Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007

novembre 2008 par Marc Jacob

Exchange 2007 propose de nombreuses fonctionnalités en termes de sécurité. L’objectif de cet article est de donner des pistes à prendre en compte pour le sécuriser de bout en bout.

Dans cette version, plusieurs rôles sont appliqués sur les serveurs lors de l’installation :

• Mailbox qui héberge les bases de données contenant les emails et les profils utilisateurs.
• Hub Transport qui est le relais SMTP.
• Client Access Server qui fournit les fonctionnalités de messagerie à distance.
• Edge Transport, optionnel, qui sert de sas entre l’Internet et le serveur Client Access. il est donc conseillé de l’installer dans une DMZ pour apporter une sécurité supplémentaire.
• Unified Messaging qui a pour objectif d’apporter des fonctionnalités liées à la messagerie unifiée.

Le schéma suivant synthétise les différents rôles et concepts :

Seuls les services et les programmes nécessaires doivent être installés et lancés. Cette tâche peut être automatisée avec Security configuration Wizard, mais une vérification manuelle s’impose.

Des Access Control List (ACL) doivent être positionnées sur les dossiers créés et les dossiers publics (pour le partage de mail en cas de délégation ou pour les échanges de fichiers …). Par contre, au niveau des serveurs Hub Transport, les dossiers publics doivent être déconnectés.

Une politique de rôles d’administration doit être configurée avec une gestion des droits. Avec Exchange 2007, de nouveaux rôles sont apparus afin de permettre une meilleure granularité. Le but est bien sûr d’éviter qu’un administrateur n’ait plus de droits que nécessaire.

Un antivirus dédié et une solution anti-spam doivent être installés sur le serveur de messagerie.

Enfin, les serveurs devront bénéficier d’une solution de backup, de monitoring et de haute disponibilité.

Il est possible, avec Exchange 2007, de bloquer les communications entre un serveur Mailbox et une version d’Outlook afin d’interdir des clients trop anciens (potentiellement dangereux).

Exchange 2007 s’interface avec Outlook Anywhere, ce qui permet à l’utilisateur d’utiliser le client Outlook 2007 où qu’il se trouve. L’authentification se fait par mot de passe (via NTLM ou le mode Basic) puis les flux peuvent être chiffrés avec SSL. Cela nécessitera la configuration d’un serveur IIS sur les serveurs Edge Transport.

Une autre nouveauté est la possibilité de chiffrer les communications avec le protocole SSL/TLS. Cela permet l’authentification mutuelle entre les serveurs et le chiffrement des communications, en se basant sur l’implémentation de certificats. A noter qu’il est possible d’utiliser IPSec en remplacement ou en complément de SSL/TLS pour l’authentification.

La possibilité de chiffrer les communications entre le client Outlook 2007 et les serveurs Exchange est un autre intérêt d’Exchange 2007. Cette option peut être appliquée par GPO.

Par rapport à ses prédécesseurs, la solution Exchange 2007 a donc progressé dans les domaines de la sécurité.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants