> Tech > Sécuriser le traffic SMTP Email

Sécuriser le traffic SMTP Email

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Paul Robichaux - Mis en ligne le 22/12/2004 - Publié en Novembre 2003

TLS (Transport Layer Security) vous amène vers les 100 % de sécurité du e-mail

Comme le standard SMTP envoie le e-mail sans cryptage ni authentification, chaque message envoyé est exposé à  la vue. Des solutions côté client comme Secure MIME (S/MIME) ou PGP (pretty good privacy) peuvent résoudre ce problème, mais à  condition que vous interveniez en tant qu'utilisateur. Il vaut mieux concentrer vos efforts sur la sécurisation du trafic SMTP ...En effet, si vous pouvez sécuriser SMTP, vous serez tout près de 100 % de sécurité pour le trafic mail que l'un de vos serveurs envoie ou reçoit.
Microsoft Exchange Server offre plusieurs outils pour sécuriser le trafic e-mail. Pour sécuriser SMTP, l'une des méthodes consiste à  utiliser SSL (Secure Sockets Layer) pour les connexions SMTP. Toutefois, cette méthode soulève un problème. Par défaut, tous les serveurs SMTP utilisent le port 25. Mais, si vous utilisez SSL sur le port 25, les serveurs non SSL ne pourront pas se connecter par l'intermédiaire de ce port. Et, si vous utilisez un numéro de port non standard, les autres serveurs ne pourront pas trouver vos serveurs.
Vous pouvez contourner cette difficulté. Le verbe STARTTLS (qui fait partie du jeu de commandes ESMTP - Extended SMTP) permet à  un client et à  un serveur SMTP de négocier l'utilisation de TLS (Transport Layer Secure) pour une connexion SMTP. Chaque bout de la connexion peut choisir d'authentifier l'autre, ou bien la connexion TLS peut être utilisée uniquement dans un but de confidentialité. Dans tous les cas, cette méthode offre trois avantages importants :

  • Elle n'interfère pas avec les autres serveurs et clients. Les clients qui supportent STARTTLS peuvent l'utiliser ; les autres peuvent continuer à  utiliser SMTP non crypté.
  • Elle est opportuniste. Quand vous validez l'utilisation de TLS avec SMTP, votre serveur demande automatiquement TLS quand il communique avec d'autres serveurs et il accepte les connexions TLS quand elles lui sont demandées. En supposant que l'autre serveur boucle le processus de négociation, le flux de courrier électronique est protégé. (Toutefois, il vous faudra le plus souvent demander à  vos utilisateurs de valider SSL/TLS dans leurs clients mail Internet.)
  • Le cryptage en TLS du flux SMTP protège également les en-têtes de messages, procurant un degré de protection supplémentaire contre les analyses de trafic permettant à  des intrus dans le réseau de savoir avec qui vous communiquez et avec quelle fréquence./
Tenez compte néanmoins d'une mise en garde importante : TLS ne protège pas les messages de bout en bout. Autrement dit, il ne protège pas les messages qui sont en stockage ou voyagent du client au serveur (sauf si le client supporte aussi TLS). TLS ne protège le message que quand il passe entre deux serveurs supportant tous deux TLS.

Avant de pouvoir utiliser TLS avec
SMTP, vous devez obtenir et installer
un certificat pour votre serveur SMTP.
Si vous avez déjà  établi votre propre CA
(certificate authority), vous constaterez
que la demande d’un certificat SSL
est très simple ; dans le cas contraire,
vous devrez sauvegarder la demande
de certificat dans un fichier et la fournir
à  votre CA préféré. (Pour une explication
détaillée sur la manière d’établir et
d’utiliser le Microsoft CA ou sur la manière
d’utiliser un CA externe pour
votre PKI – public key infrastructure –
voir le sujet Certificate Services dans
Windows Server Help.) Je suppose que
vous avez accès à  un CA et que vous
voulez demander et installer un certificat
SSL pour l’utiliser avec
Microsoft OWA (Outlook
Web Access), IMAP, POP ou
SMTP.
Les mécanismes de base
de délivrance de certificats
sont les mêmes pour tous
ces protocoles, même si ici
je m’en tiens à  SMTP. Vous
initiez le processus de demande
de certificat à  partir
d’ESM (Exchange System
Manager). Dans le panneau
arborescent d’ESM, naviguez
jusqu’à  votre serveur, puis
jusqu’à  Protocols. Sélectionnez
SMTP puis faites un clic
droit sur le serveur virtuel et sélectionnez
Properties. Sur l’onglet Access,
vous verrez le bouton Certificate qui
est validé chaque fois que vous utilisez
ESM sur un serveur Exchange. Comme
la clé privée associée au certificat est
générée sur la machine locale, il n’y a
aucun intérêt à  générer un certificat à 
partir de votre station de travail administrative.
Vous pouvez utiliser ISM (Internet
Services Manager) 5.0 pour demander
un certificat à  utiliser avec OWA.
Cependant, il est plus facile d’utiliser ESM pour demander des certificats
POP et IMAP parce que vous pouvez les
demander à  partir de la boîte de
dialogue Properties du serveur virtuel.
Par conséquent, c’est ce que nous faisons
ici. Pour demander un certificat,
cliquez simplement sur Certificate.

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro.fr - Publié le 24 juin 2010