Server de Messagerie

Sujet
Université Cheick Anta Diop

Dakar, Sénégal
NZEUMENI NOUKAP EDDY

NZEUMENI NOUKAP EDDY
ETUDE ET MISE EN SERVICE D’UN SERVER DE MESSAGERIE
Table des matières

INTRODUCTION ....................................................................................................................................... 2
I- PREREQUIS ...................................................................................................................................... 3
II- ARCHITECTURE ET LE PLAN D’ADRESSAGE DE NOTRE DEPLOIEMENT .......................................... 7
III- INSTALLATION ............................................................................................................................. 8
IV- PARAMETRAGE POUR L’ENVOIE DES MAILS DANS DES BOITES AUX LETTRES DES
DESTINATAIRES ..................................................................................................................................... 21
1- Gérer exchange 2016 ................................................................................................................ 21
a) Présentation de l’interface d’administration ...................................................................... 21
b) Gérer la base de données ..................................................................................................... 22
c) Manipuler la Base de données ............................................................................................. 24
i) Création d’une base de données ...................................................................................... 24
ii) Configuration de la base de données ............................................................................... 25
iii) Supprimer une DB ............................................................................................................. 27
2- Les types de destinataires ........................................................................................................ 27
a) La boite aux lettres utilisateur ............................................................................................. 28
V- ARCHITECTURE POUR UN ENVOI DE MAIL VERS LE MONDE....................................................... 39
1- Connecteurs d’envoi ................................................................................................................. 39
2- Connecteurs de réception ........................................................................................................ 39
3- Configuration domaine public .................................................................................................. 40
4- Configuration des protocoles POP3/IMAP4 ............................................................................ 40
VI- SECURISER NOTRE SYSTEME DE MESSAGERIE EXCHANGE 2016 ............................................. 42
1- Protection contre la perte des données (DLP) ......................................................................... 43
i) Fonctionnement de DLP ....................................................................................................... 43
ii) Création de stratégies DLP basées sur des modelés ........................................................... 43
2- Filtrage anti Spam ..................................................................................................................... 44
3- Protection contre les logiciels malveillants ............................................................................. 50
4- Chiffrement et signature des messages (TLS/SSL/Certificat) .................................................. 52
a) Fonctionnement du s/MIME ................................................................................................ 53
i- C’est quoi signer numériquement un message électronique ? ....................................... 53
ii- C’est quoi chiffré un message électronique ? .................................................................. 55
5- Solution de haute disponibilité (DAG) ..................................................................................... 56
CONCLUSION ......................................................................................................................................... 57
NZEUMENI NOUKAP EDDY 1

INTRODUCTION
La messagerie mail server est devenu un élément indispensable tant pour les
particuliers que les professionnels. Une messagerie électronique professionnelle
est avant tout un outil pour communiquer en interne comme en externe.
Un serveur de messagerie: électronique est un logiciel serveur de courrier
électronique. Il a pour vocation de transférer les messages électroniques d'un
serveur à un autre. Dans cette étude nous allons parler du serveur de messagerie
Microsoft qui est Exchange.
Microsoft Exchange Server est un logiciel de groupe de travail pour serveur de
messagerie, mais aussi pour la gestion d'agenda, de contacts et de tâches, qui
assure le stockage des informations et permet des accès à partir de clients mobiles
(Outlook Mobile Access, Exchange Active Server Sync) et de clients web
(navigateurs tels que Internet Explorer, Mozilla Firefox, Safari).
A la fin de cette étude vous sauriez comment installer et configurer MS Exchange
au sein de notre entreprise, en passant par les points suivant :
- Prérequis : tous les composants nécessaires pour une installation sans soucis
- L’architecture et le plan d’adressage de notre déploiement.
- Ensuite nous vous présenterons étapes par étapes avec des captures d’écran
le processus d’installation.
- Puis dans le même lancer nous paramétrons Exchange après l’installation.
- Sans nous arrêtés là nous donnerons une architecture complet pour l’envoie
des mails vers le monde extérieur.
- Et enfin nous décrirons l’ensemble des étapes pour sécuriser une plateforme
de messagerie exchange.
Sans plus tarder nous allons voir l’ensemble des composants nécessaires pour une
installation sans soucis de MS Exchange.

I- PREREQUIS
Avant de commencer l’installation de notre serveur de messagerie nous devons
avoir une machine capable de recevoir notre server. En effet les machines de
caractéristique pentium 1 avec 128Mo de RAM  ne peuvent pas recevoir un tel
serveur. Notre déploiement se fera à l’aide de trois (03) machines avec les
caractéristiques minimales suivantes :
NO NOM MACHINE CARACTERISTIQUES REMARQUES
1. DC-01 OS : Windows server 2012 R2
Processeur: - Intel x64
- AMD64
Cœur : 2
RAM : 2Go
DD: 40Go
2. EXCH-01 OS : Windows server 2012 R2 Les processeurs Intel
Processeur: - Intel x64 Itanium IA64 ne sont
pas pris en charge.
- AMD64
Cœur : 2
RAM : 8Go
DD: 60Go
SERVER: Exchange 2016 version
CU11
3. Win 10 OS : Windows 10 professionnel
Poste client : Outlook
Processeur: - Intel x64
- AMD64
Cœur : 2
RAM : 2Go
DD: 40Go
Comme on peut le voir nous avons 3 machines qui sont :

- DC-01 : notre contrôleur de domaine, qui se trouve dans la foret : exchange.ed
(libre à vous de donner le nom que vous souhaitez a votre foret).
Compte tenu que le précédent devoir était sur les contrôleurs de domaine,
nous n’allons pas montrer la création celui-ci. C’est pour cela que nous l’avons
mis dans les prérequis à savoir faire.
Ensuite il faut faire une mise à jour du système (Windows update), pour
récupérer tous les dernières fonctionnalités à jour tel que le .Net Framework 4.7
Pour faire cette mise à jour il faut :

Cliquer sur démarrer puis dans la barre de recherche entrer : Windows

update.
Une fois la fenêtre de Windows update lancer, activer la mise à jour

automatique et lancer la rechercher des mises à jour.

