Planifier le courrier électronique sortant pour une batterie de serveurs SharePoint Server
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Le courrier sortant est la base sur laquelle les administrateurs de site peuvent implémenter plusieurs fonctionnalités de notification par e-mail. Ces fonctionnalités permettent aux utilisateurs finaux de suivre les modifications et les mises à jour des collections de sites individuels, et permettent aux administrateurs de site d'envoyer des messages d'état.
À propos des e-mails sortants
La configuration correcte des e-mails sortants est requise pour implémenter des alertes et des notifications par e-mail. La fonctionnalité de messagerie sortante utilise un service SMTP (Simple Mail Transfer Protocol) sortant pour relayer les alertes et les notifications par e-mail. Ces fonctionnalités de messagerie sont les suivantes :
Alertes
Dans une collection de sites volumineuse et croissante, les utilisateurs ont besoin d’un moyen de suivre les mises à jour des listes, des bibliothèques et des discussions. Les alertes aident à tenir les utilisateurs au courant des modifications. Par exemple, si de nombreux utilisateurs travaillent sur le même document, le propriétaire du document peut configurer la notification d'alertes lorsque des modifications sont apportées à ce document. Les utilisateurs peuvent spécifier les domaines de la collection de sites ou les documents qu'ils veulent suivre, et décider la fréquence à laquelle ils veulent recevoir les alertes.
Notes
Les utilisateurs doivent disposer au moins des autorisations d’affichage pour configurer des alertes.
Messages d'administration
Les administrateurs de sites peuvent recevoir des notifications quand des utilisateurs demandent l'accès à un site ou quand des propriétaires de site ont dépassé l'espace de stockage spécifié. La configuration de l’e-mail sortant permet aux administrateurs de site de recevoir des notifications automatiques pour les problèmes d’administration de site.
La prise en charge des e-mails sortants peut être activée au niveau de la batterie de serveurs (disponible dans la section Paramètres système du site web Administration centrale de SharePoint et au niveau de l’application web (disponible dans la section Gestion des applications de l’Administration centrale). Les paramètres de courrier sortant au niveau de l’application web remplacent ceux configurés au niveau de la batterie de serveurs. Vous pouvez également spécifier différents paramètres pour une application web spécifique.
Principales phases de planification des e-mails sortants
Vous devez prendre en compte les composants suivants lors de la planification de vos paramètres de courrier sortant :
Un service SMTP pour relayer des alertes et des notifications par e-mail. Vous aurez besoin du nom DNS ou de l'adresse IP du serveur de messagerie SMTP à utiliser.
Une adresse à utiliser dans l'en-tête d'un message d'alerte qui identifie l'expéditeur du message.
Adresse de réponse qui s’affiche dans le champ À d’un message lorsqu’un utilisateur répond à une alerte ou à une notification.
un jeu de caractères à utiliser dans le corps des messages d’alerte.
Serveur SMTP sortant
Le service SMTP est un composant d’IIS (Internet Information Services) ; toutefois, il n’est pas activé par défaut avec IIS. Il peut être activé à l’aide de l’Assistant Ajout de rôles et de fonctionnalités dans le Gestionnaire de serveur.
Après avoir déterminé le serveur SMTP à utiliser, le serveur SMTP doit être configuré pour autoriser l’accès anonyme et autoriser le relais des messages électroniques. En outre, le serveur SMTP doit disposer d’un accès Internet si vous souhaitez pouvoir envoyer des messages à des adresses e-mail externes.
Pour plus d’informations sur l’installation, la configuration et la gestion du service SMTP, consultez Configuration du courrier sortant .
Notes
Seul un membre du groupe Administrateurs de batterie peut configurer un serveur SMTP. L’utilisateur doit également être membre du groupe Administrateurs local sur le serveur.
