> Tech > Fonctions de sécurité de OWA

Fonctions de sécurité de OWA

Tech - Par iTPro - Publié le 24 juin 2010
email

Bien que OWA soit souvent utilisé pour accéder aux boîtes à  lettres Exchange, de nombreuses entreprises ne l'utilisent pas à  cause du manque de paramètres de sécurité appropriés. C'est pourquoi Microsoft a inclus quelques nouvelles fonctions de sécurité OWA importantes dans Exchange 2003, dont le support du cryptage et la

Fonctions de sécurité de OWA

signature
de mail basée sur S/MIME (Secure
MIME), le filtrage de e-mail indésirables,
la suppression des beacons
Web, le blocage d’attachements amélioré,
et l’authentification par formulaires ou cookies.
Support S/MIME. S/MIME est un
standard Internet permettant d’ajouter
la signature et le cryptage numériques
aux messages au format MIME.
S/MIME existe depuis longtemps pour
tous les clients mail Microsoft à  l’exception
de OWA. Exchange 2003 ajoute
désormais cette possibilité à  OWA.
Pour utiliser S/MIME dans OWA, il faut
utiliser IE 6.0 ou ultérieure parce que
IE 6.0 inclut la logique côté client nécessaire
pour le fonctionnement de
S/MIME dans OWA. On valide le support
OWA dans les options de configuration
du client OWA. Quand on valide
S/MIME, le serveur OWA
télécharge certains DLL propres à 
S/MIME sur le client. Si l’on accède à 
OWA à  partir de machines différentes,
il faudra valider S/MIME et télécharger
les DLL sur chaque machine.
Pour fournir des certificats S/MIME
à  vos utilisateurs OWA, vous pouvez
utiliser une PKI (Public Key Infrastructure)
d’entreprise ou des certificats
tierce partie. Une fois que votre client
OWA a été validé pour utiliser S/MIME,
les propriétés d’interface et de message
OWA afficheront des options permettant
de signer numériquement des
messages et de crypter le contenu des
messages, comme on le voit figure 4.
Le support OWA S/MIME présente un
aspect intéressant : tout le traitement
concernant les certificats, comme la
vérification de révocation, s’effectue
sur le côté serveur d’Exchange 2003.
Filtrage de l’ e-mail indésirable.
OWA gère désormais des filtres d’ emails
indésirables que l’on peut appliquer
à  tout le e-mail spam et indésirable
dans votre boîte de réception.
Cette fonctionnalité est semblable au
filtrage d’ e-mails indésirables d’Outlook
2003. On peut, par exemple, classifier
les adresses SMTP sous diverses
formes : expéditeurs sûrs, destinataires
sûrs, ou expéditeurs bloqués. Quand
on active le filtrage d’ e-mails indésirables
dans OWA, le serveur OWA traite
tous les messages entrants et envoie
automatiquement tout courrier comportant
une adresse classifiée comme
expéditeur bloqué, au dossier Junk Email
de la boîte à  lettres de l’utilisateur.
On active le filtrage d’ e-mails indésirables
pour OWA en utilisant les options
de configuration de OWA – cochez
simplement la case Filter Junk
E-mail dans la boîte de
dialogue Privacy and
Junk E-mail Prevention,
comme l’illustre la figure
5. On peut aussi configurer
des expéditeurs sûrs,
des destinataires sûrs et
des expéditeurs bloqués
en cliquant sur Manage
Junk E-mail Lists dans la
même boîte de dialogue.
Comme OWA et Outlook
2003 partagent la liste
trusted/junk, le même filtrage
s’applique quel que
soit l’endroit où les utilisateurs
lisent leur courrier.
Suppression des
beacons Web. Les beacons
Web sont des liens
insérés dans les messages mail HTML.
Ils peuvent pointer sur des images qui
se chargent quand le client e-mail interprète le message HTML, ou ils peuvent
pointer sur des URL vers lesquelles
le message invite les utilisateurs
à  naviguer. Les intrus exploitent
souvent les beacons Web pour établir
une séparation entre les adresses email
réelles et les adresses e-mail devinées
ou supposées. Quand un utilisateur
ouvre un message formaté HTML
et que le client e-mail tente de télécharger
l’image ou d’accéder à  l’URL,
le spammer se voit indiquer que
l’adresse e-mail est active. Par défaut,
OWA for Exchange 2003 et Outlook
2003 suppriment l’affichage du
contenu des beacons Web. Ce faisant,
OWA affiche dans l’en-tête du message
mail l’avertissement suivant : To protect
your privacy, Outlook Web Access
blocked some images or other external
content in this message. Click here to
unblock content. Pour contrôler ce
comportement, cochez la case Block
external content in HTML e-mail messages,
qui est une option de configuration
OWA côté client, comme le
montre la figure 5. Vous pouvez configurer
plus avant la suppression des
beacons Web dans OWA en utilisant les
paramètres de registre côté serveur
dans la sous-clé de registre HKEY_LOCAL_
MACHINE\SYSTEM\CurrentCont
rolSet\Services\MSExchangeWEB\OWA