Apres la recherche de mises à jour on peut observer que le .Net

Framework 4.8 fait partir de cette mise à jour. Ensuite nous pouvons
cliqués sur installer.

- EXCH-01 : sera la machine dans laquelle nous installerons notre serveur de

messagerie. il se trouvera dans la même foret que notre contrôleur de Domain.
Apres avoir installé notre système nous devons nous rassurer que ce dernier est
bien à jour sur les dernières mises à jour des fonctionnalités. Il suffit de procéder
comme décrit plus haut.
Une fois la mise à jour terminée nous pouvons maintenant les composants
Windows requis.
Pour cela il faut ouvrir le PowerShell et entrer la commande suivantef :
Install-WindowsFeature AS-HTTP-Activation, Server-Media-Foundation, NET-Framework-45-Features,

RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-
Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth,
Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging,
Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console,
Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor,
Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-
Identity-Foundation, RSAT-ADDS
A la fin de l’exécution nous devons installer les logiciels suivant dans l’ordre
(ctrl+ click pour suivre le lien) :
Visual C++ Redistributable Package pour Visual Studio 2012
Visual C++ Redistributable Package pour Visual Studio 2013.
Microsoft Unified Communications Managed API 4.0, Core Runtime (64 bits)
- Win 10 : qui sera notre poste client.

Apres cela il nous faut télécharger l’iso de MS exchange 2016 sur ce lient
https://www.microsoft.com/fr-fr/download/confirmation.aspx?id=57388 . Nous
sommes donc maintenant prêts pour l’installation

II- ARCHITECTURE ET LE PLAN D’ADRESSAGE DE NOTRE

DEPLOIEMENT
Comme nous l’avons dit plus haut nous avons notre entreprise avec un domaine
nommé : EXCHANGE.ED.
Les cartes réseau de nos machines sont de type NAT.
Dans ce réseau nous avons un contrôleur de domaine qui possède les rôles ADDS
(Active Directory Domaine Service), IIS (Internet Information Services) est un rôle qui
permet d'obtenir un serveur web et un site web et le DNS. Notre serveur exchange
2016 tourne sur le système Windows server 2012 R2 standard. Il aura comme DNS
l’adresse IP de notre contrôleur de domaine (192.168.5.1) et à l’intérieur on va installer
le rôle Mailbox qui est notre serveur de mail.
Le client sera la simulation d’un poste utilisateur qui a le logiciel Ms Outlook 2016. Nous
également attribuer l’adresse IP 192.168.5.3 pour pouvoir communiquer avec notre
domaine contrôleur. Donc nos deux machines (exch-01 et Win 10) sont jointes au
domaine contrôleur sur le domaine EXCHANGE.ED
Dans notre étude nous préparerons ces machines ainsi que ce plan d’adressage dans
des machines virtuelles VMware Workstation 12.x.

III- INSTALLATION
Etape 1 : L’installation commence par l’insertion de notre image Ms exchange 2016
cu11 dans le lecteur de notre machine EXCH-01. Ensuite nous lançons le CD en double
cliquant dessus.
Etape 2 : une fenêtre servant de vérification des mises à jour se lance. Nous
demandant si nous souhaitons vérifier s’il existe de nouvelle mise à jour. Dans notre
cas nous allons choisir ne pas vérifier les mises à jour maintenant et ensuite cliquer
sur suivant.

Ensuite le programme doit copier les fichiers nécessaires à l’installation d’Exchange.
A la fin de la copie des fichiers le processus d’installation proprement dit peut

commencer.

Etape 3 : dans la fenêtre d’introduction on clique sur suivant
Etape 4 : après avoir lu le contrat de licence, on accepte les termes de ce contrat et

on clique sur suivant.

Etape 5 : Dans la fenêtre de paramètre recommande, exchange server nous propose

de chercher automatiquement les solutions en ligne en cas d’erreur. Ou bien nous
pouvons configurer manuellement une fois l’installation terminée. Dans notre cas
nous allons utiliser les paramètres recommander et cliquer sur suivant.

Etape 6 : dans cette étape nous allons sélectionner le rôle que nous souhaitons
installer. Pour cela nous allons cocher la case Rôle de boite aux lettres et aussi
installer automatiquement les rôles et les fonctionnalités Windows server requis
pour Exchange server. Une fois fait nous allons cliquer sur suivant.

Etape 7 : dans l’emplacement d’installation nous allons laisser l’emplacement par

défaut proposer par le programme d’installation et cliquer sur suivant.

Etape 8 : Nous allons spécifier le nom de notre organisation, dans notre cas sa sera
eddyCorp, et cliquer sur suivant.

Etape 9 : dans les paramètres de protection anti programme malveillant, nous allons
laisser les paramètres par défaut et cliquer sur suivant

Etape 10 : à cette étape le programme va tester si toutes les configurations requises

ont bien été installé.

NOTE IMPORTANTE : Si des erreurs surviennent lors de l’analyse des conditions

préalables. Pas de panique cela signifie simplement que nous n’avons pas bien remplir
les conditions requis. Par exemple si vous voyez cette fenêtre contenant des messages
erreur.
Pour corriger cela il suffit de cliquer sur l’url indiqué dans le message d’erreur pour
télécharger le programme manquant.

Une fois télécharger nous allons l’installer après l’installation nous revenons sur notre
fenêtre d’installation de exchange et on clique sur réessayer.
Lorsque tout est en ordre sans erreur nous pouvons maintenant cliquer sur installer.
Et le programme d’installation démarre.

Etape 11 : une fois l’installation terminer. Nous allons cliquer sur terminer.
Maintenant nous allons vérifier que Ms exchange s’est installé avec succès. Pour cela
nous allons nous rendre sur notre navigateur (Mozilla, ou ce que vous souhaitez), dans
la barre d’url nous entrons : https://localhost/ecp

On peut constater que exchange a été installer avec succès.

