Post on 03-Apr-2015
1
Protéger votre messagerie et redonner accès aux informations de l'entreprise à vos utilisateurs nomades
Damien Caro – Microsoft France
http://blogs.technet.com/dcaro
2
Qu’est ce que ?
• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx
• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx
• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx
• Des webcasts et e-démos accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx
• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx
3
Logistique
Pause en milieu de session
Vos questions sont les bienvenues.N’hésitez pas !
Feuille d’évaluation à remettre remplie en fin de session
Commodités
Merci d’éteindre ou de mettre en mode vibreur vos téléphones
4
Agenda• Etat des lieux sur la messagerie et la mobilité• Besoin des utilisateurs:
– Différents accès : Web Access, Windows Mobile, Outlook Anywhere
– Accès aux données de façon sécurisée
• Besoins des professionnels de l'informatique:– Filtrage et contrôle du contenu– Gestion du transport des messages– Contrôle des usages
• Conclusion et feuille de route
5
Unifier lesCommunicatio
ns
Travailler ensemble en temps
réel
ResterSynchronis
ésCapitaliser sur
les espaces d'équipes
Partager l'informatio
n
Connecter les personnes,
les processus et
l'information
Travailler depuis
tout lieu, à tout
moment
Permettre le travail en tout
lieu
Importance croissante du travail en équipe
Les nouveaux environnements de travail
Les Challenges
Simplifier le travail en équipe
6
Etat des lieux sur la messagerie• Elle est au cœur des entreprises.• C'est une source d'information et de collaboration
critique.• Les utilisateurs sont de plus en plus nomades:
– Au sein de l'entreprise– Chez les clients et partenaires
• Le besoin d'accès à ses messages est permanent.• Le flux de messagerie est grandissant.• La criticité augmente avec l'unification des
messageries :– Messagerie instantanée– Messagerie vocale
7
Besoins des utilisateurs• Pouvoir synchroniser ses messages depuis
n'importe quel réseau :– À l'hôtel, depuis l'aéroport– Sur son PC portable
• Consulter sa boite aux lettres, répondre aux messages urgents, accéder à ses données de n'importe quel emplacement
• Avoir accès aux données de l'entreprise de façon sécurisée.
8
Besoins des professionnels de l'informatique
• Pouvoir contrôler le contenu entrant et sortant:– Les messages délivrés dans les boites aux lettres
sont sain.– Aucune donnée sensible ne sort de l'entreprise.
• Pouvoir forcer le chiffrement des échanges:– Les échanges avec certains partenaires sont chiffrés.
• Etre capable de contrôler finement les modes d'accès distants.
9
Menaces et risques sur les systèmes d’informations• Les attaques virales génèrent la plus grande perte
financière pour les entreprises (étude CSI/FBI 2006).• Les systèmes d’informations des entreprises sont des
cibles classiques pour les codes malicieux et le contenu inapproprié:– Virus, contenu offensant, …
• La messagerie (asynchrone ou instantanée) est un vecteur majeur pour ces menaces.
• 55 Milliards de SPAMs sont envoyés par jour (estimation).
10
Les réponses aux besoins des utilisateurs avec Exchange 2007
11
Différents accès nomades
12
OWA – Outlook Web Access• Accès à sa messagerie depuis un navigateur.• Risques liés à Outlook Web Access:
– Session restée active, réutilisation des informations de sécurité.
– Analyse du cache à postériori, récupération de pièces jointes téléchargées ou simplement ouvertes.
– Exécution de scripts cachés dans des mails en HTML.
– Téléchargement d'images sur des liens externes.– Divulgation de l'adresse du site OWA via les "referrer
headers".
