transport

connecteurs d’envoi et de réception notamment en ce qui concerne les restrictions diverses. (Tailles, contenus, espace d’adressage).

Vérifiez le fonctionnement des antivirus de messagerie en procédant à l’envoi de faux virus tels que Eicar et l’interdiction de réception ou d’envoi de nature de pièces jointes. (MP3, Avi etc..) Envoyez un message vers l’extérieur et relevez dans les entêtes de message si des informations internes apparaissent (Nom Fdqn des serveurs, Adressage IP interne). Il sera temps après coup, de demander si cela est compatible avec la politique de sécurité de l’entreprise. Listez l’ensemble des noms de domaine gérés et vérifiez comment sont déclarés sur Internet ces derniers. J’utilise personnellement le site mxtoolbox qui vous permettra de lister les MX et vérifier si les passerelles SMTP ne sont pas blacklistées.

Vérifiez en cas de nat sortant que les adresses IP de vos passerelles SMTP externes correspondent bien aux adresses IP MX déclarées sur vos DNS externes. Si cela n’est pas le cas, vous rencontrerez à terme des problèmes de blacklistage. Côté réputation, allez faire un tour sur la senderbase de Ironport (http://www.senderbase.org) et observez comment sont notées vos passerelles SMTP. Vérifiez également en envoyant un message vers l’extérieur, si l’utilisation des enregistrements Spf est valide. L’extrait suivant donne un exemple de ce que vous ne devriez pas trouver dans l’entête de vos messages sortants.

Received-SPF: None (mail1.itpro.fr: Laurent.TERUIN@unifiedit.com does not designate permitted sender hosts)

A l’inverse, l’utilisation correcte des enregistrements SPF vous affichera cela :

Received-SPF: Pass (mail1.itpro.fr: domain of Laurent.TERUIN@unifiedit.com designates 91.103.218.12 as permitted sender).

Pour information, si vous envisagez de mettre en place les enregistrements SPF, je vous conseille ce site.
Vérifiez l’utilisation ou non de la technologie DKIM dans les services DNS de l’entreprise.
Vérifiez également l’absence de serveur open relay SMTP sur les serveurs Exchange internes. Même si le réseau informatique est réputé comme « sûr », la présence d’un service SMTP open relay n’est jamais une très bonne chose. Profitez en pour demander comment est géré le flux messagerie applicatif (voir cet article).
Les commandes suivantes vous permettront de sortir une grande partie des informations nécéssaires :

Get-IPAllowListconfig | fl >c:\confexchange\hub\_Get-IPAllowListconfig.TransportRestrictionIP.txt
Get-IPAllowListEntry | fl >c:\confexchange\hub\_Get-IPAllowListEntry.TransportRestrictionIP.txt
Get-IPAllowListProvider | fl >c:\confexchange\hub\_Get-IPAllowListProvider.TransportRestrictionIP.txt
Get-IPAllowListProvidersconfig | fl >c:\confexchange\hub\_Get-IPAllowListProvidersconfig.TransportRestrictionIP.txt
Get-IPBlockListconfig | fl >c:\confexchange\hub\_Get-IPBlockListconfig.TransportRestrictionIP.txt
Get-IPBlockListEntry | fl >c:\confexchange\hub\_Get-IPBlockListEntry.TransportRestrictionIP.txt
Get-IPBlockListProvider | fl >c:\confexchange\hub\_Get-IPBlockListProvider.TransportRestrictionIP.txt

Get-RecipientFilterconfig | fl > c:\confexchange\hub\_Get-RecipientFilterconfig.filtragetransport.txt
Get-SenderFilterconfig | fl > c:\confexchange\hub\_Get-SenderFilterconfig.filtragetransport.txt
Get-ContentFilterconfig | fl >c:\confexchange\hub\_Get-ContentFilterconfig.filtragetransport.txt
Get-ContentFilterPhrase | fl >c:\confexchange\hub\_Get-ContentFilterPhrase.filtragetransport.txt
Get-AntispamUpdates | fl >c:\confexchange\hub\_Get-AntispamUpdates.filtragetransport.txt

Get-TransportRule | fl >c:\confexchange\hub\_Get-TransportRule.conf.Transport.txt
Get-TransportRuleAction | fl >c:\confexchange\hub\_Get-TransportRuleAction.conf.Transport.txt
Get-JournalRule | fl >c:\confexchange\hub\_Get-JournalRule.conf.Transport.txt
Get-MessageClassification | fl >c:\confexchange\hub\_Get-MessageClassification.conf.Transport.txt
Get-Queue | fl >c:\confexchange\hub\_Get-Queue.conf.Transport.txt
Get-transportconfig | fl >c:\confexchange\hub\_transportconfig.conf.Transport.txt
Get-TransportAgent | fl >c:\confexchange\hub\_Get-TransportAgent.conf.Transport.txt
Get-TransportPipeline | fl >c:\confexchange\hub\_Get-TransportPipeline.conf.Transport.txt
Get-RemoteDomain | fl >c:\confexchange\hub\_Get-RemoteDomain.conf.Transport.txt
Get-AcceptedDomain | fl >c:\confexchange\hub\_Get-AcceptedDomain.conf.Transport.txt

Get-SendConnector | fl >c:\confexchange\hub\_sendconnector.connectors.txt
Get-ReceiveConnector | fl >c:\confexchange\hub\_receiveconnector.connectors.txt
Get-TransportServer | fl >c:\confexchange\hub\_transportserver.connectors.txt
Get-RoutingGroupConnector | fl >c:\confexchange\hub\_Get-RoutingGroupConnector.connectors.txt
Get-ForeignConnector | fl >c:\confexchange\hub\_Get-ForeignConnector.connectors.txt

Serveur Edge

Get-AddressRewriteEntry | fl >c:\confexchange\edge\_Get-AddressRewriteEntry.edge.txt
Get-NetworkConnectionInfo | fl >c:\confexchange\edge\_Get-NetworkConnectionInfoEdge.conf.txt
get-attachmentfilterentry | fl > c:\confexchange\edge\_Get-AttachmentFilterEntry.filtragetransport.txt
Get-AttachmentFilterListconfig | fl >c:\confexchange\edge\_Get-AttachmentFilterListconfig.filtragetransport.txt

Si des connecteurs d’envoi se connectent avec un compte recensé dans l’Active Directory, vérifiez que ce dernier n’expire jamais et qu’il n’ait pas l’obligation de changer son mot de passe au bout d’un laps de temps. Vérifiez également que les files d’attentes ne soient pas positionnées sur le disque système du serveur de transport.
Vérifiez les zones d’exclusion des antivirus fichiers, qui ne doivent pas intervenir sur ces emplacements.
Grace à des outils tiers (http://www.promodag.com, http://www.quest.com/messagestats ) éditez les statistiques de messages sur les 15 derniers jours. Ce qui vous donnera un aperçu de la volumétrie échangée et de l’usage effectif de l’outil Exchange.