Adresse de provenance et adresse de réponse
Lors de la configuration de l’e-mail sortant, vous pouvez configurer les deux adresses suivantes :
Adresse de provenance
Les alertes et les notifications sont envoyées depuis un compte d'administration sur la batterie de serveurs. Ce compte n’est probablement pas celui que vous souhaitez afficher dans le champ De d’un e-mail. L’adresse que vous utilisez n’a pas besoin de correspondre à un compte de messagerie réel ; il peut s’agir d’une simple adresse conviviale qui est reconnaissable à un utilisateur final. Par exemple, « Administrateur du site » peut être une adresse de provenance appropriée.
Adresse de réponse
Il s’agit de l’adresse qui s’affiche dans le champ À d’un message lorsqu’un utilisateur répond à une alerte ou à une notification. L'adresse de réponse doit aussi être un compte surveillé de façon à ce que les utilisateurs finals reçoivent une réponse rapide pour les problèmes qu'ils rencontrent. Par exemple, un alias du service d’assistance peut être une adresse de réponse appropriée.
Jeu de caractères
Lorsque vous configurez le courrier sortant, vous devez spécifier le jeu de caractères à utiliser dans le corps des messages électroniques. Un jeu de caractères est un mappage de caractères avec les valeurs de leur code d'identification. Le jeu de caractères par défaut pour les e-mails sortants est Unicode UTF-8, ce qui permet à la plupart des combinaisons de caractères (y compris le texte bidirectionnel) de coexister dans un seul document. Dans la plupart des cas, UTF-8 comme paramétrage par défaut fonctionne bien, même si les langues d'Asie de l'Est sont mieux rendues avec leur propre jeu de caractères.
Notez bien que si vous sélectionnez un code de langue spécifique, le texte est moins susceptible d'apparaître correctement dans les lecteurs de courrier configurés pour d'autres langues.
Authentification du serveur SMTP
La fonctionnalité d’authentification du serveur SMTP est disponible uniquement dans SharePoint Server 2019.
SharePoint Server 2019 prend en charge la connexion aux serveurs SMTP de manière anonyme ou avec l’authentification. Si votre serveur SMTP nécessite une authentification, vous devez fournir les informations d’identification que SharePoint utilisera pour s’authentifier auprès du serveur SMTP. Il est recommandé d’utiliser les informations d’identification du compte qui correspondent à l’adresse De . Si vous souhaitez utiliser des informations d’identification pour un autre compte, vérifiez que le compte dispose de l’autorisation « Envoyer en tant que » pour emprunter l’identité de l’adresse De.
Notes
Si vous utilisez un compte Windows pour vous authentifier auprès du serveur SMTP, vous pouvez spécifier le nom d’utilisateur au format UPN (user@domain.comUniversal Principal Name) ou au format de connexion NT4 (DOMAIN\user). Si vous utilisez un compte non-Windows pour vous authentifier auprès du serveur SMTP, contactez votre administrateur de messagerie pour déterminer le format de nom d’utilisateur correct.
Vous devez définir une clé d’informations d’identification d’application sur chaque serveur de la batterie avant de fournir des informations d’identification. La clé d’informations d’identification de l’application est un mot de passe distinct utilisé pour chiffrer et déchiffrer le mot de passe SMTP. La clé d’informations d’identification de l’application doit être identique sur tous les serveurs de la batterie de serveurs. Microsoft recommande d’utiliser un mot de passe fort pour la clé d’informations d’identification de l’application et d’éviter de réutiliser le même mot de passe que votre phrase secrète de batterie, vos comptes de service de batterie de serveurs, etc.
SharePoint prend en charge les mécanismes SASL (Simple Authentication and Security Layer) suivants pour s’authentifier auprès d’un serveur SMTP :
GSSAPI (Kerberos, NTLM)
NTLM
CONNECTEZ-VOUS
Notes
SharePoint utilise le nom de principal du service (SPN) suivant pour s’authentifier auprès du serveur SMTP lors de l’authentification Kerberos et NTLM, où <host> est le nom du serveur SMTP que vous avez fourni :
SMTPSVC/<hôte>
Utiliser le chiffrement de connexion TLS
Définissez Utiliser le chiffrement de connexion TLS sur Oui pour exiger que SharePoint établisse une connexion chiffrée au serveur SMTP avant d’envoyer un e-mail. Un certificat de serveur valide doit être installé sur le serveur SMTP pour établir une connexion chiffrée. Si cette valeur est définie sur Oui et qu’une connexion chiffrée ne peut pas être établie, aucun e-mail ne sera envoyé.