13
Réseau d'entrepriseServeur
s SMTPexterne
s
Boites aux
Lettres
Routage / Antispam
Routage et Stratégies
Boites Vocales
PBX ou
VoIP
Dossiers Publics
Fax
ApplicationsOWA
ProtocolesActiveSync, POP, IMAP, RPC / HTTP
…Programmability
Web services, Web parts
INTERNET
Messagerie Unifiée
Serveur depérimètre (Edge)
Serveur Hub de Transport
Boites auxLettres
Accès clients
Topologie de déploiement avec Exchange 2007
14
Serveur de boites aux lettres
MS- RPC
Fonctionnement de OWA
Client OWAServeur d'accès
client (CAS)
Périmètre de l’entreprise (DMZ)
ISA Server
Analyse HTTP (URL, entêtes,
contenu…) Réécriture d’URLs
Pré-Authentification sur :- Active Directory- LDAP (AD)- SecureID- Radius OTP- Radius
Délégation d’authentification
SSL SSL ou HTTP
15
Gestion des sessions OWA 2007• OWA est délivré par le serveur ayant le rôle CAS
(Client Access Server)• Accès par défaut en HTTPS avec un certificat
autosigné.• Mode d'authentification par formulaire par défaut
– Méthodes d'authentification tierces supportées (avec ISA 2006) : RSA SecurID, Radius.
– Authentifications classiques supportées nativement (NTLM, Kerberos, en clair).
• Cookie de session chiffré :– Chiffrement effectué coté serveur– Durée de vie des clefs courte : Moitié de la duré de vie
de la session utilisateur.
16
Cookie de session avec OWA 2007
Client OWA
Serveur CAS
Credentials transmis
Cookie chiffré
7,5 minutes s'écoulent
Cookie transmis
Clef 1
Clef 2
Clef 3
Cookie chiffré
Cookie transmis
Cookie chiffré
7,5 minutes s'écoulent
Clef 4
Activitéutilisateur
17
Gestion des sessions avec OWA• Activité utilisateur sur le poste de client:
– Toutes les interactions initiées par l'utilisateur sont considérées comme activité utilisateur (ex: ouvrir, envoyer, sauvegarder un élément; basculer sur une autre vue ou demander à rafraichir la vue)
– Sur "OWA Light" toutes les actions sont considérées comme activité sauf la saisie de texte
• Expiration des sessions (publique ou privée) basée sur l'activité du poste client :– 15 minutes par défaut pour un accès publique– 8 heures par défaut pour un accès privé
18
WebReady – Coté client• ! Danger ! L'ouverture d'une pièce jointe à un
mail crée une copie dans le cache du navigateur.
• Web Ready – fonctionnalité nouvelle avec Exchange 2007 :– Exchange 2007 lit les documents– Affichage sous forme de code HTML– Support des formats Office 2003 et PDF– Office 2007 supporté avec le SP1– Possibilité d'ajouter des filtres
19
WebReady – Coté client
20
Coté administrateur – Gestion des pièces jointes
• Bloquer les pièces jointes:– Interdire l'ouverture des pièces jointes– Forcer la lecture des documents via WebReady– Forcer la sauvegarde des pièces jointes
• Gestion granulaire selon le type de document (basé sur l'extension).
• Configuration différente selon le type d'accès: ordinateur public ou privé.
21
Gestion des pièces jointes
22
Gestion des pièces jointes• Accès relayé aux points
de partage internes par Exchange 2007.
• Partages SMB ou Sharepoint.
• Liste de serveurs autorisés.
• Liste de serveurs interdits.
• Comportement par défaut définissable.
23
Gestion des contenus externes• Les images sur des sites distants ne sont pas
téléchargées automatiquement:– L'utilisateur
peut valider le téléchargement.
– L'administrateur peut bloquer la fonction définitivement.
24
Gestion des contenus externes• Le code HTML est analysé et filtré par Exchange
pour éviter l'exécution de scripts (cross-site scripting) :– À l'ouverture du message– Lors de la prévisualisation du message
• Les "referrer headers" sont filtrés lors de l'accès à des sites externes– Confidentialité des adresses des sites OWA internes
et externes
25
Démonstration:
Configuration de Web Ready.Utilisation sur un ordinateur public et privé.
26
Signature et chiffrement des messages
• Composant ActiveX à installer:– Composant Exchange 2007 compatible avec le composant
Exchange 2003
• SSL est requis entre le client et le serveur CAS.• Fonctionne uniquement avec IE 7.• Apporte la compatibilité avec le standard S/MIME 3.1.• Attention à l'utilisation sur des postes libre service …
27
Signature et chiffrement des messages
• Choix lors de la composition des messages:
• Nécessite un certificat:– Chiffrement: sur carte à puce ou sur le poste de travail.– Signature: certificat public dans AD ou contacts locaux.
• Chiffrement effectué par le poste client.• Validation des signatures effectué par le serveur.
