Fonctions de sécurité de OWA

signature de
mail basée sur S/MIME
(Secure MIME), le filtrage
de e-mail indésirables, la
suppression des beacons
Web, le blocage d’attachements
amélioré, et
l’authentification par formulaires
ou cookies.
Support S/MIME.
S/MIME est un standard
Internet permettant
d’ajouter la signature et
le cryptage numériques aux messages
au format MIME. S/MIME existe depuis
longtemps pour tous les clients mail
Microsoft à  l’exception de OWA.
Exchange 2003 ajoute désormais cette
possibilité à  OWA. Pour utiliser S/MIME
dans OWA, il faut utiliser IE 6.0 ou ultérieure
parce que IE 6.0 inclut la logique
côté client nécessaire pour le fonctionnement
de S/MIME dans OWA. On valide
le support OWA dans les options
de configuration du client OWA.
Quand on valide S/MIME, le serveur
OWA télécharge certains DLL propres à 
S/MIME sur le client. Si l’on accède à 
OWA à  partir de machines différentes,
il faudra valider S/MIME et télécharger
les DLL sur chaque machine.
Pour fournir des certificats S/MIME
à  vos utilisateurs OWA, vous pouvez
utiliser une PKI (Public Key Infrastructure)
d’entreprise ou des certificats
tierce partie. Une fois que votre client
OWA a été validé pour utiliser S/MIME,
les propriétés d’interface et de message
OWA afficheront des options permettant
de signer numériquement des
messages et de crypter le contenu des messages, comme on le voit figure 4. Le support OWA
S/MIME présente un aspect intéressant : tout le traitement
concernant les certificats, comme la vérification de révocation,
s’effectue sur le côté serveur d’Exchange 2003.
Filtrage de l’ e-mail indésirable. OWA gère désormais
des filtres d’ e-mails indésirables que l’on peut appliquer à 
tout le e-mail spam et indésirable dans votre boîte de réception.
Cette fonctionnalité est semblable au filtrage d’ e-mails
indésirables d’Outlook 2003. On peut, par exemple, classifier
les adresses SMTP sous diverses formes : expéditeurs sûrs,
destinataires sûrs, ou expéditeurs bloqués. Quand on active
le filtrage d’ e-mails indésirables dans OWA, le serveur OWA
traite tous les messages entrants et envoie automatiquement
tout courrier comportant une adresse classifiée comme expéditeur
bloqué, au dossier Junk E-mail de la boîte à  lettres
de l’utilisateur. On active le filtrage d’ e-mails indésirables
pour OWA en utilisant les options de configuration de OWA
– cochez simplement la case Filter Junk E-mail dans la boîte
de dialogue Privacy and Junk E-mail Prevention, comme
l’illustre la figure 5. On peut aussi configurer des expéditeurs
sûrs, des destinataires sûrs et des expéditeurs bloqués en cliquant
sur Manage Junk E-mail Lists dans la même boîte de
dialogue. Comme OWA et Outlook 2003 partagent la liste
trusted/junk, le même filtrage s’applique quel que soit l’endroit
où les utilisateurs lisent leur courrier.
Suppression des beacons Web. Les beacons Web sont
des liens insérés dans les messages mail HTML. Ils peuvent
pointer sur des images qui se chargent quand le client e-mail
interprète le message HTML, ou ils peuvent pointer sur des
URL vers lesquelles le message invite les utilisateurs à  naviguer.
Les intrus exploitent souvent les beacons Web pour
établir une séparation entre les adresses e-mail réelles et les
adresses e-mail devinées ou supposées. Quand un utilisateur
ouvre un message formaté HTML et que le client e-mail tente
de télécharger l’image ou d’accéder à  l’URL, le spammer se
voit indiquer que l’adresse e-mail est active. Par défaut, OWA
for Exchange 2003 et Outlook 2003 suppriment l’affichage
du contenu des beacons Web. Ce faisant, OWA affiche dans
l’en-tête du message mail l’avertissement suivant : To protect
your privacy, Outlook Web Access blocked some images or
other external content in this message. Click here to unblock
content. Pour contrôler ce comportement, cochez la case
Block external content in HTML e-mail messages, qui est une
option de configuration OWA côté client, comme le montre
la figure 5. Vous pouvez configurer plus avant la suppression
des beacons Web dans OWA en utilisant les paramètres de registre
côté serveur dans la sous-clé de registre HKEY_LOCAL_
MACHINE\SYSTEM\CurrentControlSet\Services\MSExc
hangeWEB\OWA.
Meilleur blocage des attachements. De nombreux intrus
se servent des attachements, ou pièces jointes, pour distribuer
du code mobile malveillant, comme les virus Melissa
et VBS.LoveLetter, sur Internet et dans votre boîte à  lettres.
Pour bloquer les pièces jointes dangereuses, y compris les fichiers
.exe et les fichiers scripts Windows (fichiers .vbs, par
exemple), Microsoft a introduit une fonction client mail appelée
blocage des attachements, qui bloque les attachements
d’après leur type de fichier et leur type MIME. Outlook
2003, Outlook 2002, Outlook Security Update for Outlook
2000 et Outlook 98 Service Pack 2 (SP2) et Outlook Express
6.0 et ultérieure, supportent le blocage des attachements.
Microsoft a également offert une version limitée du blocage
des attachements pour OWA dans Exchange 2000 SP2. Dans
Exchange 2003, Microsoft introduit le blocage des attachements
pour OWA. Le serveur OWA classe les attachements en
trois catégories (niveaux 1, 2 et 3) – la catégorie à  laquelle appartient
l’attachement e-mail détermine comment le client
mail traitera cet attachement. Pour configurer le blocage des
attachements OWA, utilisez plusieurs paramètres de registre
côté serveur dans la sous-clé de registre OWA mentionnée cidessus.
Authentification d’après les formulaires ou les cookies.
L’authentification d’après les formulaires ou les cookies
est une nouvelle possibilité d’authentification de OWA
permettant d’utiliser OWA dans des environnements kiosque. Chaque fois qu’un utilisateur se connecte à  l’infrastructure
OWA, le frontal OWA génère un cookie de session
qui est caché sur le navigateur pour la durée de la session de
logon OWA. Grâce à  ce cookie, les utilisateurs ne sont pas
obligés d’entrer leurs références chaque fois qu’ils accèdent
à  une autre page OWA. L’authentification d’après les formulaires
offre aussi une déconnexion sécurisée. Il en résulte
que les cookies sont supprimés du cache du navigateur
quand l’utilisateur effectue une déconnexion d’OWA et que
les utilisateurs sont déconnectés après une période d’inactivité
de OWA configurable. Avant Exchange 2003, les architectes
OWA devaient s’en remettre à  un logiciel tierce partie,
comme SecureLogoff de Messageware, pour offrir ces fonctions.
Pour activer l’authentification d’après les formulaires,
ouvrez l’ESM et cochez la case Enable Forms Based
Authentication sur l’onglet Settings de la boîte de dialogue
Exchange Virtual Server Properties. Microsoft conseille aux
administrateurs de mettre tous les serveurs frontaux et d’arrière
plan au niveau d’Exchange 2003 avant de mettre cette
fonction en service.