Processus d'autorisation d'un relais anonyme sur des serveurs Exchange

  • Article

Le relais ouvert est une très mauvaise chose pour les serveurs de messagerie sur Internet. Les serveurs de messagerie configurés accidentellement ou intentionnellement en tant que relais ouverts permettent de réacheminer en toute transparence les messages provenant de n’importe quelle source via le serveur relais ouvert. Ce comportement masque la source d’origine des messages et donne l’impression que le courrier provient du serveur relais ouvert. Les serveurs relais ouverts sont très recherchés et utilisés par les spammeurs. Vous ne souhaitez donc jamais que vos serveurs de messagerie soient configurés pour un relais ouvert.

En revanche, l’utilisation de relais anonyme est répandue dans les entreprises qui ont des serveurs web internes, des serveurs de base de données, des applications d’analyse ou d’autres périphériques réseau qui génèrent des messages électroniques sans pouvoir les envoyer.

Dans Exchange Server, vous pouvez créer un connecteur de réception dédié dans le service de transport frontal sur un serveur de boîtes aux lettres qui autorise le relais anonyme à partir d’une liste spécifique d’hôtes réseau internes. Voici quelques points clés à prendre en compte pour le connecteur de réception de relais anonyme :

  • Vous devez créer un connecteur de réception dédié pour spécifier les hôtes de réseau autorisés à relayer anonymement des messages, pour que vous puissiez empêcher d'autres personnes ou éléments d'utiliser le connecteur. N'essayez pas d'ajouter la fonction de relais anonyme aux connecteurs de réception par défaut créés par Exchange. Il est important de limiter l'accès au connecteur de réception si vous ne voulez pas configurer le serveur comme relais ouvert.

  • Vous devez créer le connecteur de réception dédié dans le service de transport frontal, et non dans le service de transport. Dans Exchange Server, le service de transport frontal et le service de transport sont toujours situés ensemble sur les serveurs de boîtes aux lettres. Le service de transport frontal a un connecteur de réception par défaut nommé Default Frontend <ServerName> qui est configuré pour écouter les connexions SMTP entrantes à partir de n’importe quelle source sur le port TCP 25. Vous pouvez créer un autre connecteur de réception dans le service de transport frontal pour écouter les connexions SMTP entrantes sur le port TCP 25, mais vous devez spécifier les adresses IP autorisées à utiliser le connecteur. Le connecteur de réception dédié est toujours utilisé pour les connexions entrantes en provenance de ces hôtes de réseau spécifiques (c'est le connecteur de réception qui correspond le mieux à l'adresse IP du serveur de connexion utilisé).

    En revanche, le service de transport a un connecteur de réception par défaut nommé Default <ServerName> qui est également configuré pour les connexions SMTP entrantes à partir de n’importe quelle source, mais ce connecteur écoute sur le port TCP 2525 afin qu’il n’entre pas en conflit avec le connecteur de réception dans le service de transport frontal. De plus, seuls les autres services de transport et les serveurs Exchange de votre organisation sont censés utiliser ce connecteur de réception, pour que les méthodes d'authentification et de chiffrement soient correctement définies.

    Pour plus d’informations, consultez les rubriques relatives au Mail flow and the transport pipeline et aux connecteurs de réception par défaut créés lors de l’installation.

  • Une fois le connecteur de réception dédié créé, vous devez modifier ses autorisations pour permettre l'utilisation du relais anonyme uniquement par les hôtes de réseau spécifiés, identifiés par leur adresse IP. Les hôtes de réseau requièrent, au minimum, les autorisations suivantes du connecteur de réception pour pouvoir relayer anonymement des messages :

    • ms-Exch-Accept-Headers-Routing

    • ms-Exch-SMTP-Accept-Any-Recipient

    • ms-Exch-SMTP-Accept-Any-Sender

    • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

    • ms-Exch-SMTP-Submit

      Pour plus d'informations sur les autorisations des connecteurs de réception, consultez les rubriques relatives aux Groupes d'autorisations du connecteur de réception et aux Autorisations du connecteur de réception.