IV- PARAMETRAGE POUR L’ENVOIE DES MAILS DANS DES

BOITES AUX LETTRES DES DESTINATAIRES
1- Gérer exchange 2016

Apres l’installation d’exchange on se connecte au centre d’administration exchange
comme dit plus haut. L’url entré dans le navigateur est interne il est aussi possible
d’avoir une url externe.
a) Présentation de l’interface d’administration
Dans le volet de gauche nous avons l’ensemble de fonctionnalité de gestion telle que :
destinataires, autorisations, gestion de la conformité, organisation protection, flux
de messagerie, mobile dossier publics, messagerie unifier serveurs, hybride et outils.
Dans chaque onglet nous pouvons ainsi retrouver un sous menu, qui sont les
différentes options que nous pouvons faire dans un onglet. Juste en bas se trouve les
informations des sous menu. Nous avons aussi une barre d’outils qui nous permet
d’interagir sur ces informations. On peut ainsi : ajouter, modifier, actualiser, éditer ou
supprimer une information.
En plus de cela, lorsqu’on sélectionne une information nous avons sur le volet de droit
l’ensemble des actions que nous pouvons faire sur l’élément qui a été sélectionné.

La seconde manière d’administrer exchange consiste à utiliser Exchange Management

Shell.
Il faut noter qu’il n’a rien avoir avec le power Shell, c’est vrai qu’il est aussi possible
d’insérer des commande dans le power Shell mais dans le management Shell il des
modules qui plus poussé et qui nous permet d’administrer exchange.
Chaque action effectuée en interface graphique correspond à un script Shell. Les scripts
Shell sont généralement de la forme : verbe-nom. Par on a la commande get-mailbox
qui nous affiche nos boite aux lettres, ou Get-MailBoxDataBase qui nous affiche notre
base de donnée exchange avec des informations supplémentaires comme le serveur a
auquel la base de donnée est rattaché.
b) Gérer la base de données

Nous allons essayer le comprendre le système de base de donnée exchange serveur
2016. Il utilise un système ESE (Extensible Storage Engine) aussi appelé Jet Blue est un
moteur de base de donnée créé par Microsoft en 1996. Il s'agit d'une bibliothèque
logicielle qui manipule des bases de données selon la méthode séquentielle indexé
(encore appelé ISAM est une manière d'organiser le contenu des fichiers de données
qui permet un accès séquentiel et un accès direct aux enregistrements).

Lorsqu’on déploie un exchange server par défaut une base de données mailbox
database est créée. Pour le voir on se rend dans l’onglet serveur, puis dans le sous
menu bases de données.
Toutes les bases de données créées dans exchange sont stocké dans notre machine
dans le répertoire mailbox database.
La base de données est composée de plusieurs fichiers

IMPORTANT : toutes les transactions effectuées dans la base de données exchange ne

sont pas directement dans la BD. Elles passent d’abord par un fichier journal de
transaction
C’est-à-dire quand nous recevrons un email il est d’abord enregistrer dans ce journal
de transaction avant d’être écrit dans la base de données.
c) Manipuler la Base de données
i) Création d’une base de données
Il existe plusieurs raison qui peuvent nous poussés à créer une base de données,
nous pouvons ainsi citer :
- Repartir les BD en fonction des services : on pourrait avoir une DB direction,
dans laquelle nous mettrons tous les mails de la direction.
- Repartir la DB de manière géographique : si notre entreprise est multi site on
pourrait repartir les mails en fonction des sites des utilisateurs.
Pour créer une BD il suffit de se rendre dans l’onglet serveurs puis dans le sous
menu bases de données, ensuite il faut cliquer sur l’icône + dans la nouvelle fenêtre
qui s’ouvre on remplit les informations demandées puis on clique sur enregistrer.

Apres avoir cliqué, un warning apparait nous demander de redémarrer le service

Ms Exchange information.
Pour faire cela nous ouvrons la fenêtre exécuter (win + r), dans cette fenêtre dans
entrons la commande services.msc pour accéder à l’ensemble des services de
Windows.
Puis sélectionnez le service Microsoft Exchange store ensuite redémarrer

ii) Configuration de la base de données
Pour configurer une base de données il suffit de faire un double clic sur la base de
données. Dans la fenêtre qui s’ouvre on a des options de configuration telle que : la
maintenance, les limites, et les paramètres du client. Dans la maintenance nous
pouvons ainsi planifier les jours de maintenance de la DB et on clique sur enregistrer.

Pour modifier les limites, il faut faire un clic sur le menu limites. Description des
champs
- Emettre un avertissement a (Go) : ici on spécifier la taille de la boite aux lettres
des utilisations. Lorsque la taille est atteinte un avertissement est émis.
- Interdire l’envoi a (Go) : interdit l’envoi des mails lorsque la taille a atteint la
limite inscrit.
- Interdire l’envoi et la réception a (Go)

iii) Supprimer une DB

Pour supprimer une DB il suffit de sélectionner la DB et cliquer sur l’icône supprimé
2- Les types de destinataires
Exchange 2016 inclut plusieurs types de destinataire explicites. Chaque type de

destinataire est identifié dans le centre d’administration Exchange et a une valeur
unique dans la propriété RecipientTypeDetails de l’environnement de commande
Exchange Management Shell. L'utilisation de types de destinataire explicites offre les
avantages suivants :
 D'un coup d'œil, vous pouvez différencier les différents types de destinataire.
 Vous pouvez rechercher et trier selon chaque type de destinataire.
 La réalisation d’opérations de gestion globale pour des types de destinataire
sélectionnés est facilitée.