– L'administrateur contrôle les autorités de certification de confiance.
• Le WebReady ne fonctionne qu'avec les pièces jointes des messages signés non chiffrés
28
Démonstration:Signature et chiffrement des messages avec OWA 2007
29
Outlook Mobile• Accès à sa messagerie depuis un périphérique
tournant avec Windows Mobile.• Risques liés à cet usage :
– Divulgation d'information confidentielles lors de la perte du périphérique:• Mail• Contacts, Rendez-vous en cours et à venir …
– Accès aux données stockées sur la carte de stockage amovible (pièces jointes, photos …)
– Communications entre le périphérique et la boite aux lettres non sécurisées ou reposant sur un tiers
– Explosion du nombre d'appels au help desk et consommation de données non contrôlée
30
Périphériques Windows Mobile• Système d'exploitation du périphérique fournit par
Microsoft aux constructeurs.• Les constructeurs fabriquent le périphérique et adaptent
le système (drivers, fonctionnalités …).• Deux grandes catégories de périphériques :
Sans écran tactile Avec écran tactile
31
Fonctionnement d'Outlook Mobile
• Accès aux serveurs Exchange de l'entreprise à travers un canal de communication sécurisé en HTTPS.
• Aucune donnée ne transite sur des systèmes tiers.
• C'est l'utilisateur qui accède à sa boite aux lettres:– Pas de comptes système ou super utilisateur– Confidentialité des données garantie de bout en bout.
32
Serveur de boites aux lettres
MS- RPC
Fonctionnement d'Outlook Mobile
Périphérique Windows Mobile
Exchange CAS
Périmètre de l’entreprise (DMZ)
ISA Server2004/2006
Analyse HTTP (URL, entêtes,
contenu…)
SSL ou HTTP
Taille max de l’URL : 1024Max Query length : 512Bloquer les signatures./ \ .. % :
SSL
URL: mail.mycompany.com/Microsoft-Server-ActiveSync/*,Méthodes: POST, OPTIONSExtensions autorisées : .
33
Gestion des périphériques mobiles
• En cas de perte ou vol :– Périphérique mobile verrouillé par code PIN.– Effacement du contenu du périphérique
automatiquement après plusieurs tentatives (nombre définir par l'administrateur).
– Chiffrement des données enregistrées sur la carte de stockage amovible.
– Code IMEI pour bloquer l'appareil sur les réseaux.– Effacement déclenchable depuis OWA par l'utilisateur.
• En cas d'oubli :– Code de déverrouillage du mobile accessible sur
Outlook Web Access (pas d'appels au helpdesk).
34
Gestion des mobiles depuis OWA
35
Gestion des périphériques mobiles
• Stratégies d'entreprise permettant :– D'imposer le support du verrouillage par code PIN.– D'autoriser ou non le téléchargement des pièces jointes
et de limiter la taille– D'imposer la durée d'inactivité entrainant le verrouillage
de périphérique
• Choix de la stratégie définie pour chaque utilisateur.
• Accès aux partages internes ou sites sharepoint :– Pas de VPN, Exchange télécharge le document pour
l'utilisateur (similaire à WebReady pour OWA).– Sites accessibles définis par l'administrateur.
36
Gestion des pièces jointes
• Même principe que pour Outlook Web Access.
• Configuration spécifique à ActiveSync.
• Les serveurs peuvent être différents.
37
DémonstrationApplication de politique de sécurité depuis Exchange
38
Outlook Anywhere• Synchronisation de son client Outlook depuis
n'importe quel réseau:– Opération en tâche de fond.– Aucun VPN à établir, communications sur HTTPS.
• Risques liés à cet usage :– Perte de l'ordinateur portable.– Analyse des flux échangés entre le client et le
serveur.
39
Fonctionnement de Outlook Anywhere
RPC sur HTTP
Outlook 2003 ou 2007
SSL SSL
RPC sur HTTP
Serveur CAS (Accès Client)
Serveur de boites aux lettres
MS- RPC
Périmètre de l’entreprise (DMZ)
ISA Server2004 / 2006
Analyse HTTP (URL, entêtes,
contenu…)
Méthodes HTTP :• RPC_IN_DATA• RPC_OUT_DATAExtension : *.DLLSignature : ./ .. % &
40
Mise en œuvre des accès clients distants
• Serveurs d'accès client (CAS) non supportés en DMZ.• ISA 2006 ou 2004+SP3 recommandé pour la
publication.• Par défaut Exchange 2007 utilise des certificats auto-
signés:– A remplacer par des certificats émis par une autorité de
certification dans le cas d'une publication.
