Présentation des services de transport. 1. Principe de fonctionnement des services de transport Exchange

MICROSOFT EXCHANGE

Configuration des composants de transport

Présentation des services de transport

1. Principe de fonctionnement des services de transport Exchange

Exchange Server 2013 rompt avec les architectures des versions antérieures du produit.

L’intégration des fonctionnalités de transport bénéficie des mêmes avantages que pour les rôles Accès clients (CAS) et Boîtes aux lettres (MBX) et, même si le rôle Hub-transport n’est plus directement exposé, il n’en demeure pas moins que le paramétrage et le

fonctionnement interne restent très proches des précédentes versions.

Ainsi, les composants de transport ont pour objectif l’acheminement des messages aussi bien à l’intérieur qu’à l’extérieur de l’organisation Exchange, par l’intermédiaire de différents mécanismes de routage.

Le service frontal de transport hébergé par les serveurs d’accès client (CAS) agit comme un proxy SMTP sur le trafic entrant et sortant de l’organisation Exchange 2013. Aucune analyse du contenu n’est réalisée par celui-ci et il transmet directement les messages au service de transport d’un serveur de boîtes aux lettres (MBX) en bonne santé. La sélection du serveur de boîtes aux lettres se fait sans prendre en compte ni le nombre, ni le type, ni l’emplacement des destinataires du ou des messages.

Le routage des messages peut se faire ensuite entre les différents services de transport hébergés par les serveurs de boîte aux lettres de l’organisation.

La segmentation des zones permettant le routage des messages se fait par des groupes de remise qui permettent de faciliter l’acheminement des messages afin d’améliorer l’efficacité des échanges au sein de l’infrastructure. Un groupe de remise peut-être : un groupe de disponibilité de base de données, un groupe de remise de boîtes aux lettres, un connecteur de serveur source, un serveur d’expansion de groupe de distribution…

Après analyse du message, lorsque les serveurs de boîtes aux lettres devant s’échanger le message se trouvent dans des groupes de remise différents, le message est de nouveau acheminé par un échange entre les services de transport de différents serveurs de boîtes aux lettres.

Un connecteur d’envoi sur le serveur de boîtes aux lettres est configuré pour la remise du courrier à l’extérieur de l’organisation Exchange à travers le serveur hébergeant le rôle d’accès client.

Même s’il n’est pas encore disponible dans sa version 2013, le rôle Edge des précédentes versions d’Exchange peut être utilisé pour permettre une analyse du flux de message en DMZ (zone démilitarisée).

L’implémentation du serveur Edge sera traitée dans le chapitre Implémentation du rôle Transport Edge de ce livre.

La plupart des mécanismes d’échanges au sein de l’infrastructure Exchange s’appuient sur le protocole SMTP (Simple Mail Transfer Protocol) comme protocole de transport comme lors des communications avec les domaines de messagerie sur Internet.

2. Le protocole SMTP (Simple Mail Transfer Protocol)

Le protocole SMTP assure les fonctions de routage des e-mails, il prend en charge la remise des messages qui lui sont confiés jusqu’à leur destinataire mais peut aussi agir en tant que relais s’il est correctement configuré.

On associe souvent au protocole SMTP un système de file d’attente. En effet, l’un des gros avantages du protocole et qu’il est fondamentalement asynchrone. Si j’envoie un e-mail à mon serveur SMTP et que celui-ci ne peut le remettre immédiatement car le serveur SMTP de destination est en maintenance pendant plusieurs heures, le message va être stocké dans une file d’attente et mon serveur tentera de remettre mon message régulièrement.

Le protocole SMTP utilise le port TCP 25 par défaut, il est devenu le protocole standard de transfert des messages électroniques entre les serveurs et avec les clients.

Comme son nom l’indique (Simple Mail Transfer Protocol), le protocole est très basique et n’avait pas pour objectif lors de sa conception de devenir la norme de transfert des e-mails au niveau mondial. Aussi, il présente plusieurs problèmes de conception majeurs

particulièrement au niveau de la sécurité et de la montée en charge. L’implémentation d’un serveur SMTP demande donc une attention particulière afin d’éviter que votre serveur devienne la passerelle de relais préférée des spammeurs.