Nous allons implémenter ici quelque type de destinataire exchange 2016 pour l’envoi
de nos mails. Il est à noter que tout ce que nous faisons avec l’interface graphique nous
pouvons aussi le faire en console et bien plus encore.
a) La boite aux lettres utilisateur
Boîte aux lettres affectée à un utilisateur individuel dans votre organisation

Exchange. Elle contient généralement des messages, des éléments de
calendrier, des contacts, des tâches, des documents et d'autres données
professionnelles importantes.
Ici nous avons un compte utilisateur AD (Active directory) qui va servir à

l’utilisateur de se connecter. Et avec ce compte AD nous allons tout simplement
lui affecté une boite aux lettre exchange. Donc un compte AD est forcément
relier à une boite aux lettres, si quelqu’un souhaite avoir une boite aux lettres il
doit d’abord avoir un compte AD.
IMPLEMENTATION
Pour créer une boite aux lettres avec un compte utilisateur on procède de la
manière suivante.
On clique sur l’icône + puis dans le menu déroulé on choisit boite aux lettres
utilisateur

Dans ma fenêtre qui s’ouvre nous allons renseigner les informations ensuite
cliquer sur enregistrer
Notre nouvel utilisateur a bien été ajouté.

On peut constater si nous allons dans notre AD que l’utilisateur a été ajouté avec
succès.

Et inversement il est aussi possible de créer un utilisateur dans l’AD et ensuite

lui attribuer une adresse de messagerie.

Ensuite nous revenons sur notre console d’administration Exchange, toujours le

l’icône + on choisit boite aux lettre utilisateur. Dans le formulaire nous allons
choisir utilisateur existant. Dans la fenêtre qui s’ouvre on peut voir notre
utilisateur que nous venons de créer
On sélectionne l’utilisateur puis on clique sur OK.

Ensuite on clique sur plus d’option puis on sélectionne la base de donnée par
default de exchange puis on clique sur OK.
Nous pouvons donc constater que notre utilisateur a été ajouté avec succès !!!
VERIFICATION DE L’ENVOIE DES MAILS
Maintenant nous allons tester que les deux utilisateurs peuvent effectivement
s’échanger de mail.
On se connecte avec le dernier utilisateur créé.

Nous pouvons donc effectivement observer que l’utilisateur a effectivement

accès à sa boite de messagerie.
Maintenant notre utilisateur Noukap@exchange.ed va envoyer un mail à

Bruce@exchange.ed

On peut ensuite constater que le mail a effectivement été reçu avec succès

b) Le contact de messagerie
Dans l’AD nous pouvons créer des fiches de contact. Dans laquelle nous pouvons
insérer des informations concernant une personne telle que : le nom, le
prénom, adresse externe etc… .Cette fiche sera disponible dans exchange.
Lorsqu’un utilisateur va cliquer sur A (envoyer un mail a quelqu’un) ils vont avoir
la liste des boites aux lettres relié à un compte AD mais également la liste des
contacts a extension de messagerie. Lorsqu’on envoie un mail a ce contact, il
passe a travers internet jusqu’au serveur de messagerie de la personne.
c) Groupe de distribution
Un groupe de distribution est

un objet de groupe de
distribution Active Directory à
extension messagerie qui ne
peut être utilisé que pour
distribuer des messages à un
groupe de destinataires.
Pour tout savoir sur l’ensemble des types de destination exchange 2016 vous pouvez
vous rendre à l’adresse (ctrl+ click pour suivre le lien) : https://docs.microsoft.com/fr-
fr/exchange/recipients/recipients?view=exchserver-2019
Nous allons implémenter quelque type de destinataire pour l’envoie de nos mail.
IMPLEMENTATION GROUPE DE DIFFUSION
Pour créer un groupe de diffusion nous allons nous rendre dans la rubrique groupes.
Ensuite sur l’icône + et dans le menu déroulant on clique sur groupe de diffusion
stagiaire. Dans la fenêtre de nouveau groupe qui s’ouvre, on remplit les informations
demandé


Une fois terminer on clique sur Enregistrer. Notre groupe a été créé il ne reste plus
qu’à vérifier que tout cela fonctionne. Pour cela on se rend dans le propriétaire du
groupe Bruce@exchange.ed pour envoyer un mail à tous les membres du groupe.
Ensuite on se rend dans le compte d’un membre du groupe pour vérifier qu’il a
effectivement reçu le mail. On peut donc remarquer que tous les membres du groupe
(stagiaires) ont bien reçus le mail.

V- ARCHITECTURE POUR UN ENVOI DE MAIL VERS LE MONDE
CONFIGURATION DES CONNECTEURS SMTP

Pour pouvoir communiquer avec l’extérieur, il faut posséder un nom de domaine
externe et configurer deux types de connecteurs : le connecteur d’envoi et le
connecteur de réception.
1- Connecteurs d’envoi
Dans la configuration du connecteur d’envoi, nous créons un nouveau connecteur
d’envoi, puis on s’assure que la case enregistrement du MX associé au domaine du
destinataire est coché ensuite on ajoute un nouveau domaine de type SMTP. Puis
on ajoute notre FQDN externe (par exemple : mailhost.monDomain.com).
2- Connecteurs de réception
Dans la configuration du connecteur de réception dans les options du default
Frontend au niveau de sécurité on se rassure que la case utilisateur anonyme est

coché. Ensuite dans l’onglet étendu on vérifie que l’écoute du connecteur se fait
sur le port 25 dans la zone de liaison de carte réseau.
3- Configuration domaine public
Ensuite il faut ajouter le domaine public (monDomain.com) aux domaines acceptés
sous exchange. Pour le moment seul le domaine interne est présent (exchange.ed).
Toujours dans la même page flux de courrier on clique sur domaines acceptés puis
on ajoute notre domaine acceptés (monDomaine.com) ensuite on enregistre. Puis
on définit notre domaine nouvellement enregistré comme domaine par défaut.
4- Configuration des protocoles POP3/IMAP4
Le protocole POP3 (Post Office Protocol) permet aux utilisateurs de récupérer leurs
messages depuis leur boîte aux lettres Exchange vers leur client de messagerie. Par
défaut, le protocole POP3 utilise le port TCP 110 et TCP 995 via TLS.
Le protocole IMAP4 (Internet Message Access Protocol 4) permet aux utilisateurs,

