> Tech > Le relais sécurisé

Le relais sécurisé

Tech - Par iTPro - Publié le 24 juin 2010
email

Comment allez-vous procéder si vous devez fournir une capacité de relais à un groupe de clients tout en renforçant au maximum la sécurité ? Je recommande de créer un deuxième serveur virtuel sur un ou plusieurs de vos serveurs Exchange. D’un point de vue technique, vous pouvez effectuer la procédure

Le relais sécurisé

de configuration de relais décrite ci-après sur le serveur virtuel par défaut, mais l’ajout d’un deuxième serveur virtuel permet d’accéder à des options supplémentaires, notamment la possibilité d’avoir des fichiers journaux distincts et de restreindre les connexions SMTP. Si vous autorisez la fonction de relais sur votre serveur virtuel par défaut, toutes les entrées de journal pour les courriers relayés seront disséminées au milieu des entrées de journal générées par le trafic de messagerie entre les serveurs, par la réplication et par d’autres opérations système. Si votre système est occupé et si vous avez besoin d’auditer périodiquement les journaux de relais, la tâche risque d’être dantesque.

Un autre avantage d’un deuxième serveur virtuel est la possibilité de limiter les systèmes capables d’établir une session SMTP. Pour illustrer la configuration et ces options, examinons le processus d’ajout d’un deuxième serveur virtuel que vous utiliserez afin de restreindre la fonction de relais à certains systèmes et certaines personnes.

Préparatifs. Avant de pouvoir configurer le deuxième serveur virtuel, vous devez effectuer trois tâches non spécifiques à Exchange. Dans Active Directory (AD), utilisez la console MMC Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory) pour créer un groupe de sécurité global nommé SMTP-APPROVED. Placez dans ce groupe tous les comptes ayant le droit de relayer le courrier. Ensuite, ajoutez une adresse IP supplémentaire à la pile TCP/IP Windows du serveur physique, afin de pouvoir distinguer les connexions entre les deux serveurs virtuels même s’ils sont hébergés sur la même machine.

Par exemple, supposons que votre serveur ait déjà l’adresse IP 10.12.170.5 et que vous ajoutiez l’adresse supplémentaire 10.12.170.74. Ouvrez l’applet Network Connections (Connexions réseau) au niveau du Control Panel (Panneau de configuration) et accédez à la boîte de dialogue des propriétés pour la connexion réseau de votre serveur. Accédez à la boîte de dialogue Internet Protocol (TCP/IP) Properties (Propriétés de Protocole Internet (TCP/ IP)) et cliquez sur le bouton Advanced (Avancé). Dans la section IP addresses (Adresses IP), cliquez sur Add (Ajouter) et saisissez l’adresse IP (par ex., 10.12.170.74) ainsi que le masque de sous-réseau approprié. Cliquez sur OK pour revenir au Panneau de configuration. Enfin, demandez à votre administrateur DNS d’ajouter un enregistrement pour cette adresse IP, tel que smtp-relay.neulan. net. Les personnes qui relaient peuvent recourir à ce nom DNS lorsqu’elles configurent leurs clients. Vous êtes maintenant prêt à configurer Exchange. Il convient d’abord de reconfigurer le serveur virtuel SMTP existant afin qu’il n’accepte plus les relais ; vous ajouterez ensuite un deuxième serveur virtuel qui ne permettra que les relais autorisés.

Verrouillage du serveur virtuel SMTP existant. Ouvrez le Gestionnaire système Exchange (ESM, Exchange System Manager) et développez les conteneurs Administrative Groups (Groupes d’administration), Servers (Serveurs) et Protocols (Protocoles), afin d’accéder au conteneur SMTP. Cliquez avec le bouton droit de la souris sur Default SMTP Virtual Server (Serveur virtuel SMTP par défaut) et sélectionnez Properties (Propriétés). Au niveau de l’onglet General (Général), cliquez sur la liste déroulante IP Address (Adresse IP) et remplacez la sélection All Unassigned (Non assignée) par l’adresse SMTP principale — dans cet exemple, 10.12.170.5 —, puis cliquez sur Apply (Appliquer). Cette approche empêche le serveur virtuel existant d’essayer de répondre aux demandes de connexion sur la nouvelle adresse IP. Ensuite, restreignez les options de relais du serveur virtuel en sélectionnant l’onglet Access (Accès), en cliquant sur Relay (Relais), puis en désactivant la case à cocher Allow all computers which successfully authenticate to relay, regardless of the list above (Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessus). Si vous configurez un serveur Exchange 2003, le bouton Users (Utilisateurs) devient actif. Cliquez sur ce bouton pour afficher la boîte de dialogue Permissions for Submit and Relay. Sélectionnez chaque groupe ou utilisateur répertorié, puis désactivez la case à cocher Allow (Autoriser) pour Relay Permission (Autorisation de relais). Si vous utilisez le serveur virtuel dans sa configuration par défaut, le seul groupe répertorié doit être Authenticated Users (Utilisateurs authentifiés). Cliquez sur OK pour fermer toutes les boîtes de dialogue de propriétés du serveur virtuel. Vous devrez cliquer avec le bouton droit de la souris sur le serveur virtuel dans le Gestionnaire système Exchange afin de l’arrêter et de le redémarrer en vue d’appliquer ces modifications de configuration. (Notez que celles-ci n’empêcheront pas les serveurs dans les groupes de routage Exchange de relayer les courriers. Ces paramètres ne contrôlent pas l’authentification de relais entre serveurs. Lorsque deux serveurs Exchange ouvrent une session SMTP entre eux, ils utilisent le verbe X-EXPS Enhanced SMTP (ESMTP) et l’authentification Kerberos.)