Voici un exemple d’échanges classiques entre deux serveurs de messagerie utilisant le protocole SMTP.

Voici une liste des commandes SMTP les plus courantes :

 HELO <fqdn> : identifie le serveur émetteur.

 MAIL FROM:<émetteur> : identifie l’émetteur du message.

 RCPT TO:<destinataire> : identifie le destinataire du message.

 DATA : envoie le message au serveur de destination.

 RSET : abandonne l’envoi du message en cours.

 VRFY <chaîne> : vérifie que le destinataire est valide sur le serveur de destination (cette commande est souvent bloquée pour éviter la constitution d’une liste de spam facilitée).

 HELP : affiche la liste des commandes SMTP supportées.

 QUIT : déconnecte la session.

 TURN : envoie les messages en liste d’attente.

3. Le protocole ESMTP (Extended Simple Mail Transfer Protocol)

Afin de combler les manques du SMTP, le protocole ESMTP permet d’étendre les commandes SMTP en intégrant notamment l’authentification d’hôtes et le cryptage. La distinction se fait lors de la connexion qui utilise la chaîne de caractères HELO pour le SMTP et EHLO pour le ESMTP.

Le protocole ESMTP permet au serveur de destination de fournir au serveur émetteur la liste des commandes avec lesquels il est compatible. Dans le cas où le serveur de destination n’est pas compatible avec le protocole ESMTP, la connexion est rétablie à l’aide du protocole SMTP.

Voici une liste des commandes ESMTP les plus courantes :

 EHLO <fqdn> : identifie l’émetteur et le protocole ESMTP.

 ATRN : exécutée si la session est authentifiée.

 ETRN : identique à TURN mais spécifie l’hôte distant auquel sera remis le message.

 PIPELINING : envoie par lot des commandes SMTP sans en attendre la réponse du destinataire.

 CHUNKING : envoie des messages MIME de grandes tailles.

 STARTTLS : établit une connexion SSL entre le client et le serveur.

 AUTH : fournit une forme d’authentification SASL pour s’authentifier à l’aide de Kerberos et de NTLM.

4. Mécanisme d’envoi d’un e-mail

Afin d’envoyer un e-mail, il est nécessaire au serveur de messagerie de connaître l’adresse IP du serveur SMTP de destination. Pour cela il peut choisir entre déléguer la remise à un smart- host ou remettre le message lui-même.

Dans le cas de la délégation de remise, l’ensemble des e-mails devant être envoyés vont être transférés à un autre serveur SMTP qui sera en charge de la remise finale au serveur de destination. Ce rôle peut être assimilé au rôle Edge dans l’infrastructure Exchange 2013.

Dans le cas de la remise directe, le serveur SMTP va interroger l’espace de nom DNS du domaine de destination. Si j’envoie un e-mail à lthobois@editions-eni.fr, le serveur va interroger l’espace de nom editions-eni.fr. Dans l’espace de noms DNS, le serveur SMTP émetteur va rechercher une entrée de type MX qui représente l’un des serveurs de messagerie du domaine distant. Le serveur DNS va alors renvoyer l’adresse IP du serveur de messagerie de destination et lui envoyer l’e-mail.

Une fois l’e-mail envoyé se pose la problématique de la confiance accordée par le serveur de destination à notre e-mail. Cette confiance dépend en partie du contenu de l’e-mail mais aussi de la confiance accordée au serveur émetteur. Si cette confiance n’est pas assez élevée, le message risque d’être catalogué comme spam.

Pour améliorer le niveau de confiance envers le serveur, il faut vérifier qu’il ne soit pas dans une blacklist et que l’on a configuré le reverse DNS qui valide l’association entre le domaine de messagerie et l’adresse IP publique qui est utilisée.

5. Mécanisme de relais d’envoi d’un e-mail

Lorsque l’on souhaite utiliser le serveur SMTP pour envoyer un e-mail, il faut tout d’abord que celui-ci puisse recevoir la demande d’envoi (à ne pas confondre avec la réception d’un e- mail lorsque l’on a l’autorité sur le domaine de messagerie). Là encore, deux scénarios se présentent : soit le composant souhaitant envoyer l’e-mail connaît l’adresse IP du serveur SMTP qui se chargera de la remise, soit il doit la trouver.

