par Paul Robichaux - Mis en ligne le 22/12/2004 - Publié en Novembre 2003
TLS (Transport Layer Security) vous amène vers les 100 % de sécurité du e-mail
Comme le standard SMTP envoie le
e-mail sans cryptage ni authentification,
chaque message envoyé est exposé
à la vue. Des solutions côté client
comme Secure MIME (S/MIME) ou
PGP (pretty good privacy) peuvent résoudre
ce problème, mais à condition
que vous interveniez en tant qu'utilisateur.
Il vaut mieux concentrer vos efforts
sur la sécurisation du trafic SMTP ...En effet, si vous pouvez sécuriser
SMTP, vous serez tout près de 100 % de
sécurité pour le trafic mail que l'un de
vos serveurs envoie ou reçoit.
Microsoft Exchange Server offre
plusieurs outils pour sécuriser le trafic
e-mail. Pour sécuriser SMTP, l'une des
méthodes consiste à utiliser SSL
(Secure Sockets Layer) pour les
connexions SMTP. Toutefois, cette méthode
soulève un problème. Par défaut,
tous les serveurs SMTP utilisent le
port 25. Mais, si vous utilisez SSL sur le
port 25, les serveurs non SSL ne pourront
pas se connecter par l'intermédiaire
de ce port. Et, si vous utilisez un
numéro de port non standard, les
autres serveurs ne pourront pas trouver
vos serveurs.
Vous pouvez contourner cette difficulté.
Le verbe STARTTLS (qui fait partie
du jeu de commandes ESMTP -
Extended SMTP) permet à un client et
à un serveur SMTP de négocier l'utilisation
de TLS (Transport Layer Secure)
pour une connexion SMTP. Chaque
bout de la connexion peut choisir d'authentifier
l'autre, ou bien la connexion
TLS peut être utilisée uniquement
dans un but de confidentialité. Dans
tous les cas, cette méthode offre trois
avantages importants :
- Elle n'interfère pas avec les autres
serveurs et clients. Les clients qui
supportent STARTTLS peuvent l'utiliser
; les autres peuvent continuer à
utiliser SMTP non crypté.
- Elle est opportuniste. Quand vous
validez l'utilisation de TLS avec SMTP,
votre serveur demande automatiquement
TLS quand il communique
avec d'autres serveurs et il accepte
les connexions TLS quand elles lui
sont demandées. En supposant que
l'autre serveur boucle le processus
de négociation, le flux de courrier électronique est protégé. (Toutefois,
il vous faudra le plus souvent demander
à vos utilisateurs de valider
SSL/TLS dans leurs clients mail
Internet.)
- Le cryptage en TLS du flux SMTP protège
également les en-têtes de messages,
procurant un degré de protection
supplémentaire contre les
analyses de trafic permettant à des
intrus dans le réseau de savoir avec
qui vous communiquez et avec
quelle fréquence./
Tenez compte néanmoins d'une
mise en garde importante : TLS ne protège
pas les messages de bout en bout.
Autrement dit, il ne protège pas les
messages qui sont en stockage ou
voyagent du client au serveur (sauf si le
client supporte aussi TLS). TLS ne protège
le message que quand il passe
entre deux serveurs supportant tous
deux TLS.
Avant de pouvoir utiliser TLS avec
SMTP, vous devez obtenir et installer
un certificat pour votre serveur SMTP.
Si vous avez déjà établi votre propre CA
(certificate authority), vous constaterez
que la demande d’un certificat SSL
est très simple ; dans le cas contraire,
vous devrez sauvegarder la demande
de certificat dans un fichier et la fournir
à votre CA préféré. (Pour une explication
détaillée sur la manière d’établir et
d’utiliser le Microsoft CA ou sur la manière
d’utiliser un CA externe pour
votre PKI – public key infrastructure –
voir le sujet Certificate Services dans
Windows Server Help.) Je suppose que
vous avez accès à un CA et que vous
voulez demander et installer un certificat
SSL pour l’utiliser avec
Microsoft OWA (Outlook
Web Access), IMAP, POP ou
SMTP.
Les mécanismes de base
de délivrance de certificats
sont les mêmes pour tous
ces protocoles, même si ici
je m’en tiens à SMTP. Vous
initiez le processus de demande
de certificat à partir
d’ESM (Exchange System
Manager). Dans le panneau
arborescent d’ESM, naviguez
jusqu’à votre serveur, puis
jusqu’à Protocols. Sélectionnez
SMTP puis faites un clic
droit sur le serveur virtuel et sélectionnez
Properties. Sur l’onglet Access,
vous verrez le bouton Certificate qui
est validé chaque fois que vous utilisez
ESM sur un serveur Exchange. Comme
la clé privée associée au certificat est
générée sur la machine locale, il n’y a
aucun intérêt à générer un certificat à
partir de votre station de travail administrative.
Vous pouvez utiliser ISM (Internet
Services Manager) 5.0 pour demander
un certificat à utiliser avec OWA.
Cependant, il est plus facile d’utiliser ESM pour demander des certificats
POP et IMAP parce que vous pouvez les
demander à partir de la boîte de
dialogue Properties du serveur virtuel.
Par conséquent, c’est ce que nous faisons
ici. Pour demander un certificat,
cliquez simplement sur Certificate.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