• Certificats publics recommandés sur les interfaces publiques:– Comportement des postes hors de l'organisation.– Evolutions en terme de sécurité avec Vista.
41
Publications pour accès distants• Protection par certificat nécessaire pour assurer la
confidentialité des échanges.• Les publications concernent :
– OWA, ActiveSync, Outlook Anywhere (anciennement RPC sur HTTPS)
– Offline Address Book, Unified Messaging, Availability Service
– Autodiscover
• Service "Autodiscover":– Configuration automatique des clients Outlook 2007 basée
sur l'adresse e-mail de l'utilisateur.– Renvoie les informations d'accès à l'OAB, Availability
Service, Unified Messaging.
42
Publications pour accès distants• Codé en dur dans le client Outlook 2007,
l'autodiscover cherche à se connecter à :– https://<smtp-address-domain> /autodiscover/autodiscover.xml
– https://autodiscover.<smtp-address-domain> /autodiscover/autodiscover.xml
• Les autres publications accèdent à:– https://mail.ma-societe.com/owa (par exemple)
• On a deux sites public publiés : – autodiscover– mail (par exemple)
• Problème avec les certificats !
43
Fonctionnement Autodiscover
44
Fonctionnement Autodiscover
45
Certificats pour accès externes• Solution 1 (recommandée par Microsoft):
Utiliser un certificat unified communications ou certificat avec SAN (Subject Alternate Name):– Un seul certificats pour de multiples sites : mail.ma-societe.com, autodiscover.ma-societe.com, www.ma-societe.com …
– Seulement quelques autorités de certification délivrent des certificats SAN.
• Liste des autorités de certifications compatibles avec Unified Communications:http://support.microsoft.com/?kbid=929395
46
Certificats pour accès externes• Solution 2 : Utiliser deux certificats publics et
deux adresses IP publiques:autodiscover.ma-societe.commail.ma-societe.com
– Attention à la disponibilité des adresses publiques
• Solution 3 : Utiliser des certificats émis par une autorité de certification interne:– Autant de certificats émis que nécessaire.– L'autorité de certification doit être reconnue par les
postes de travail.– Installation à prévoir sur les périphériques mobiles.
47
Les réponses aux besoins des professionnels de l'informatique avec Exchange 2007
48
Les besoins
• Pouvoir contrôler le contenu des messages entrant, sortant et échangés au sein de l'organisation:– Elimination des SPAM et Virus.– Les messages délivrés dans les boites aux lettres
sont sain.
• Pour appliquer des règles de conformité:– Aucune donnée sensible ne sort de l'entreprise.
• Pouvoir forcer le chiffrement des échanges:– Les échanges avec certains partenaires sont chiffrés.
49
Contrôle des flux de messages • Approche en couche sur le flux entrant :
– Filtrage avant l'arrivée au sein de l'entreprise.– Rejet à la connexion.– Analyse du protocole.– Analyse du contenu.– Analyse anti-virale.
• Approche en couche sur le flux sortant :– Analyse du contenu.– Analyse anti-virale.
• Les mécanismes les plus couteux en ressources sont effectués à la fin.
50
Deux options possibles
Serveurs SMTPsur Internet
Exchange 2007Rôle Edge Server
Lute anti-spam
ForeFront Security for Exchange
Lute anti-virus
Serveur Hub de Transport
Serveur de Boites aux lettres
OU
Serveur Edge
51
Exchange Hosted Services• Mise en œuvre par mise à jour du champ MX • Remise des messages via TLS à l'organisation finale si
possible (bascule en SMTP sinon).• Rapport de SPAMs envoyé à chaque utilisateur
• Test gratuit pendant 30 jours : https://provisioning.frontbridge.com/trial.aspx
52
Différents types de courriers
Courriers légitimes- Courriers professionnels- Courriers personnels- Courriers publicitaires sollicités
Courriers SPAM- Publicité non sollicitée- Contenus pour adulte- Phishing- SCAM
Courriers destructifs- Virus- Malware- Spyware
Niveau connexion- relais SMTP ouverts- sources connues de SPAM
Niveau protocole- expéditeurs- destinataires- "directory harvesting"
Niveau contenu- phishing- pièces jointes- publicité
53
Lutte anti-spam avec Exchange
OutlookBoite de
réception
OutlookCourrier
indésirable
Filtrage au niveau connexion
Filtrage niveau protocole
Filtrage niveau contenu
E-mail entrant
54
1 – Filtrage au niveau connexion
• Listes d’adresses IP autorisées / refusées– Filtrage prioritaire.– Listes d'adresses définies par l'administrateur.