comme le protocole POP3, d’accéder aux messages de leurs boîtes aux lettres via un
client de messagerie. Par défaut, le protocole IMAP4 utilise le port TCP 143 et TCP 993
via TLS.
La connectivité client IMAP4 n’est pas activée par défaut dans Exchange Server 2016.
Activons le protocole POP3 au démarrage du server : nous ouvrons notre powerShell

puis nous entrons la commande
Set-Service msExchangePOP3 -StartupType Automatic
Activons le protocole IMAP4 au démarrage du server : nous ouvrons notre powerShell

puis nous entrons la commande
Set-Service MSExchangeIMAP4 -StartupType Automatic
Démarrez le service POP3: nous ouvrons notre powerShell puis nous entrons la
commande
Start-Service -Service msExchangePOP3

Démarrez le service IMAP4 : nous ouvrons notre powerShell puis nous entrons la
commande
Start-service -Service MSExchangeIMAP4
Il est possible de paramétrer le protocole POP3/IMAP4 depuis le Centre

d’administration exchange. Pour cela il suffit de cliquer sur l’onglet Serveurs ensuite
dans la liste des serveurs on double clic sur notre serveur exchange EXCH-01 dans la
fenêtre qui s’ouvre on peut ainsi voir les deux protocoles.
On peut également Activer ou Désactiver les services d’accès client pour chaque
utilisateur dans les fonctionnalités de boite aux lettres. Pour cela on se rend dans
l’onglet destination ensuite dans boite aux lettres ensuite on double clic sur
l’utilisateur Administrateur. Dans la fenêtre qui s’ouvre on clique sur l’onglet
Fonctionnalité de boite aux lettres. Nous pouvons enfin voir nos différents services
d’accès client.

VI- SECURISER NOTRE SYSTEME DE MESSAGERIE EXCHANGE

2016
Malgré tout ce que nous venons de faire nous sommes encore très loin d’un
exchange PARFAIT. Pour améliorer la structure de son infrastructure nous pouvons
intégrer un ensemble de solution à savoir :
- La protection contre la perte des données (DLP = Data Loss Prevention)
- Filtrage anti Spam (EDGE Transport)
- Protection contre les logiciels malveillants
- Chiffrement et signature des messages (TLS/SSL/Certificat)
- Solution de haute disponibilité (DAG)
- Sauvegarde et restauration des données

1- Protection contre la perte des données (DLP)

La prévention de la perte de données (DLP) est un système conçu pour détecter un
incident potentiel de fuite / fuite de données en temps opportun et pour le
prévenir. Lorsque cela se produit, des données sensibles telles que des
informations personnelles / d'entreprise, des détails de carte de crédit, des
numéros de sécurité sociale, etc., sont divulguées à des utilisateurs non autorisés
avec une intention malveillante ou par erreur. Cela a toujours été un sujet
important pour la plupart des entreprises, car la perte de données sensibles peut
être très dommageable pour une entreprise. Depuis de nombreuses années, il
existe des solutions logicielles et matérielles qui surveillent les données tout en:
- en cours d'utilisation: actions de l'utilisateur final telles que la copie de données
sur USB ou l'impression par exemple;
- en mouvement: communications réseau comme le courrier électronique, le
trafic Web, la messagerie instantanée, etc.;
- au repos: données stockées dans des partages de fichiers ou sur les disques des
utilisateurs.
Avec Exchange 2016, Microsoft permet désormais d'imposer des exigences de
conformité pour ces données et de contrôler leur utilisation dans les e-
mails. DLP est la nouvelle fonctionnalité qui permet aux administrateurs de gérer
les données sensibles dans Exchange!
i) Fonctionnement de DLP
DLP fonctionne via des politiques DLP, des packages qui contiennent un ensemble
de conditions composé de règles, d'actions et d'exceptions. Ces packages sont
basés sur des règles de transport et peuvent être créés dans le Centre
d'administration Exchange ou via Exchange Management Shell. Une fois créés et
activés, ils commenceront à analyser et filtrer les e-mails. Une fonctionnalité
intéressante est que vous pouvez créer une stratégie DLP sans l'activer, vous
permettant de tester son comportement sans affecter le flux de messagerie.
ii) Création de stratégies DLP basées sur des modelés
Pour commencer avec la prévention de la perte de données, nous devons créer une
stratégie DLP. Pour ce faire, nous pouvons en importer un à partir d'un fichier
(fourni par exemple par une société tierce), utiliser des modèles fournis par
Microsoft ou créer une politique à partir de zéro.
Voici une liste des modèles existants qui contiennent déjà des règles configurées pour
répondre à des exigences légales et réglementaires spécifiques:

 GLBA: aide à détecter les informations soumises aux exigences de conformité

définies dans la loi Gram-Leach-Bliley , qui inclut les informations personnelles non
publiques;
 PCI-DSS: aide à détecter les informations communément considérées comme
soumises aux exigences de conformité définies dans la norme de sécurité des
données de l'industrie des cartes de paiement, telles que les détails des cartes de
crédit et de débit;
 Données financières - X: aide à détecter les données communément considérées
comme des informations financières en France, telles que les informations de carte
de crédit, de compte et de carte de débit;
 Données PII - X: aide à détecter les informations communément considérées
comme des informations personnellement identifiables en France, telles que les
numéros de permis de conduire ou de passeport;
 Autorisations: pour travailler avec DLP, le compte utilisé doit être membre
des groupes de rôles Gestion de l’organisation ou Gestion de la conformité !
(X représente un pays. Pour ce cas c’est : Données financières-France).
Avant de créer une nouvelle stratégie DLP, il est important de connaître les différents
modes de fonctionnement de ces stratégies:
 Appliquer la politique: la politique est activée et toutes les actions spécifiées dans
la politique seront exécutées;
 Tester la politique avec les notifications: la politique est activée mais les actions ne
seront pas exécutées, juste connectées aux journaux de suivi des messages. Les
conseils de stratégie sont affichés pour les utilisateurs;
 Tester la politique sans notifications: similaire à ci-dessus mais aucun conseil de
politique n'est affiché pour les utilisateurs.
En utilisant le CAE, nous pouvons personnaliser l'un de ces modèles ou les utiliser tels
quels. Étant donné que les stratégies DLP prennent en charge toutes les règles de
transport habituelles, nous pouvons ajouter des règles supplémentaires après la
création d'une stratégie DLP, par exemple en ajoutant un avertissement aux messages.
2- Filtrage anti Spam