En effet, si le composant qui souhaite envoyer le message connaît le serveur SMTP, il peut spécifier les informations de connexion et envoyer la demande SMTP directement. Par exemple, une application intégrant des envois d’e-mails pourra intégrer dans son code l’adresse IP et le numéro de port nécessaires à l’envoi pour chaque domaine.

Dans le cas où le composant ne connaît pas l’adresse IP du serveur SMTP, le moyen le plus courant est de déclarer un enregistrement MX contenant l’adresse IP du serveur SMTP dans l’espace de noms DNS du domaine pour que l’application puisse trouver les informations par elle-même.

Principe de fonctionnement des services de transport

1. Configuration des domaines acceptés

a. Présentation des domaines acceptés

Une organisation Exchange Server peut être responsable de plusieurs domaines de messagerie. Pour configurer plusieurs domaines de messagerie pour une organisation Exchange, il faut ajouter des domaines acceptés.

Un domaine accepté est un domaine DNS (Domain Name System) pour lequel l’organisation Exchange envoie et reçoit des messages électroniques. Cela inclut bien sûr les domaines pour lesquels l’organisation Exchange contient des boîtes aux lettres (domaines faisant autorité).

Cela inclut aussi les domaines pour lesquels l’organisation Exchange reçoit des messages et ensuite relaie ceux-ci à un serveur de messagerie qui ne fait pas partie de l’organisation Exchange (domaines relais).

Les domaines acceptés vont être utilisés pour contrôler les messages électroniques que l’organisation Exchange accepte depuis Internet. Une fois qu’un domaine accepté est

configuré, l’organisation Exchange va accepter les messages depuis Internet pour ce domaine.

Les tentatives des serveurs de messagerie Internet pour délivrer des messages pour des domaines qui ne sont pas des domaines acceptés vont être refusées.

b. Configuration des domaines acceptés

Les domaines acceptés sont configurés deux fois : une fois en tant que paramètre global pour l’organisation Exchange Server, et une autre fois sur le serveur qui a le rôle Transport Edge s’il a été configuré dans l’organisation. Les serveurs Exchange ne traitent que les messages pour les domaines qui sont configurés en tant que domaines acceptés au niveau de

l’organisation Exchange. Les messages à destination des autres domaines sont soit relayés

vers leurs domaines de destination s’ils proviennent d’un émetteur de confiance soit supprimés.

Les serveurs Transport Edge acceptent et relayent vers l’infrastructure interne seulement les messages pour les domaines configurés en tant que domaines acceptés sur le serveur qui a le rôle Transport Edge.

Pour simplifier l’administration lors de la configuration des domaines acceptés, il est possible de procéder de la façon suivante :

 Créer et gérer tous les domaines acceptés au niveau de l’organisation Exchange.

 Synchroniser ces informations avec le serveur Transport Edge en créant une

souscription Edge. Quand vous inscrivez le serveur qui a le rôle Transport Edge dans l’organisation Exchange 2013, tous les domaines acceptés configurés au niveau des paramètres de l’organisation pour le service Transport Hub sont répliqués vers le serveur qui a le rôle Transport Edge pendant les synchronisations EdgeSync. Nous verrons plus tard comment ajouter un serveur avec le rôle Transport Edge et l’inscrire à l’organisation Exchange 2013.

 Pour modifier la configuration des domaines acceptés sur un serveur Transport Edge inscrit dans l’organisation, il faut effectuer les modifications sur le serveur Transport Hub.

Quand vous créez des domaines acceptés, vous pouvez utiliser le caractère étoile (*) dans l’espace d’adresses pour indiquer à l’organisation Exchange d’accepter aussi tous les sous- domaines de l’espace d’adresse SMTP. Par exemple, pour configurer eni.fr et tous ses sous- domaines, il vous suffira d’entrer *.eni.fr comme espace d’adresse SMTP.