• Support des listes publiques ou RBL : Real-time SPAM Black Lists.– Exemple de RBL :
http://www.email-policy.com/spam-black-lists.htm.– Peut-être configuré pour fonctionner derrière des relais SMTP
(les entêtes de messages doivent être acceptées).
•
55
1 – Filtrage au niveau connexion• Activation spécifique pour le Microsoft IP
Reputation Service.• Microsoft IP Reputation Service
– Réputation des émetteurs construite à partir des données d’Hotmail.
– Distribué via des packages Microsoft Updates.
56
DémonstrationFiltrage au niveau connexion
57
2 – Filtrage au niveau protocole
• Filtrage des expéditeurs :– Filtrage de messages basé sur l’expéditeur ou le domaine SMTP– Filtrage de messages SANS expéditeur
• Filtrage de destinataires – Filtrage des messages adressés à un destinataire particulier– Coupure de la connexion après remise de 20 messages non
résolus
• EdgeSync maintient la liste des destinataires possibles sur le serveur en périmètre (rôle Edge d'Exchange 2007)
58
2 – Filtrage au niveau protocole : Sender ID• Vérification de la légitimité du du serveur émetteur du
message.• Compare le serveur émetteur du message avec le domaine
SMTP de son émetteur.• Lutte contre le spoofing ou usurpation d'identité• Plus d'information sur www.microsoft.com/senderid
59
Démonstration:Filtrage au niveau protocole
60
3 – Filtrage au niveau du contenu
• Si l'un des 5 points suivant est vrai, le message est directement analysé par l'anti-virus :– Adresse IP de l'émetteur dans la liste des IP autorisées au niveau
connexion.– Tous les destinataires sont dans la liste des exceptions pour le filtrage
de contenu.– Tous destinataires ont le paramètre AntiSpamBypassEnabled d'activé.– Tous les destinataires ont cet émetteur dans leur liste blanche (qui a
été mise à jour sur le serveur Edge).– L'émetteur est un partenaire de confiance et est dans la liste des
émetteur non filtrés.
• Dans les autres cas, on analyse le contenu du message.
61
3 – Fonctionnement des listes blanches• Les émetteurs autorisés
sont stockés dans la boite de l'utilisateur.
• Un hash est généré par émetteur autorisé et stocké dans Active Directory.
• C'est le hash qui est comparé lors de l'analyse de protocole:– Confidentialité préservée : l'émetteur n'est pas diffusé
même en cas de compromission du serveur Edge.– Taille minimale réduisant l'impact sur AD: un hash de
200 entrées "pèse" 800 octets.
62
3 – Analyse de contenu: IMF• IMF : Intelligent Message Filtering v3.0• Définit la probabilité que le message soit un
SPAM : Niveau de SCL (Spam Confidence Level)• Niveau de SCL entre 0 et 9:
– Basé sur les caractéristiques du message.– Utilise la technologie "SmartScreen" développée par
Microsoft Research.– Apprentissage effectué sur les bases de Hotmail.
• Mise à jour par Microsoft Update.
63
3 – Analyse de contenu: IMF• L'administrateur peut ajouter des mots autorisés ou
interdits.• En fonction du niveau de SCL, plusieurs actions:
– Suppression du messages.– Rejet du message.– Mise en quarantaine dans une boite aux lettres spécifique.
64
Démonstration:Analyse de contenu
65
Mise en quarantaine• Nouveauté d'Exchange 2007.• Remise dans une boite aux lettres Exchange 2007
spécifique:– Recommandation : créer une base dédiée à cet effet.
• Messages en quarantaine avec Edge Serveur:– Stockés sous forme d'avis de non remise.– Simplification pour la réémission du message.– Gestion effectuée par les administrateurs ou personnes
déléguées.