Ajout d’un deuxième serveur virtuel. Pour créer ce serveur, démarrez le New Virtual Server Wizard (Assistant Nouveau serveur virtuel) dans le Gestionnaire système Exchange en cliquant avec le bouton droit de la souris sur le conteneur SMTP et en sélectionnant New (Nouveau), SMTP Virtual Server (Serveur virtuel SMTP). Dans la zone Name (Nom), entrez la description SMTP Relay Virtual Server et cliquez sur Next (Suivant). Sélectionnez l’adresse IP secondaire que vous avez ajoutée (dans notre exemple, 10.12.170.74), puis cliquez sur Finish (Terminer). Cliquez avec le bouton droit de la souris sur l’objet SMTP Relay Virtual Server et sélectionnez Properties (Propriétés). Au niveau de l’onglet General (Général), activez la case à cocher Enable Logging (Activer l’enregistrement dans le fichier journal), puis cliquez sur Apply (Appliquer). Si vous utilisez Exchange 2003, sélectionnez l’onglet Access (Accès) et cliquez sur Relay (Relais). En supposant que vous souhaitiez limiter les ordinateurs relais, désactivez la case à cocher Allow all computers which successfully authenticate to relay, regardless of the list above (Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessus), puis cliquez sur Users (Utilisateurs). Cliquez sur Add (Ajouter), entrez le nom du groupe AD que vous allez utiliser pour contrôler l’accès au relais, puis cliquez sur OK. Dans cet exemple, le groupe à employer est SMTP-APPROVED. Sélectionnez-le, puis activez la case à cocher Allow (Autoriser) pour Relay Permission (Autorisation de relais), comme le montre la figure 3. Cliquez deux fois successivement sur OK pour fermer les boîtes de dialogue Permissions for Submit and Relay et Relay Restrictions.

Si vous souhaitez renforcer encore le contrôle sur les personnes pouvant accéder au serveur virtuel relais — même si, dans la majorité des environnements, ce contrôle sera probablement superflu —, vous pouvez recourir aux restrictions IP pour limiter les systèmes autorisés à ouvrir une connexion. Si, par exemple, vous avez un sous-réseau utilisé par des ordinateurs ayant une connexion du type accès à distance ou VPN et si, seuls ces ordinateurs ont besoin de la fonction de relais, vous pouvez limiter l’accès de SMTP Relay Virtual Server à ces ordinateurs sur le sous-réseau. Vous pouvez aussi vous servir des restrictions IP afin d’empêcher les connexions au serveur virtuel si le serveur physique est accessible via IP à partir d’un réseau au-delà de votre sphère de contrôle, par exemple Internet (dans l’idéal, vous êtes protégé par un pare-feu) ou un sous-réseau utilisé par une autre division ou unité fonctionnelle. Pour configurer l’accès, cliquez sur le bouton Connection (Connexion) au niveau de l’onglet Access (Accès) de SMTP Relay Virtual Server. Dans la boîte de dialogue Connection (Connexion), vous pouvez ajouter des adresses IP individuelles, un sousréseau (groupe d’ordinateurs) ou des définitions de domaine, au moyen des conventions et considérations du tableau 1. La différence entre ces paramètres et les paramètres de restriction de relais tiennent au fait que ces définitions contrôlent les systèmes à même d’ouvrir une connexion SMTP avec le serveur virtuel sur le port 25 et n’ont aucune incidence réelle sur la capacité d’un client à servir de relais.

Enfin, sélectionnez l’onglet Delivery (Remise) et cliquez sur Advanced (Avancé). Dans la zone Masquerade domain (Domaine fictif), entrez le nom DNS (par ex., smtp-relay.neulan. net) que vous avez affecté à l’adresse IP du serveur virtuel. Le paramètre Masquerade domain (Domaine fictif) contrôle le nom du serveur renvoyé dans la bannière de connexion à l’ouverture d’une connexion SMTP. Si vous ne définissez pas ce paramètre, la bannière de connexion aura le nom du serveur physique qui héberge le serveur virtuel SMTP. Cliquez deux fois successivement sur OK pour fermer les boîtes de dialogue de propriétés du serveur virtuel. Cliquez avec le bouton droit de la souris sur le serveur virtuel dans le Gestionnaire système Exchange, sélectionnez Stop (Arrêter), puis cliquez sur Start (Démarrer) pour redémarrer le serveur virtuel et appliquer les paramètres de configuration.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010