Si un sous-domaine doit être utilisé dans une stratégie d’adresses de messagerie, chaque sous- domaine doit avoir une entrée explicite dans les domaines acceptés.

c. Autorité des domaines acceptés

Un domaine accepté faisant autorité est un domaine pour lequel l’organisation Exchange stocke des boîtes aux lettres pour des objets conteneurs de ce domaine SMTP. Par défaut, quand le premier serveur Transport Hub est installé, un domaine accepté est configuré comme faisant autorité pour l’organisation Exchange. Le domaine accepté par défaut est le nom de domaine pleinement qualifié (FQDN - Fully Qualified Domain Name) du domaine racine de la forêt.

Souvent, le nom de domaine interne utilisé avec Active Directory est différent du domaine externe. Par exemple le nom de domaine interne peut être eni.lan et le nom de domaine externe eni-editions.fr. L’enregistrement de ressource DNS pour le serveur de messagerie (MX) pour votre organisation référence eni-editions.fr. C’est l’espace de noms SMTP que vous voulez assigner aux utilisateurs en créant une stratégie d’adresses de messagerie. Pour cela, il faut créer un domaine accepté faisant autorité avec le nom de domaine externe eni- editions.fr.

d. Principe des domaines relais

Dans Exchange 2013, vous pouvez configurer des domaines acceptés en tant que domaines relais. Les domaines relais reçoivent des e-mails pour des destinataires en dehors de

l’organisation et ensuite relayent ces e-mails à un serveur qui ne fait pas partie de l’organisation Exchange.

Il y a deux types de domaines relais :

 Domaine de relais interne : quand vous configurez un domaine de relais interne, les destinataires de ce domaine n’ont pas de boîte aux lettres dans l’organisation

Exchange mais ont des contacts dans la liste d’adresse globale (GAL). Les messages provenant d’Internet sont relayés pour ce domaine à travers les serveurs Transport Hub dans cette organisation Exchange.

 Domaine de relais externe : un domaine de relais externe est un domaine pour lequel les messages sont relayés vers un serveur de messagerie qui ne fait pas partie de l’organisation Exchange et hors des limites du réseau de l’organisation. Le serveur qui a le rôle Transport Edge relaye les messages.

e. Mise en place des domaines acceptés

Implémentation à l’aide de la console Centre d’administration Exchange L’administration des domaines acceptés se fait à partir de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie, puis sur l’onglet Domaines acceptés.

Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les domaines acceptés de l’organisation Exchange.

Cliquez sur l’icône + pour créer un nouveau domaine accepté.

Dans la fenêtre nouveau domaine accepté, entrez le nom du nouveau connecteur, le domaine DNS correspondant et le type de domaine accepté puis cliquez sur enregistrer.

Implémentation à l’aide de la console Exchange Management Shell

Il est aussi possible d’administrer les domaines acceptés à l’aide de la console Exchange Management Shell à l’aide des commandes suivantes :

Dans la console Exchange Management Shell, tapez la commande suivante pour lister les domaines acceptés de l’organisation Exchange :

Get-AcceptedDomain

Dans la console Exchange Management Shell, tapez la commande suivante pour créer un nouveau domaine accepté faisant autorité pour le domaine eni.fr :

New-AcceptedDomain -Name "ENI" -DomainName eni.fr -DomainType Authoritative

Dans la console Exchange Management Shell, tapez la commande suivante pour créer un domaine de relais interne :

New-AcceptedDomain -Name "ENI Editions"

-DomainName eni-editions.fr -DomainType InternalRelay

Dans la console Exchange Management Shell, tapez la commande suivante pour créer un domaine de relais externe :

New-AcceptedDomain -Name "ENI Formations"

-DomainName eni-formations.fr -DomainType ExternalRelay

Dans la console Exchange Management Shell, tapez la commande suivante pour supprimer un domaine accepté :

Remove-AcceptedDomain -Identity "Microsoft"

2. Configuration des stratégies d’adresse de messagerie

a. Présentation des stratégies d’adresse de messagerie

Une fois que les domaines acceptés sont configurés, il est nécessaire d’utiliser des stratégies d’adresses de messagerie pour définir les adresses e-mails des destinataires de l’organisation Exchange.