• Messages en quarantaine avec Exchange Hosted Services– Directement depuis une interface Web avec Exchange
Hosted Services.
66
Gestion des SPAMs coté client• Quarantaine "légère" – remise dans le dossier
courrier indésirable:– Pour Outlook– Pour Outlook Web Access 2007
• Niveau de SCL:– Configurable au niveau de l'organisation Exchange– Configurable au niveau de chaque boite aux lettres
pour les exceptions– Activation pour OWA
• Activation et configuration uniquement par Powershell.
67
3 – Analyse de contenu : Pièces jointes• Filtrage définit par l'administrateur.• Identification par :
– Type MIME.– Nom de la pièce jointe.– Extension du fichier.
• Actions possibles:– Avis de non remise.– Suppression du message.– Suppression de la pièce jointe.
• Reste l'analyse anti-virale !
68
Evolution des fonctionnalités Anti-SpamAnti-spam
FeatureExchange 2003 RTM
Exchange 2003 SP1
Exchange 2003 SP2
Exchange 2007RTM
IP Allow / Deny Lists Yes Yes Yes Yes
IP DNS Block / Allow Lists Yes Yes Yes Yes (Add Allow)
Recipient Filtering Yes Yes Yes Yes
Sender Filtering Yes Yes Yes Yes
Content Filtering (Smartscreen) Yes Yes Yes
Content Filter Updates (Smartcreen) Bi-weekly Daily+
Sender ID Check Yes Yes
IP Safe Lists (Bonded Sender) Yes
Computational Puzzle Validation Yes
Protocol Analysis-Data Gathering Yes
Protocol Analysis-Sender Reputation Yes
Open Proxy Block Yes
Enterprise Spam Data Update Service Yes
Per User/OU Spam Settings Yes
Admin Quarantine Yes
69
Niveau de protection Anti-SpamType de CALs Exchange 2007
CAL Standard CAL Standard CAL Entreprise
ForeFront (AntiVirus)
Licenses ForeFront
ForeFront installé ou non
Niveau de protection
Standard Donne le droit au niveau Premium
Premium
• Définition des niveaux :
Type de mise à jour Standard Premium
Filtre de contenu Toutes les 2 semaines Tous les jours
Signatures des SPAMs n/a Plusieurs fois par jour
Listes de répudiations d'IP
n/a Plusieurs fois par jour
70
Transport et analyse anti-virale• Etiquette sécurisée écrite dans l'entête du
message lors de la première analyse anti-virale (Serveur Edge ou Hub de Transport).
• Vérification de l'étiquette à chaque analyse: banque d'information ou transport.– Si étiquette présente : pas d'analyse.– Si pas d'étiquette ou étiquette non valable : analyse
effectuée.
• L'étiquette suit le message lors la remise dans la boite aux lettres.
71
Serveur Edge
INTERNET
Serveur HubTransport
Serveur de Boites aux lettres
Serveur de
Boites aux lettres
Dossiers
publics
Client
SCAN &ETIQUETTE
PAS de SCAN
PAS de SCAN
• Mail analysé une seule fois sur le serveur avec le rôle edge.
• Economie de ressources sur les serveurs hub de transport et boites aux lettres.
Messages entrants
72
Serveur Edge
INTERNET
Serveur HubTransport
Serveur deBoites aux lettres
Serveur deBoites aux lettres
Dossiers Publics
Client
SCAN et ETIQUETTE
PAS de SCAN
PAS de SCAN
• L'analyse pro-active au niveau du serveur de boites aux lettres est désactivée par défaut.
• L'analyse se passe sur le serveur hub de transport.
• Economie de charge sur les serveurs edge et boites aux lettres.
Messages sortants
73
Serveur Edge
INTERNET
Serveur HubTransport
Serveur de Boites aux lettres
Serveur de Boites aux lettres
Dossiers Publics
Client
SCAN & ETIQUETTE
PAS de SCAN PAS de SCAN
• Tous les messages interne passent pas le serveur hub de transport
• Analyse pro-active sur le serveur de boites aux lettres est désactivé par défaut
• Economie de charge sur le serveur de boites aux lettres
PAS de SCAN
Messages internes
74
Contrôle du contenu des messages• Règles de transport :
– stockées dans Active Directory (ADAM pour les serveurs Edge)
– S'appliquent à tous les messages transmis au sein de l'organisation
• Peuvent être déclenchées sur mots clefs, expéditeur, destinataire …
• Actions multiples: classification, suppression …• Gestion des exceptions
Condition -> Action -> Exception
75
Démonstration:Règle de Transport
76
Chiffrement des échanges• Plus de 80% des utilisateurs de la messagerie
ne chiffrent pas leurs messages:– Espionnage, divulgation d'information …
• Il est impossible de forcer les utilisateurs à chiffrer tous les échanges.