      Il existe deux méthodes possibles pour configurer les autorisations nécessaires pour le relais anonyme sur un connecteur de réception. Ces méthodes sont décrites dans le tableau suivant :

Méthode Autorisations octroyées Avantages Inconvénients
Ajoutez le groupe d’autorisations Utilisateurs anonymes (Anonymous) au connecteur de réception et ajoutez l’autorisation Ms-Exch-SMTP-Accept-Any-Recipient au principal de NT AUTHORITY\ANONYMOUS LOGON sécurité sur le connecteur de réception. Les connexions utilisent le principal de NT AUTHORITY\ANONYMOUS LOGON sécurité avec les autorisations suivantes :
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Submit
 Accorde les autorisations minimales requises pour le relais anonyme. Plus difficile à configurer (Environnement de ligne de commande Exchange Management Shell doit être utilisé).

Les hôtes de réseau sont considérés comme des expéditeurs anonymes. Les messages ne contournent pas les contrôles anti-courrier ou de taille des messages, et l’adresse e-mail de l’expéditeur ne peut pas être résolue en nom d’affichage correspondant (le cas échéant) dans la liste d’adresses globale.
Ajoutez le groupe d’autorisations serveurs Exchange (ExchangeServers) et le mécanisme d’authentification sécurisé en externe (ExternalAuthoritative) au connecteur de réception. Les connexions utilisent le principal de MS Exchange\Externally Secured Servers sécurité avec les autorisations suivantes :
  • ms-Exch-Accept-Headers-Routing
  • ms-Exch-Bypass-Anti-Spam
  • ms-Exch-Bypass-Message-Size-Limit
  • ms-Exch-SMTP-Accept-Any-Recipient
  • ms-Exch-SMTP-Accept-Any-Sender
  • ms-Exch-SMTP-Accept-Authentication-Flag
  • ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • ms-Exch-SMTP-Accept-Exch50
  • ms-Exch-SMTP-Submit
 Plus facile à configurer (toutes les opérations peuvent être effectuées dans Centre d'administration Exchange).

Les hôtes de réseau sont considérés comme des expéditeurs authentifiés. Les messages contournent les contrôles anti-courrier indésirable et la limite de taille des messages, et l’adresse e-mail de l’expéditeur peut être résolue en un nom complet correspondant dans la liste d’adresses globale.

 Accorde les autorisations nécessaires pour envoyer des messages comme s'ils provenaient d'expéditeurs internes au sein de votre organisation Exchange. Les hôtes de réseau sont considérés comme étant totalement fiables, quels que soient le volume, la taille ou le contenu des messages qu'ils envoient.

Pour finir, vous devez choisir l’approche la mieux adaptée aux besoins de votre organisation. Nous allons vous expliquer comment configurer ces deux méthodes. N’oubliez pas que vous pouvez configurer une seule méthode à la fois.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée de cette tâche : 10 minutes.

  • Certaines de ces procédures nécessitent Environnement de ligne de commande Exchange Management Shell. Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Connecteurs de réception » dans la rubrique Autorisations de flux de messagerie.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Étape 1 : créer un connecteur de réception dédié pour le relais anonyme

Vous pouvez créer le connecteur de réception dans le Centre d'administration Exchange ou dans Environnement de ligne de commande Exchange Management Shell.

Création d’un connecteur de réception dédié pour le relais anonyme dans le Centre d’administration Exchange

  1. Dans le CENTRE d’administration Exchange, accédez à> Flux de courrierConnecteurs de réception, puis cliquez sur Ajouter l’icôneAjouter. L'Assistant Nouveau connecteur de réception démarre.

  2. Sur la première page, entrez les informations suivantes :

    • Nom : entrez un nom descriptif pour le connecteur de réception, par exemple Relais anonyme.

    • Rôle : sélectionnez Transport frontal.

    • Type : sélectionnez Personnalisé.

      Lorsque vous avez terminé, cliquez sur Suivant.

  3. Sur la page suivante, dans la section Liaisons de carte réseau, effectuez l'une des actions suivantes :

    • Si le serveur Exchange a une carte réseau et ne sépare pas le trafic interne et externe avec des sous-réseaux différents, acceptez l'entrée (Toutes les IPv4 disponibles) existante sur le port 25.

    • Si le serveur Exchange a une carte réseau interne et une carte réseau externe, et sépare le trafic réseau interne et externe avec des sous-réseaux différents, vous pouvez renforcer la sécurité du connecteur en limitant son utilisation aux demandes provenant de la carte réseau interne. Pour cela :

      1. Sélectionnez l’entrée existante (tous les IPv4 disponibles), cliquez sur Supprimerl’icône Supprimer, puis cliquez sur Ajouter l’icône Ajouter.