On utilise aussi les domaines acceptés pour configurer les stratégies d’adresses de messagerie.

Il faut configurer un domaine accepté avant qu’un espace d’adresses SMTP puisse être utilisé dans une stratégie d’adresses de messagerie.

Si vous supprimez un domaine accepté qui est utilisé dans une stratégie d’adresses de messagerie, alors celui-ci ne sera plus valide et les destinataires qui utilisent des adresses e- mails provenant de ce domaine SMTP ne pourront plus envoyer ni recevoir d’e-mails à l’aide de cette adresse.

Il faut savoir que les stratégies d’adresses de messagerie sont très utiles car elles permettent d’affecter les adresses e-mails pour de multiples objets conteneurs (destinataires) à la fois.

Une stratégie d’adresses de messagerie permet de générer les adresses e-mails pour les utilisateurs, les contacts et les groupes. Lorsqu’on définit une stratégie d’adresses de messagerie, on définit le format de l’adresse e-mail et à quels objets destinataires elle va s’appliquer.

b. Configuration des stratégies d’adresse de messagerie

Une organisation Exchange peut être utilisée pour gérer la messagerie de plusieurs sociétés ayant chacune ses propres domaines de messagerie. Dans cette situation, vous avez besoin d’attribuer des adresses e-mails différentes aux utilisateurs de chaque société.

Cette configuration est très courante dans les entreprises offrant des services d’hébergement de messagerie. Par exemple vous souhaitez que certains objets destinataires aient l’adresse e- mail d’une première société (@eni-editions.fr) et d’autres destinataires une adresse e-mail correspondant à une deuxième société (@eni-formations.fr).

Lors de la création d’une stratégie d’adresses, il est possible de sélectionner les objets destinataires en se basant sur les éléments suivants :

Le type de destinataire permet de choisir les objets cibles sur laquelle la stratégie sera appliquée :

 Tous les types de destinataires : tous les objets de l’annuaire ayant une boîte aux lettres ou une extension de messagerie Exchange.

 Utilisateurs avec boîte aux lettres Exchange : tous les utilisateurs ayant une boîte aux lettres Exchange.

 Boîtes aux lettres de ressources : toutes les boîtes aux lettres représentant des ressources utilisées pour la planification et non pas des utilisateurs (salle de réunion, vidéoprojecteur, voiture…).

 Contacts avec adresse de messagerie externe : tous les contacts ayant une extension de messagerie Exchange présents dans les listes d’adresses Exchange.

 Groupes avec fonctionnalités messagerie : groupes de distribution ou de sécurité, statiques ou dynamiques, ayant une extension de messagerie Exchange et présents dans les listes d’adresse Exchange.

Les règles permettent de filtrer les objets destinataires en fonction de certains attributs liés aux objets se trouvant dans Active Directory :

 Conteneur de destinataires : permet de limiter la recherche des objets cibles à une unité d’organisation et ses objets enfants.

 Destinataire dans un département ou région : filtre selon la chaîne de caractères de l’attribut département ou région de l’objet utilisateur ou contact.

 Destinataire dans une société : filtre selon la chaîne de caractères de l’attribut société de l’objet utilisateur ou contact.

 Destinataire dans un service : filtre selon la chaîne de caractères de l’attribut service de l’objet utilisateur ou contact.

 Destinataire bénéficiant d’un attribut personnalisé : filtre qui s’appuie sur les 15 attributs personnalisés (extensionAttribute1 à extensionAttribute15) que l’on retrouve sur les objets Active Directory. Le contenu de ces attributs est librement éditable.

Dans l’outil d’administration Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, sélectionnez l’option Fonctionnalités avancées.

Affichez les propriétés d’un compte utilisateur et cliquez sur l’onglet Éditeur d’attributs.

Naviguez jusqu’aux attributs commençant par extensionAttribute puis cliquez sur le bouton Modifier après avoir sélectionné un attribut.

Une fois l’attribut modifié à l’aide du champ Valeur, cliquez sur OK.

Les filtres des stratégies d’adresse de messagerie doivent reprendre à l’identique la chaîne de caractères des attributs des objets cibles.