Notes
SharePoint prend en charge STARTTLS pour établir le chiffrement de connexion TLS à un serveur SMTP. Il ne prend pas en charge SMTPS pour établir le chiffrement de connexion SSL à un serveur SMTP.
Notes
Bien que SharePoint puisse exiger le chiffrement de connexion TLS lors de l’envoi d’e-mails à un serveur SMTP, il ne peut pas contrôler si le chiffrement de connexion sera utilisé lorsque ce serveur SMTP envoie le courrier électronique à d’autres serveurs SMTP. Collaborez avec votre administrateur de messagerie pour configurer vos serveurs SMTP afin de favoriser le chiffrement de connexion.
Utiliser l’authentification par certificat client avec un serveur SMTP
Notes
Cette fonctionnalité Utiliser l’authentification par certificat client avec un serveur SMTP est disponible uniquement dans SharePoint Server Édition d’abonnement.
L’authentification par certificat client via SMTP est une configuration d’authentification avancée facultative qui permet au « client » (dans ce scénario, SharePoint) de s’authentifier auprès du serveur SMTP à l’aide d’un certificat X.509 que le client présente au serveur. Cette authentification est « au lieu de » ou « en plus » des informations d’identification de nom d’utilisateur/mot de passe. Cette configuration n’est pas courante, mais elle peut être utilisée dans des environnements à haute sécurité où l’authentification par nom d’utilisateur/mot de passe standard n’est pas considérée comme suffisante.
Notes
Vous n’avez pas besoin d’utiliser l’authentification par certificat client pour utiliser le chiffrement de connexion TLS au serveur SMTP.
Voici les conditions requises pour Que SharePoint utilise l’authentification par certificat client avec un serveur SMTP :
- Le serveur SMTP doit être configuré pour prendre en charge STARTTLS pour le chiffrement de connexion TLS.
- Le serveur SMTP doit être configuré pour accepter ou exiger des certificats clients lors de l’établissement de connexions TLS à l’aide de STARTTLS.
- SharePoint doit être configuré pour utiliser le chiffrement de connexion TLS au serveur SMTP.
- SharePoint doit être configuré pour utiliser un certificat client lors de la connexion au serveur SMTP.
- Les comptes de traitement SharePoint qui envoient des e-mails (qui peuvent inclure le compte de service de batterie de serveurs SharePoint et le compte de service d’application web) doivent être autorisés à lire la clé privée du certificat X.509.
- Le certificat X.509 doit répondre aux exigences suivantes :
- Le certificat X.509 doit se trouver dans le magasin de certificats « Entité de fin » dans SharePoint.
- Le certificat X.509 doit utiliser des clés RSA ou ECC (ECDSA). Les clés DSA ne sont pas prises en charge.
- Le certificat X.509 doit avoir une clé privée.
- Si le certificat X.509 a une extension Utilisation de clé, l’extension doit contenir l’utilisation de « Signature numérique ».
- Si le certificat X.509 a une extension Utilisation étendue de la clé, l’extension doit contenir l’utilisation « Authentification du client » (OID : 1.3.6.1.5.5.7.3.2).
Exemple de capture d’écran montrant comment cela est configuré dans l’Administration centrale :
Emprunt d’identité par e-mail
Certaines fonctionnalités SharePoint peuvent emprunter l’identité des utilisateurs finaux lors de l’envoi d’un e-mail pour personnaliser le message. Par exemple, lorsqu’un utilisateur demande l’accès à un site, SharePoint définit l’adresse « De » de la notification par e-mail comme étant l’utilisateur qui a effectué la demande.
