> Mobilité > Sécurité de la messagerie d’entreprise Microsoft Exchange (partie 2)

Sécurité de la messagerie d’entreprise Microsoft Exchange (partie 2)

Mobilité - Par iTPro.fr - Publié le 24 juin 2010
email

par Pascal Creusot - Mis en ligne le 18/05/2005 - Publié en Mai 2004

Assurer la disponibilité des services de messagerie et protéger les serveurs de messagerie

Dans la seconde partie de ce dossier, nous allons voir les aspects de la sécurité au niveau des services Exchange, des bases de données, des données, des clients et aussi comment diminuer le temps d'indisponibilité du serveur Exchange ...Le premier niveau de sécurité lors de la mise en place d'Exchange consiste à  définir de manière correcte, la machine chargée d'héberger les données. Généralement la configuration du serveur Exchange doit disposer de 3 grappes de disques gérés de manière indépendante. Tout d'abord un RAID 0 avec 2 disques en miroir pour supporter le système d'exploitation Windows et l'application Exchange, un autre RAID 0 avec 2 disques pour y placer les journaux (logs) et enfin une unité de stockage pour les bases et les données. Cette dernière unité est généralement composée de disques en RAID 5. D'autres configurations plus complexes peuvent être envisagée pour répondre à  des besoins plus importants en termes de sécurité, mais cette configuration constitue la configuration de base pour un serveur Exchange en entreprise. La séparation des journaux et des bases sur deux disques différents permet une simplification de la phase de récupération en cas d'incident. Mais après la protection matérielle, il faut prévoir la protection au niveau logiciel, et dans ce domaine, il existe deux familles de produits : la protection et la sécurité en fonctionnement et ensuite la sauvegarde et la récupération des données en cas d'incident. Le premier niveau de protection consiste donc à  sécuriser les données et le serveur contre les intrusions et autres actions malveillantes.

La protection du serveur avec un antivirus
est indispensable. Il faut alors
prendre soin de bien mettre en place
deux systèmes antivirus sur un
serveur Exchange : un au niveau système
et le second au niveau Exchange.
La protection du système doit être assurée,
comme sur l’ensemble des serveurs
de l’entreprise. Cet antivirus au
niveau système fonctionne principalement
sur les fichiers et sur les
échanges réseau du serveur. Il doit
prendre en compte la totalité des dossiers
du serveur excepté les répertoires
qui sont utilisés et gérer par les
services de la messagerie Exchange. Ce
point est capital et il faut être sûr et certain
d’exclure les dossiers Exchange
des dossiers et fichiers qui sont contrôlés
par l’antivirus système. Les dossier
concernés par cette exclusion de l’antivirus
système sont : MDBDATA, DSADATA,
MTADATA et le répertoire serveur.
log (ces répertoires changent de
nom ou n’existent pas toujours selon
les versions d’Exchange). Ensuite, il
faut mettre en place l’antivirus spécifique
à  Exchange. Dans ce domaine, il
existe plusieurs solutions et plusieurs
éditeurs. Il faut en premier lieu, s’assurer
que la version utilisée est compatible
avec la version d’Exchange qui est
installée, car les moteurs d’antivirus
diffèrent en fonction des versions
d’Exchange. En particulier, un antivirus
conçu i n i t i a l e m e n t pour
Exchange 2000 n’est pas obligatoirement
utilisable avec Exchange 2003. Il
existe différents modes de travail pour
un antivirus sous Exchange. On trouve
tout d’abord la sécurisation du transport
SMTP, que nous verrons plus en
détail plus loin et la sécurité au niveau
du contenu des boîtes aux lettres avec
notamment 2 technologies qui sont
connues sous les termes de MAPI
et de VS API. Les premiers anti-virus
n’avaient d’autres solutions que
d’effectuer un scan du contenu de la
boîte aux lettres en effectuant une ouverture
de celle-ci en mode MAPI, au
même titre qu’un client Outlook. Pour
remédier aux nombreux inconvénients
de cette méthode, Microsoft a
développé une interface de programmation
(API) spécifique pour les antivirus
et cette interface a été désignée
sous le terme de VS API (Virus Scan
API). Cette technologie permet une
analyse en temps réel du contenu des
boîtes aux lettres avant qu’il ne soit
stocké dans la base Exchange et les
bases peuvent aussi être scannées à 
tout moment manuellement ou à  des
périodes définies. Il est donc préférable
d’utiliser une solution logicielle
qui support le mode VS API. Parmi
les produits les plus souvent rencontrés,
on peut citer comme exemple
Norton for Exchange ou encore Trend
Scanmail, mais il en existe de nombreux
autres. Cette stratégie de protection
antivirus au niveau des bases
Exchange ne dispense pas de la mise
en place de l’antivirus système, ni de
dispositifs de protection au niveau des
utilisateurs (client Outlook), ni même
de la mise en place d’autres systèmes
de filtrage ou de protection, en particulier
au niveau du service SMTP.

Téléchargez gratuitement cette ressource

Guide de Cloud Privé Hébergé

Guide de Cloud Privé Hébergé

Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.

Mobilité - Par iTPro.fr - Publié le 24 juin 2010