Le format de l’adresse de messagerie permet d’identifier les valeurs des attributs qui vont être utilisées pour créer le ou les alias de messagerie dans la stratégie. Il est possible d’utiliser l’un des formats d’adresse prédéfinis qui sont fréquemment utilisés ou de créer un format constitué d’un assemblage des codes représentants les attributs :

 %g : prénom du contact ou de l’utilisateur.

 %i : initiale intermédiaire du contact ou de l’utilisateur.

 %s : nom du contact ou de l’utilisateur.

 %d : nom d’affichage du contact ou de l’utilisateur.

 %m : alias Exchange du contact ou de l’utilisateur.

 %<x>s : utilise les x premières lettres du nom. Par exemple, si x = 2, les deux premières lettres du nom sont utilisées.

 %<x>g : utilise les x premières lettres du prénom. Par exemple, si x = 2, les deux premières lettres du prénom sont utilisées.

Pour chaque stratégie d’adresse de messagerie, il est possible de choisir quel format sera celui par défaut de l’objet destinataire (l’adresse d’envoi des e-mails utilisée par défaut pour le retour).

Les stratégies d’adresses de messagerie sont appliquées en fonction de leur priorité. Quand plusieurs stratégies sont destinées à un même objet, seule la stratégie d’adresses avec la plus grande priorité sera appliquée. C’est à l’administrateur de définir la priorité des stratégies d’adresses dans la console d’administration d’Exchange.

La stratégie d’adresse de messagerie par défaut créée à l’installation est listée à la fin et a automatiquement la priorité la plus faible. Elle s’applique à tous les destinataires qui ne sont pas affectés par une autre stratégie d’adresses de messagerie.

Lorsque vous modifiez une stratégie, vous avez la possibilité d’appliquer les modifications immédiatement ou de planifier l’application ultérieurement. Cela peut être intéressant dans les grandes entreprises car l’application immédiate d’un changement dans une stratégie

d’adresses de messagerie peut entraîner un ralentissement important du serveur. Le fait de pouvoir planifier l’application des paramètres permet de ne pas gêner le fonctionnement normal de la messagerie.

Les stratégies sont aussi réévaluées et appliquées à chaque fois qu’un objet destinataire est modifié.

c. Routage vers des systèmes de messagerie non SMTP

Exchange 2013 supporte le routage vers des systèmes de messagerie tiers en utilisant leur adressage natif. Les types d’adresses de messagerie non SMTP suivants sont pris en charge :

 EX : nom complet du préfixe d’adresse proxy DN héritée.

 X.400 : norme de messagerie électronique créée dans les années 80. Les solutions de messagerie de l’époque avaient implémenté chacune leur solution propriétaire d’annuaire de messagerie basée sur la norme X.400.

 X.500 : évolution de la norme X.400 qui inclut des protocoles d’accès et de navigation à des annuaires de messageries notamment.

 MSMail : premier système de messagerie Microsoft Windows, apparu en 1991.

 Cc:Mail : système de messagerie LAN développé dans les années 80 pour la plateforme Microsoft MS-DOS.

 Lotus Notes : solution de messagerie collaborative IBM incluant des fonctionnalités de gestion documentaire. Le serveur de messagerie des solutions Lotus s’appelle Domino.

 Novell GroupWise : solution de messagerie collaborative de la société Novell.

 Adresse proxy de messagerie unifiée Exchange (adresse proxy EUM) : identifiant SIP lié aux environnements de messagerie unifiée. Il contient notamment les numéros de postes et l’adresse SIP.

Les protocoles non SMTP ne sont plus directement installables par l’assistant de déploiement d’Exchange 2013. Pour prendre en charge les systèmes de messagerie non SMTP,

l’organisation Exchange doit bénéficier des composants logiciels nécessaires dans son infrastructure (ancienne version d’Exchange par exemple).

d. Mise en place des stratégies d’adresse de messagerie

L’administration des stratégies d’adresse de messagerie se fait à partir de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie, puis sur l’onglet Stratégies d’adresse de messagerie.

Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les stratégies d’adresse de messagerie de l’organisation Exchange.