Les expéditeurs de courrier indésirable ou les expéditeurs malveillants utilisent
diverses techniques pour envoyer des courriers indésirables dans votre organisation.
Aucun outil ou processus n’est capable d’éliminer la totalité du courrier indésirable.
Toutefois, Microsoft Exchange offre une approche multifaceted en couches pour
réduire ces messages indésirables.

Exchange utilise des agents de transport pour fournir une protection anti-courrier
indésirable, et les agents intégrés qui sont disponibles dans Exchange Server 2016.
Dans Exchange 2016, la configuration et la gestion de ces agents sont disponibles
uniquement dans l’environnement de commande Exchange Management Shell.
Configuration filtrage anti spam

Pour effectuer cette configuration nous allons utiliser Exchange Management Shell
(EMS). Pour cela il faut ouvrir notre EMS et entrer la commande suivant :
Etape 1 : installation de l’agent anti spam
L’élément « Recipient Filter Agent » doit apparaître dans la liste et avoir pour valeur
« True ». Et comme ce n’est pas le cas, on allons entrer les commandes suivantes pour
installer le module antispam d’Exchange et activez le filtrage destinataires :
& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1
Enable-TransportAgent "Recipient Filter Agent"
Set-RecipientFilterConfig -RecipientValidationEnabled $true
Set-RecipientFilterConfig -Enabled $true

Ensuite il faut redémarrer le service Ms Exchange Transport pour que ces

modifications soient prises en compte.
Pour cela on ouvre la fenêtre exécuté comme effectuer précédemment puis on entre
la commande services.msc.
Dans la fenêtre qui s’affiche, on sélectionne le service : Microsoft Exchange Transport

puis on clique sur redémarrer.
Etape 2: activation du filtrage destinataire

Cette commande affiche le nom du ou des domaines de votre organisation mais elle
permet aussi de savoir si le filtrage destinataires est activé.
Get-AcceptedDomain | Format-List Name,AddressBookEnabled
L’élément AdressBook doit avoir pour valeur « True ». Si ce n’est pas le cas, vous
devez l’activer (UNIQUEMENT sur le ou les domaines faisant autorité) :
Set-AcceptedDomain nom_du_domaine -AddressBookEnabled $true
Si tous les domaines font autorité, vous pouvez lancer cette commande pour tout
activer d’un coup :
Get-AcceptedDomain | ? {$_.AddressBookEnabled -ne "True"} | Set-

AcceptedDomain -AddressBookEnabled $true
Etape 3: désactivation des autres filtres

L’objectif de cette étape est de désactiver les autres services antispam d’Exchange pour
éviter de sérialiser les antispams et de générer des faux-positifs. Entrez ces 4
commandes :
- Set-SenderFilterConfig : pour modifier la configuration de l'agent de filtrage des
expéditeurs.
- Set-SenderIDConfig : modifier la configuration de l’agent send ID

- Set-ContentFilterConfig : pour modifier la configuration du filtre de contenu sur

un serveur de boîtes aux lettres ou un serveur de transport Edge.
- Set-SenderReputationConfig : pour modifier la configuration de réputation de
l'expéditeur sur les serveurs de boîtes aux lettres ou les serveurs de transport
Edge.
Set-SenderFilterConfig -Enabled $false

Set-SenderIDConfig -Enabled $false
Set-ContentFilterConfig -Enabled $false
Set-SenderReputationConfig -Enabled $false
Puis on exécute les commandes suivante une par une car elle nécessite une
confirmation de l’utilisateur
Disable-TransportAgent "Sender Filter Agent"

Disable-TransportAgent "Sender ID Agent"
Disable-TransportAgent "Content Filter Agent"
Disable-TransportAgent "Protocol Analysis Agent"

Entrez ensuite la commande :
Get-TransportAgent
Vous devriez obtenir le résultat suivant :
Etape 4 : modification du connecteur de réception par défaut

Cette configuration est également possible via l’interface graphique, cela peut vous
permettre de vérifier que la configuration est bien appliquée. Pour cela, vous pouvez
procéder ainsi :
Pour faire cela ouvrez dans l’onglet flux de courrier vous sélectionnez connecteurs de
réceptions dans la liste de proposition qui s’affiche il faut faire un double clic sur
default frontend. Dans le fenêtre qui s’ouvre sélectionner le menu sécurité puis cocher
la case utilisateur anonyme pour terminer cliquer sur enregistrer
3- Protection contre les logiciels malveillants

Exchange Server 2016 propose par défaut un composant de détection des programmes
malveillants. On associe les programmes malveillants à des virus, vers et autres
chevaux de Troie et la solution intègre donc un logiciel antivirus à l’infrastructure
Exchange.
Par défaut, la fonction de filtrage des programmes malveillants est activée dans
Microsoft Exchange Server 2016. Il est possible de personnaliser le comportement du
logiciel à l’aide de stratégies personnalisées.

