Résoudre les problèmes de chiffrement de la couche de transport
La fonctionnalité Exchange Server Domain Security utilise le protocole TLS (Transport Layer Security) avec une authentification mutuelle, également appelée TLS mutuelle, pour fournir une authentification et un chiffrement basés sur une session. Vous pouvez configurer Exchange Server pour utiliser TLS afin d’assurer la sécurité de la messagerie SMTP. En exigeant le protocole TLS pour tous les e-mails SMTP envoyés entre votre organisation et d’autres organisations spécifiées, vous pouvez activer un niveau de sécurité élevé pour les e-mails SMTP.
Sécuriser un connecteur pour une organisation partenaire
Une organisation doit configurer un protocole TLS mutuel pour sécuriser un connecteur au sein d’une organisation partenaire. Dans cette configuration, chaque serveur de boîtes aux lettres doit vérifier l’identité de l’autre serveur en validant le certificat fourni par l’autre serveur de boîtes aux lettres. Cette conception est un moyen simple pour les administrateurs de gérer les chemins de messages sécurisés entre les domaines sur Internet. Il garantit également que toutes les connexions entre les organisations partenaires sont authentifiées et que tous les messages sont chiffrés pendant le transit sur Internet.
Avec le protocole TLS mutuel, chaque serveur vérifie la connexion avec l’autre serveur en validant un certificat fourni par l’autre serveur. La sécurisation d’un connecteur au sein d’une organisation partenaire fonctionne de la même manière qu’elle établit une connexion TLS à un connecteur de réception SMTP. Toutefois, étant donné que vous utilisez un protocole TLS mutuelle, l’expéditeur et le destinataire s’authentifient mutuellement avant d’envoyer des données. Le message prend l’itinéraire suivant d’une organisation à l’autre :
- Le composant de transport sur le serveur de boîtes aux lettres de l’expéditeur démarre une session TLS mutuelle avec le composant de transport sur le serveur de boîtes aux lettres cible en échangeant et en vérifiant les certificats du serveur de boîtes aux lettres cible. La session est établie uniquement lorsque le connecteur SMTP d’envoi et de réception peut identifier le domaine d’envoi.
Set-TransportConfig -TLSSendDomainSecureList "domain name"
Set-TransportConfig -TLSReceiveDomainSecureList "domain name"
- La communication SMTP est chiffrée et transférée au serveur de boîtes aux lettres cible.
- Le message est marqué comme sécurisé, lequel s’affiche dans Outlook 2010 ou versions ultérieures, et dans Outlook sur le web.
Pour sécuriser un connecteur au sein d’une organisation partenaire, vous devez effectuer les étapes suivantes :
- Sur le serveur de boîtes aux lettres, générez une demande de certificat pour un certificat TLS. Vous pouvez demander le certificat auprès d’une autorité de certification interne privée ou d’une autorité de certification commerciale. Le serveur SMTP de l’organisation partenaire doit approuver le certificat. Lorsque vous demandez le certificat, assurez-vous que la demande de certificat inclut le nom de domaine de tous les domaines SMTP internes de votre organisation.
- Importez et activez le certificat sur le serveur de boîtes aux lettres. Après avoir demandé le certificat, vous devez importer le certificat sur le serveur de boîtes aux lettres, puis activer le certificat pour qu'il soit utilisé par les connecteurs SMTP qui sont utilisés pour envoyer et recevoir des e-mails sécurisés par le domaine.
- Configurez la sécurité du connecteur sortant. Pour configurer la sécurité du connecteur sortant, utilisez les commandes Exchange Management Shell pour spécifier les domaines auxquels vous allez envoyer des e-mails sécurisés par domaine, puis configurez le connecteur d’envoi SMTP pour utiliser le courrier sécurisé par domaine.
- Configurez la sécurité du connecteur entrant. Pour configurer la sécurité du connecteur entrant, utilisez les commandes Exchange Management Shell pour spécifier les domaines à partir desquels vous recevrez des e-mails sécurisés par domaine, puis configurez le connecteur de réception SMTP pour utiliser la messagerie sécurisée par domaine.
- Informez votre partenaire de la configuration de la sécurité du connecteur. La sécurité du connecteur doit être configurée des deux côtés : envoi et réception. Contactez l’administrateur de votre partenaire pour configurer votre domaine pour la sécurité du connecteur.
- Tester le flux de messages. Pour vérifier que la sécurité du domaine fonctionne correctement, envoyez un message au partenaire, puis demandez à votre partenaire de vous envoyer un message.
Les étapes de dépannage pour la configuration de Domain Security avec TLS sont les suivantes :
- Vérifiez si le nom des serveurs est correctement configuré dans les paramètres Domain Security pour correspondre au nom commun dans le certificat utilisé pour TLS.
- Vérifiez si le certificat émis pour les serveurs de boîtes aux lettres dans la configuration Domain Security est fiable. Il est recommandé d'utiliser une autorité de certification commerciale pour Domain Security, l'autorité de certification commerciale étant sélectionnée dans la liste des partenaires de certification de Microsoft Unified Communications.
- Vérifiez si le pare-feu de votre organisation partenaire ne bloque pas les connexions à partir des serveurs de boîtes aux lettres de votre organisation.
- Vérifiez si votre entreprise partenaire utilise les versions prises en charge d’Exchange et de TLS.
- Passez en revue les journaux de protocole d’envoi et de réception des événements STARTTLS marqués comme ayant réussi.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante. Sélectionnez ensuite Vérifier vos réponses.