      2. Dans la boîte de dialogue Liaisons de carte réseau, sélectionnez Spécifier une adresse IPv4 ou IPv6, entrez une adresse IP valide et disponible configurée sur la carte réseau interne, puis cliquez sur Enregistrer.

    Lorsque vous avez terminé, cliquez sur Suivant.

  4. Dans la page suivante, dans la section Paramètres du réseau distant , procédez comme suit :

    1. Sélectionnez l’entrée 0.0.0.0-255.255.255.255 existante, cliquez sur Supprimerl’icône Supprimer, puis cliquez sur Ajouter uneicône Ajouter.

    2. Dans la boîte de dialogue Paramètres de l'adresse distante, entrez une adresse IP ou une plage d'adresses IP qui identifie les hôtes de réseau pouvant utiliser ce lien, puis cliquez sur Enregistrer. Vous pouvez répéter cette étape pour ajouter plusieurs adresses IP ou plages d'adresses IP. Il vaut mieux être trop spécifique pour identifier clairement les hôtes de réseau pouvant utiliser ce lien.

    Lorsque vous avez terminé, cliquez sur Terminer.

Création d'un connecteur de réception dédié pour le relais anonyme dans Environnement de ligne de commande Exchange Management Shell

Pour créer le même connecteur de réception dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

New-ReceiveConnector -Name <ConnectorName> -TransportRole FrontendTransport -Custom -Bindings <LocalIPAddresses>:25 -RemoteIpRanges <RemoteIPAddresses>

Cet exemple permet de créer un connecteur de réception avec les options de configuration suivantes :

  • Nom : Relais anonyme

  • Rôle de transport : FrontEndTransport

  • Type d’utilisation : Personnalisé

  • Liaisons : 0.0.0.0:25 (écouter les messages entrants sur toutes les adresses IP configurées sur toutes les cartes réseau du serveur Exchange sur le port TCP 25.)

  • Adresses IP distantes autorisées à utiliser ce connecteur : 192.168.5.10 et 192.168.5.11

New-ReceiveConnector -Name "Anonymous Relay" -TransportRole FrontendTransport -Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.5.10,192.168.5.11

Remarques :

  • Le paramètre Bindings est requis lorsque vous spécifiez le type d’utilisation personnalisé.

  • Le paramètre RemoteIpRanges accepte une adresse IP individuelle, une plage d’adresses IP (par exemple, 192.168.5.10-192.168.5.20) ou un routage CIDR (Classless InterDomain Routing) (par exemple, 192.168.5.1/24). Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Étape 2 : configurer les autorisations pour le relais anonyme sur le connecteur de réception dédié

Comme indiqué dans l’introduction, il existe deux méthodes possibles pour configurer les autorisations nécessaires sur le connecteur de réception :

  • Configuration des connexions en mode anonyme.

  • Configuration des connexions en mode sécurisé de l'extérieur.

Choisissez une de ces deux méthodes. Les exemples renvoient au connecteur de réception Relais anonyme créé à l'étape 1.

Configuration des connexions en mode anonyme

Exécutez les commandes suivantes dans Environnement de ligne de commande Exchange Management Shell :

1.

Set-ReceiveConnector "Anonymous Relay" -PermissionGroups AnonymousUsers

Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Configuration des connexions en mode sécurisé de l’extérieur

  1. Dans le CENTRE d’administration Exchange, accédez àConnecteurs de réception de flux> de courrier, sélectionnez le connecteur Relais anonyme, puis cliquez sur l’icône Modifierla modification.

  2. Dans les propriétés du connecteur, cliquez sur Sécurité et effectuez les sélections suivantes :

    • Authentification : désélectionnez TLS (Transport Layer Security) et sélectionnez Sécurisé en externe (par exemple, avec IPsec).

    • Groupes d’autorisations : sélectionnez Serveurs Exchange.

    Lorsque vous avez terminé, cliquez sur Enregistrer.

Pour répéter ces étapes dans Environnement de ligne de commande Exchange Management Shell, exécutez la commande suivante :

Set-ReceiveConnector "Anonymous Relay" -AuthMechanism ExternalAuthoritative -PermissionGroups ExchangeServers

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez correctement configuré le relais anonyme, procédez comme suit :

  • Vérifiez la configuration du connecteur de réception dédié.

    Get-ReceiveConnector "Anonymous Relay" | Format-List Enabled,TransportRole,Bindings,RemoteIPRanges

  • Vérifiez les autorisations sur le connecteur de réception dédié.