La détection des programmes malveillants est réalisée sur les messages envoyés ou
reçus à partir d’un serveur de boîtes aux lettres.
Comme toutes les solutions de détection de logiciels malveillants, sa maintenance

nécessite des mises à jour régulières pour que les dernières versions de virus soient
détectées.
CONFIGURATION DE LA PROTECTION CONTRE LES LOGICIEL MALVEILLANTS

La configuration du composant anti-programme malveillant passe par des stratégies.
Une stratégie par défaut active le composant et il est ensuite possible de créer des
stratégies spécifiques à certains types de contenu selon des conditions. Cela permet
de modifier le comportement du composant selon les scénarios.
Le contenu d’une stratégie personnalisée se décompose en trois parties :
 L’action à réaliser : suppression du message ou des pièces jointes avec ou sans

avertissement.
 Notifications à envoyer : à l’expéditeur, à l’administrateur ainsi que les
contenus de la notification.
 Les conditions : filtre l’application de la stratégie selon des critères comme le
destinataire, le domaine du destinataire ou l’appartenance à un groupe. Il est
possible d’établir des exclusions aux règles.
Implémentation à l’aide de la console Centre d’administration Exchange
L’administration du composant anti-programme malveillant se fait à partir de la

console Centre d’administration Exchange en réalisant les manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur l’onglet protection.

Soit nous modifions la police par défaut, soit nous ajoutons en fessant un clic sur le
bouton +, ensuite Modifiez le contenu de la stratégie selon les besoins, puis cliquez sur
le bouton Enregistrer.
4- Chiffrement et signature des messages (TLS/SSL/Certificat)

L’envoi de mail est basé sur le protocole SMTP pour « Simple Mail Transfer Protocol ».
Ce protocole n’est pas sécurisé. En effet, il est aisé d’intercepter un mail et d’en lire le
contenu et le modifier (non-respect des principes de confidentialité, d’authentification
de l’expéditeur et d’intégrité du message).
Notez que même si il est possible d’ajouter la couche TLS au protocole SMTP
permettant de garantir la confidentialité des données lors du transport, cela ne permet
pas d’assurer la confidentialité du message une fois reçu dans la boîte aux lettres.
C’est pourquoi nous allons nous intéresser ici au protocole S/MIME en sa 3ème version
standardisée par l’IETF (Internet Engineering Task Force) qui permet d’accroitre la
sécurité lors d’échange SMTP.

a) Fonctionnement du s/MIME
Le protocole S/MIME permet de faire 2 choses :
- Signer numériquement un message
- Chiffrer un message
i- C’est quoi signer numériquement un message électronique ?

La signature numériques permet d’être sur que le message reçu provient de
l’utilisateur attendu. Elle se déroule en 3 mécanismes à savoir :
- L’authentification : Permet de destinataire de s’assurer que le message qu’il a
reçu provient bien de la personne qui prétend l’avoir composer
- La non-répudiation : il est impossible pour l’expéditeur à partir du moment où
ce dernier a signé le message numériquement de réfuter que c’est l’auteur du
message.
- L’intégrité des données : la signature des données permet aussi de préserver
l’intégrité des données. C’est-à-dire de s’assurer qu’il n’y a pas d’altération des
données entre l’expéditeur et l’émetteur.
Processus de création de la signature numérique :
1. Le corps du message est capturé

2. Un hash du message est généré en fonction du message (SHA1 ou MD5 le plus
souvent)

3. La clé privée de l’expéditeur est utilisé afin de chiffrer le corps du message

« haché ».
4. Ajout de la valeur du hash chiffré au message (signature numérique)
5. Le message peut être envoyé et est signé
La création d’un message signé numériquement implique que le destinataire du

message soit possédé la clé publique de l’expéditeur afin de pouvoir comparer les
hach du message reçu.
Processus de vérification de la signature numériques :
1. Le message est reçu

2. Le « Hachage crypté » est extrait du message
3. Le corps du message est récupéré
4. Le destinataire procède à un hash du message reçu afin de pouvoir ensuite en
comparer la valeur avec celui reçu.
5. La clé publique de l’expéditeur est utilisée pour déchiffrer le « hash »
précédemment chiffré par la clé privée de l’expéditeur.
6. La valeur des 2 hash est comparée. On compare ici la valeur du hash reçu lors
de la réception du message et celle généré par le hachage du message reçu par
le destinataire. Si les 2 valeurs de hachage coïncident, cela signifie qu’il n’y a pas
eu d’altération du message.
Ainsi, on comprend que la signature numérique permet d’une part d’assurer

l’authentification d’un message (la clé privée appartient à un seul utilisateur et il
est le seul à l’avoir en sa possession), d’autre part la non-répudiation (par la
signature électronique du message) et enfin l’intégrité des données (conservé par
la comparaison des valeurs de hachage entre l’expédition et la réception du
message).

ii- C’est quoi chiffré un message électronique ?

Elle permet de garantir :
- La confidentialité des données du message : permet d’assurer la sécurité des
messages. Seule la personne à laquelle le message est destiné peut déchiffrer le
message et donc y avoir accès.
- L’intégrité des données
Processus d’envoi d’un message chiffré :
1. Le corps du message est capturé

2. Récupération de la clé publique du destinataire
3. Une clé de session est générée à partir de l’ordinateur de l’expéditeur (par
défaut, utilisation du meilleur algorithme de chiffrement disponible sur le
système. Il s’agit ici du même principe que le protocole SSL)
4. La clé de session (clé symétrique) générée est utilisée pour chiffrer le message
5. La clé de session est chiffrée à l’aide de la clé publique du destinataire
6. Envoi de la clé de session chiffrée à l’aide de la clé publique au contenu du
message crypté
7. Envoi du message
Processus de réception d’un message chiffré :
1. Le message chiffré est reçu

2. Le corps du message chiffré par la clé de session est récupéré ainsi que la clé de
session encore chiffré par la clé publique du destinataire