• Echanges de certificats au préalable.• Impacts sur la mobilité :
– Outlook Mobile : Il faut télécharger le message en entier.
– Outlook Web Acces : Il faut le composant S/MIME
77
Chiffrement des échanges• Exchange 2007 permet de chiffrer de tous les
échanges avec un tiers: "Domain Security"• Chiffrement au niveau du transport SMTP:
TLS – Transport Layer Security• Authentification mutuelle des deux parties:
mTLS – mutual Transport Layer Security• L'émetteur authentifie le receveur.• Le receveur authentifier l'émetteur.• La plupart des systèmes de messagerie connus
sur le marché (Lotus Notes, Sendmail, …) supportent mTLS.
78
Mise en œuvre de mTLS• Pré-requis:
– Serveur de transport (hub ou edge) en émission directe (pas de relais SMTP). Rôle Edge fortement recommandé mais non nécessaire.
– Une PKI mise en place avec liste de révocation accessible depuis Internet.
• Pas à pas pour une mise en œuvre détaillée dans ce livre blanc:
http://technet.microsoft.com/en-us/library/bb266978.aspx
79
Mise en œuvre de mTLS
Serveur mailémetteur
Serveur mailrécepteur
EHLOedge.mycompany.com ESMTP …
ENHANCEDSTATUSCODES…STARTTLS
CertificateRevocation Listdomaine:constoso.com
CertificateRevocation Listdomaine:masociete.com
Emission du certificatde l'émetteur
Validation du certificat de l'émetteur auprès de la CRL
Sending certificate
80
Mise en œuvre de mTLS
Serveur mailEmetteur
Serveur mailRécepteur
MAIL FROM:RCPT TO:
ENHANCEDSTATUSCODES…DELIVERYBY
CertificateRevocation Listdomaine:constoso.com
CertificateRevocation Listdomaine:masociete.com
Emission du certificatémetteur
Validation du certificat du récepteur auprès de la CRL
DATA:
Canal de communication sécurisé
81
Expérience utilisateur
82
DémonstrationMise en œuvre de mTLS
83
En résumé• Des accès clients multiples ayant intégré les
enjeux de la mobilité aujourd'hui:– Accès OWA, ActiveSync, Outlook Anywhere– Réduction des besoin de VPNs
• Approche "Software + Services" avec Exchange Hosted Services
• Assainissement du flux de messages reçu et émis avec :– Approche Anti-SPAM en couche– Gestion Anti-Virus intelligente– Règles de transport
• Chiffrement des échanges avec les partenaires
84
Feuille de route
Serveurs
Clients & Mobilité
Services
Aujourd’hui Fin 2007 – 2008
Service Pack 1
6.0
2007 6.1
85
Les liens et ressources utiles• Sites Technet:
FR: http://technet.microsoft.com/fr-fr
US: http://technet.microsoft.com/en-us
• Blogs
http://blogs.technet.com/dcaro (FR)
http://blogs.technet.com/uc (US)
• Site produit (FR)
http://www.microsoft.com/france/exchange
86
Questions / Réponses
87
Microsoft France18, avenue du Québec
91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 829
msfrance@microsoft.com
88
ANNEXES
89
Modèle de License Exchange 2007
Enterprise Edition Server
Standard Edition Server
Exchange Standard CAL
Exchange Enterprise CAL
Note: Customers can purchase either CAL with either Server Edition
Serveurs
CALs
5 bases de donnéesRéplication des logsPas de limite de stockage logicielle
50 bases de donnéesRéplication des logsMise en clusterStd vers Ent sans réinstallation
Unified MessagingGranular JournalingManaged Custom FoldersAV/AS (Services offering)Exchange Hosted FilteringForefront Security for
Exchange Server 2007