    Get-ADPermission "Anonymous Relay" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

    Ou

    Get-ADPermission "Anonymous Relay" -User "MS Exchange\Externally Secured Servers" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

  • Utilisez Telnet pour vérifier si un ou plusieurs des hôtes réseau spécifiés peuvent se connecter au connecteur de réception dédié et peuvent relayer anonymement les messages via le connecteur. Par défaut, le client Telnet n’est pas installé dans la plupart des versions client ou serveur de Microsoft Windows. Pour l'installer, consultez la rubrique Installer le client Telnet.

    Pour plus d'informations, voir la page Utiliser Telnet pour tester la communication SMTP sur les serveurs Exchange.

    Si l'hôte du réseau est un périphérique où Telnet n'est pas installé, vous pouvez temporairement ajouter l'adresse IP d'un ordinateur au connecteur de réception, puis supprimer l'adresse IP du connecteur de réception une fois le test terminé.

    Pour réaliser le test, les valeurs suivantes sont nécessaires :

    • Destination : il s’agit de l’adresse IP ou du nom de domaine complet que vous utilisez pour vous connecter au connecteur de réception dédié. Il s'agit probablement de l'adresse IP du serveur de boîte aux lettres où le connecteur de réception est défini. Cela concerne la propriété Liaisons de carte réseau (ou le paramètre Bindings ) que vous avez configurée sur le connecteur. Vous devez utiliser une valeur valide pour votre environnement. Dans cet exemple, nous utilisons la valeur 10.1.1.1.

    • Adresse e-mail de l’expéditeur : vous allez probablement configurer les serveurs ou les appareils qui relaient anonymement le courrier pour utiliser une adresse e-mail d’envoi qui se trouve dans un domaine faisant autorité pour votre organisation. Dans cet exemple, nous allons utiliser chris@contoso.com.

    • Adresse e-mail du destinataire : utilisez une adresse e-mail valide. Dans cet exemple, nous allons utiliser kate@fabrikam.com.

    • Objet du message : Test

    • Corps du message : il s’agit d’un message de test

    1. Ouvrez une fenêtre d'invite de commandes, tapez telnet, puis appuyez sur Entrée.

    2. Tapez set localecho, puis appuyez sur Entrée.

    3. Tapez OPEN 10.1.1.1 25, puis appuyez sur Entrée.

    4. Tapez EHLO, puis appuyez sur Entrée.

    5. Tapez MAIL FROM:chris@contoso.com, puis appuyez sur Entrée.

    6. Tapez RCPT TO:kate@fabrikam.com, puis appuyez sur Entrée.

      • Si vous recevez la réponse 250 2.1.5 Recipient OK, le connecteur de réception autorise le relais anonyme à partir de l’hôte réseau. Passez à l'étape suivante pour terminer la procédure d'envoi du message de test.

      • Si vous recevez la réponse 550 5.7.1 Unable to relay, le connecteur de réception n’autorise pas le relais anonyme à partir de l’hôte réseau. Dans ce cas, procédez comme suit :

        • Vérifiez que vous vous connectez à l'adresse IP ou au nom de domaine complet correspondant au connecteur de réception dédié.

        • Vérifiez que l'ordinateur sur lequel vous exécutez Telnet peut utiliser le connecteur de réception.

        • Vérifiez les autorisations sur le connecteur de réception.

    7. Tapez DATA, puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      354 Start mail input; end with <CLRF>.<CLRF>

    8. Tapez Subject: Test, puis appuyez sur Entrée.

    9. Appuyez de nouveau sur Entrée.

    10. Tapez Ceci est un message de test, puis appuyez sur Entrée.

    11. Appuyez sur Entrée, tapez un point ( . ), puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      250 2.6.0 <GUID> Queued mail for delivery

    12. Pour vous déconnecter du serveur SMTP, tapez QUIT, puis appuyez sur Entrée.

      La réponse qui apparaît doit ressembler à ceci :

      221 2.0.0 Service closing transmission channel

    13. Pour fermer la session Telnet, tapez quit, puis appuyez sur Entrée.

  • Si un relais anonyme fonctionne par intermittence, vous devrez peut-être modifier la fréquence et les limitations des messages par défaut sur le connecteur de réception. Pour plus d'informations, consultez la rubrique relative à la Limitation des messages sur les connecteurs de réception.