Meilleur blocage des attachements.
De nombreux intrus se servent
des attachements, ou pièces jointes,
pour distribuer du code mobile malveillant,
comme les virus Melissa et
VBS.LoveLetter, sur Internet et dans
votre boîte à  lettres. Pour bloquer les
pièces jointes dangereuses, y compris
les fichiers .exe et les fichiers scripts
Windows (fichiers .vbs, par exemple),
Microsoft a introduit une fonction
client mail appelée blocage des attachements,
qui bloque les attachements
d’après leur type de fichier et
leur type MIME. Outlook 2003,
Outlook 2002, Outlook Security
Update for Outlook 2000 et Outlook
98 Service Pack 2 (SP2) et Outlook
Express 6.0 et ultérieure, supportent le
blocage des attachements. Microsoft a
également offert une version limitée
du blocage des attachements pour
OWA dans Exchange 2000 SP2. Dans
Exchange 2003, Microsoft introduit le
blocage des attachements pour OWA.
Le serveur OWA classe les attachements
en trois catégories (niveaux 1, 2
et 3) – la catégorie à  laquelle appartient
l’attachement e-mail détermine comment
le client mail traitera cet attachement.
Pour configurer le blocage des
attachements OWA, utilisez plusieurs
paramètres de registre côté serveur
dans la sous-clé de registre OWA mentionnée
ci-dessus.
Authentification d’après les formulaires
ou les cookies. L’authentification
d’après les formulaires ou les
cookies est une nouvelle possibilité
d’authentification de OWA permettant
d’utiliser OWA dans des environnements
kiosque. Chaque fois qu’un utilisateur
se connecte à  l’infrastructure
OWA, le frontal OWA génère un cookie
de session qui est caché sur le navigateur
pour la durée de la session de logon
OWA. Grâce à  ce cookie, les utilisateurs
ne sont pas obligés d’entrer
leurs références chaque fois qu’ils accèdent
à  une autre page OWA.
L’authentification d’après les formulaires
offre aussi une déconnexion sécurisée.
Il en résulte que les cookies
sont supprimés du cache du navigateur
quand l’utilisateur effectue une
déconnexion d’OWA et que les utilisateurs
sont déconnectés après une période
d’inactivité de OWA configurable.
Avant Exchange 2003, les
architectes OWA devaient s’en remettre
à  un logiciel tierce partie,
comme SecureLogoff de Messageware, pour offrir ces fonctions. Pour activer
l’authentification d’après les formulaires,
ouvrez l’ESM et cochez la case
Enable Forms Based Authentication
sur l’onglet Settings de la boîte de dialogue
Exchange Virtual Server
Properties. Microsoft conseille aux administrateurs
de mettre tous les serveurs
frontaux et d’arrière plan au niveau
d’Exchange 2003 avant de mettre
cette fonction en service.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010