3. Récupération de la clé privée du destinataire (permet de récupérer la clé de

session utile au déchiffrement du message)
4. Récupération de la clé de sessions
5. Déchiffrement du corps du message à l’aide de la clé de session
6. Le destinataire accède au message en claire.
A noter ici, que le chiffrement seul des données ne permet pas de garantir
l’authenticité et la non-répudiation d’un message. En effet, une tierce personne
peut s’être procurée la clé publique du destinataire (utilisée pour chiffrer le
message) et envoyer un message chiffré en usurpant l’identité de l’expéditeur.
En résumé, lorsque l’on souhaite combiner la signature numérique et le cryptage des données,
Chaque utilisateur doit posséder :
En Somme on peut souligner le fait qu’utiliser le protocole S/MIME en version 3

apporte une sécurité supplémentaire grâce à un triple traitement. Le message est
d’abord signé puis chiffré et finalement résigné (pris en charge par les clients
Outlook et OWA).
Noter également qu’il existe d’autres solutions pour sécuriser l’échange de vos
messages électroniques comme PGP.
5- Solution de haute disponibilité (DAG)
Un groupe de disponibilité de base de données (DAG) est composé de 16 serveurs de

boîtes aux lettres maximum, qui permettent une récupération automatique au niveau
de la base de données en cas de défaillance d’une base de données d’un serveur
Exchange. Le serveur DAG s’appuie sur la fonctionnalité Cluster à basculement de
manière transparente afin de faire basculer automatiquement les composants de
l’infrastructure Exchange sur une copie de la base en état de fonctionnement.
Il est important que tous les serveurs Exchange au sein d’un DAG exécutent la même
version d’Exchange. Vous ne pouvez pas mélanger les serveurs Exchange 2013 et
Exchange 2016 dans le même DAG.

CONCLUSION
Arrivé au terme de cette étude de Microsoft exchange 2016 nous avons vu des choses
très intéressant. Nous avons donnés les prérequis : tout ce qu’il fallait avoir pour une
bonne installation, L’architecture et le plan d’adressage de notre déploiement.
Ensuite nous vous avons présenté étapes par étapes avec des captures d’écran le
processus d’installation. Puis dans le même lancer nous avons présenté les
configurations d’Exchange après l’installation, Sans nous arrêtés en chemin nous
avons donnés une architecture complet pour l’envoie des mails vers le monde
extérieur, Et enfin pour rendre notre exchange parfait nous avons d’écrit l’ensemble
des étapes pour sécuriser une plateforme de messagerie exchange.

Server de Messagerie

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Server de Messagerie

Hochgeladen von

Copyright:

Verfügbare Formate

Sujet

Université Cheick Anta Diop

NZEUMENI NOUKAP EDDY

Table des matières

NZEUMENI NOUKAP EDDY 1

NZEUMENI NOUKAP EDDY 2

Comme on peut le voir nous avons 3 machines qui sont :

NZEUMENI NOUKAP EDDY 3

Cliquer sur démarrer puis dans la barre de recherche entrer : Windows

Une fois la fenêtre de Windows update lancer, activer la mise à jour

NZEUMENI NOUKAP EDDY 4

Apres la recherche de mises à jour on peut observer que le .Net

NZEUMENI NOUKAP EDDY 5

- EXCH-01 : sera la machine dans laquelle nous installerons notre serveur de

Install-WindowsFeature AS-HTTP-Activation, Server-Media-Foundation, NET-Framework-45-Features,

- Win 10 : qui sera notre poste client.

NZEUMENI NOUKAP EDDY 6

II- ARCHITECTURE ET LE PLAN D’ADRESSAGE DE NOTRE

NZEUMENI NOUKAP EDDY 7

NZEUMENI NOUKAP EDDY 8

Ensuite le programme doit copier les fichiers nécessaires à l’installation d’Exchange.

A la fin de la copie des fichiers le processus d’installation proprement dit peut

NZEUMENI NOUKAP EDDY 9

Etape 3 : dans la fenêtre d’introduction on clique sur suivant

Etape 4 : après avoir lu le contrat de licence, on accepte les termes de ce contrat et

NZEUMENI NOUKAP EDDY 10

Etape 5 : Dans la fenêtre de paramètre recommande, exchange server nous propose

NZEUMENI NOUKAP EDDY 11

NZEUMENI NOUKAP EDDY 12

Etape 7 : dans l’emplacement d’installation nous allons laisser l’emplacement par

NZEUMENI NOUKAP EDDY 13

NZEUMENI NOUKAP EDDY 14

NZEUMENI NOUKAP EDDY 15

Etape 10 : à cette étape le programme va tester si toutes les configurations requises

NZEUMENI NOUKAP EDDY 16

NOTE IMPORTANTE : Si des erreurs surviennent lors de l’analyse des conditions

NZEUMENI NOUKAP EDDY 17

NZEUMENI NOUKAP EDDY 18

NZEUMENI NOUKAP EDDY 19

On peut constater que exchange a été installer avec succès.

NZEUMENI NOUKAP EDDY 20

IV- PARAMETRAGE POUR L’ENVOIE DES MAILS DANS DES

1- Gérer exchange 2016

NZEUMENI NOUKAP EDDY 21

La seconde manière d’administrer exchange consiste à utiliser Exchange Management

b) Gérer la base de données

NZEUMENI NOUKAP EDDY 22

La base de données est composée de plusieurs fichiers

NZEUMENI NOUKAP EDDY 23

IMPORTANT : toutes les transactions effectuées dans la base de données exchange ne

NZEUMENI NOUKAP EDDY 24

Apres avoir cliqué, un warning apparait nous demander de redémarrer le service

Puis sélectionnez le service Microsoft Exchange store ensuite redémarrer

NZEUMENI NOUKAP EDDY 25

NZEUMENI NOUKAP EDDY 26

iii) Supprimer une DB

2- Les types de destinataires

Exchange 2016 inclut plusieurs types de destinataire explicites. Chaque type de

NZEUMENI NOUKAP EDDY 27

a) La boite aux lettres utilisateur

Boîte aux lettres affectée à un utilisateur individuel dans votre organisation

Ici nous avons un compte utilisateur AD (Active directory) qui va servir à

NZEUMENI NOUKAP EDDY 28