Certains serveurs SMTP peuvent bloquer l’emprunt d’identité pour protéger les utilisateurs contre les tentatives non autorisées d’usurpation de leur identité. Si votre serveur SMTP bloque l’emprunt d’identité, il existe plusieurs options pour autoriser l’envoi d’e-mails SharePoint :
Accorder l’autorisation pour le compte de messagerie authentifié SharePoint pour emprunter l’identité des utilisateurs
Microsoft Exchange Server vous permet d’accorder à un utilisateur l’autorisation d’emprunter l’identité d’autres utilisateurs lors de l’envoi d’e-mails via un connecteur de réception. Ces autorisations sont les suivantes :
Autorisation du connecteur de réception | Description |
---|---|
ms-Exch-SMTP-Submit |
La session doit disposer de cette autorisation, sinon elle ne pourra pas envoyer de messages à ce connecteur de réception. Si une session ne dispose pas de cette autorisation, les commandes MAIL FROM et AUTH échouent. |
ms-Exch-SMTP-Accept-Any-Recipient |
Cette autorisation permet à la session de relayer des messages via ce connecteur. Si cette autorisation n'est pas octroyée, seuls les messages adressés à des destinataires dans des domaines acceptés sont réceptionnés par ce connecteur. |
ms-Exch-SMTP-Accept-Any-Sender |
Cette autorisation permet à la session d'ignorer le contrôle d'usurpation d'adresse de l'expéditeur. NOTE: Cette autorisation n’est nécessaire que si SharePoint emprunte l’identité des utilisateurs dont le compte de messagerie n’est pas géré par votre organisation. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Cette autorisation permet aux expéditeurs qui ont des adresses e-mail dans des domaines faisant autorité d’établir une session pour ce connecteur de réception. |
ms-Exch-Accept-Headers-Routing |
Cette autorisation permet à la session de soumettre un message dont tous les en-têtes de réception sont intacts. Si cette autorisation n'est pas octroyée, le serveur supprime tous les en-têtes reçus. |
Exécutez cette commande sur votre serveur Microsoft Exchange Server pour accorder l’autorisation au compte de messagerie authentifié SharePoint d’emprunter l’identité d’autres utilisateurs via un connecteur de réception :
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing
Notes
Lorsque vous utilisez Microsoft Exchange Server 2013 ou version ultérieure, cette autorisation doit être appliquée au connecteur de réception du proxy client. Lorsque vous utilisez Microsoft Exchange Server 2010 ou une version antérieure, cette autorisation doit être appliquée au connecteur de réception frontal client.
Désactiver l’emprunt d’identité de messagerie SharePoint
Vous pouvez configurer chaque application web SharePoint pour désactiver l’emprunt d’identité des e-mails. Cela garantit que SharePoint utilise toujours l’adresse De et Reply-To spécifiée au niveau de l’application web. Exécutez la commande suivante pour désactiver l’emprunt d’identité d’e-mail SharePoint :
Lancez SharePoint 2019 Management Shell.
Exécutez les commandes suivantes :
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
Utiliser un connecteur de réception sécurisé en externe
Les connecteurs de réception Microsoft Exchange Server peuvent être configurés pour approuver automatiquement tous les e-mails comme authentifiés, même si aucune authentification n’est effectuée. SharePoint envoie ensuite des e-mails à ce connecteur de réception de manière anonyme. Procédez comme suit pour créer un connecteur de réception sécurisé en externe :
- Créez un connecteur de réception « Personnalisé » dédié pour la batterie de serveurs SharePoint.
- Définissez le groupe d’autorisations du connecteur de réception sur « Serveurs Exchange ».
- Définissez le type d’authentification du connecteur de réception sur « sécurisé en externe ».
En raison du risque d’usurpation dans cette configuration, il est recommandé de restreindre les adresses IP que ce connecteur de réception acceptera les messages électroniques en provenance des serveurs de votre batterie de serveurs SharePoint uniquement.
Voir aussi
Concepts
Configurer le courrier sortant pour une batterie de serveurs SharePoint Server