Logo ToutWindows.com

MICROSOFT EXCHANGE 2003 :
SECURISATION

 
  Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

   Retour accueil  


             Sommaire :
Menu

 

  • Sommaire
    1 - Ports nécessaires
    2 - Aide à la sécurisation
    3 - Lutte contre le spam
    4 - Gestion des droits

     

     

     

    Retour au début de la page

     1 - Ports nécessaires

    Ports accessibles pour Internet :

    Service Port TCP
    POP3 110 et 995 pour SSL
    IMAP4 143 et 993 pour SSL
    SMTP 25
    X400 MTA 102
    NNTP 119 et 563 pour SSL
    HTTP (OWA) 80 et 443 pour SSL

     

    Ports utilisés en interne :
     

    Service Port TCP
    LDAP vers un controleur de domaine 389
    LDAP - SSL 636
    LDAP vers un GC server 3268
    Kerberos TCP 88 et UDP 88
    DNS Lookup TCP 53 et UDP 53
    RPC 135
    RPC service ports 1024 et plus
    RPC over HTTP 6001, 6002, 6004
    NetLogon 445

     

     

    Retour au début de la page

     2 - Aide à la sécurisation

    Pour sécuriser Exchange, vous pouvez utiliser l'assistant de sécurisation de Windows Server 2003 SP1, ou utiliser les Modèles de sécurité, à télécharger ici : http://www.microsoft.com/downloads/details.aspx?FamilyID=6A80711F-E5C9-4AEF-9A44-504DB09B9065&displaylang=en .

    Avant d'utiliser il est important de bien comprendre le rôle de chacun des services Exchange et de définir quels sont vos serveurs qui seront Front-End (optimisé pour un usage depuis Internet) ou Back-End (optimisé pour un usage interne).

    Si vous souhaites connecter votre serveur Exchange depuis Internet il est fortement recommandé d'utiliser une structure à plusieurs serveurs, le serveur frontal (appelé front-end) qui sera exposé à Internet subira un traitement spécial :

    Pour configurer un serveur front-end :
    _ installez un second Exchange Server
    _ configurez les connecteurs entre le nouveau serveur et le ou les serveurs back-end
    _ enlevez les boites a lettre et les réplicas de dossiers publics du front-end
    _ arrêtez les Bases de données et désactivez le service Exchange Information Store service (sauf en cas d'utilisation de SMTP)
    _ configurez le serveur en front-end dans Exchange System Manager
    _ redémarrez le serveur
     

     

    Retour au début de la page

     3 - Lutte contre le SPAM

    Il existe désormais de nombreuses nuisances par mail, voici le sprincipales méthodes pour lutter :
    _ filtrage de messages : permet d'éviter les messages nuisibles et de laisser passer les messages ou expéditeurs identifiés à l'aide de règles (dans Outlook 2003, dans Exchange 2003 Intelligent Message Filtering) et dans Outlook Web Access.
    _ au moyen de listes de blocages : des listes d'expéditeurs ou de serveurs de mails identifiés comme sources de mails nuisibles
    _ en utilisant sender ID : une nouvelle technologie capable de vérifier la cohérence entre le domaine de l'expéditeur et son adresse IP

    • IMF :

    IMF est intégré à Exchange 2003 SP2, il permet de classifier les mails et de les rejeter ou de les identifier comme étant probablement non sollicités, en collaboration avec Outlook.

     

    Retour au début de la page

     4 - Gestion des droits

    Les droits dans Exchange sont principalement :
    _ Exchange Full Administrator : tous les droits
    _ Exchange Administrator : peut tout faire sauf changer les permissions
    _ Exchange View Only Administrator : peut vérifier l'ensemble de la configuration mais pas la changer (mais peut par exemple créer des Boites mail)

    Pour déléguer des rôles sur l'organisation ou sur les objets administratifs, vous pouvez utiliser l'assistant de délégation.

    Pour visualiser les sécurités sur tous les objets en ajoutant un onglet sécurité sur tous les objets de Exchange System Manager, il faut ajouter la clef ShowSecurityPage (DWORD)  dans le registre :
    HKeyCurrentUser\Software\Microsoft\Exchange\Exadmin la clef doit prendre la valeur 1.

    Il faut éviter la permission Full Control autant que possible car ce droit outrepasse le deni de Send As et Receive As. En conséquence les utilisateurs disposant de ce droit peuvent ouvrir les boites mails sans avertir les propriétaires.

  •     
      Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

       Retour accueil