Cliquez sur l’icône + pour créer une nouvelle stratégie d’adresse de messagerie.

Dans la fenêtre nouvelle stratégie d’adresse de messagerie, entrez le nom de la stratégie, ajoutez les formats d’adresse désirés, la priorité de la stratégie et le filtre des destinataires cibles.

Dans la fenêtre format de l’adresse de messagerie, sélectionnez le domaine accepté et le format de l’adresse de messagerie, soit via les modèles prédéfinis, soit via le format libre.

Par défaut, les nouvelles stratégies d’adresse de messagerie ne sont pas appliquées, il faut donc le faire une fois la stratégie créée.

Une fois la stratégie créée, dans l’onglet Stratégies d’adresse de messagerie, sélectionnez la nouvelle stratégie puis cliquez sur le lien Appliquer dans le volet de droite.

Implémentation à l’aide de la console Exchange Management Shell

Il est aussi possible d’administrer les stratégies d’adresse de messagerie à l’aide de la console Exchange Management Shell à l’aide des commandes suivantes :

Dans la console Exchange Management Shell, tapez la commande suivante pour lister les stratégies d’adresse de messagerie de l’organisation Exchange :

Get-EmailAddressPolicy

Dans la console Exchange Management Shell, tapez la commande suivante pour créer une stratégie d’adresse de messagerie pour les utilisateurs de la société ENI Formations :

New-EmailAddressPolicy -Name "ENI Formations" -IncludedRecipients MailboxUsers -ConditionalCompany "ENI Formations"

-EnabledEmailAddressTemplates "SMTP:%s%2g@eni-formations.fr"

Dans la console Exchange Management Shell, tapez la commande suivante pour appliquer la nouvelle stratégie d’adresses de messagerie :

Get-EmailAddressPolicy -Identity "ENI Formations" | Update- EmailAddressPolicy

Dans la console Exchange Management Shell, tapez la commande suivante pour supprimer une stratégie d’adresses de messagerie :

Remove-EmailAddressPolicy -Identity "ENI Formations"

3. Introduction au routage du courrier

a. Présentation des principes de routage

Si avec Exchange 2000/2003 le routage des messages internes à l’entreprise était basé sur des groupes de routage interconnectés par des connecteurs de groupe de routage, ce système a été totalement modifié depuis Exchange 2007.

La mise en place d’une infrastructure mixte Exchange 2003 avec Exchange 2013 n’est pas supportée. Exchange 2013 supporte uniquement les versions 2007 et 2010 d’Exchange dans son organisation.

Avec Exchange 2007/2010, le routage des messages s’appuyait sur les sites Active Directory.

Il était donc primordial que la configuration de réplication Active Directory soit correctement configurée pour que le routage des messages soit optimal.

Avec Exchange 2013, le service de transport est disponible sur tous les serveurs de boîtes aux lettres, le composant catégoriseur qui est membre du service de transport a pour objectif l’acheminement des messages en utilisant les groupes de disponibilités des bases de données (DAG) en plus des sites Active Directory.

Si le message est à remettre dans une boîte aux lettres se situant sur un autre serveur la connexion entre les serveurs se fait exclusivement par le service de transport.

Dans la mesure où Exchange 2013 s’appuie en partie sur les sites Active Directory, seuls les membres du groupe Administrateur de l’entreprise peuvent créer, modifier ou supprimer les sites Active Directory. Il en sera de même pour la gestion des liens de sites. Néanmoins, un administrateur Exchange pourra gérer les paramètres des sites spécifiques à Exchange.

b. Principe général de remise

Lors de l’envoi d’un message, le service de transport a plusieurs possibilités selon que :

 Le message est destiné à une boîte aux lettres au sein de l’organisation Exchange : le service de transport du serveur source se connecte donc au service de transport du serveur de destination pour lui remettre le message. Puis celui-ci remet localement le message au service de base de données qui contient la boîte aux lettres.

 Le message est destiné à une boîte aux lettres en dehors de l’organisation Exchange (Internet) : le service de transport enverra le message vers le serveur de transport Edge à l’aide d’un connecteur d’envoi s’il est présent qui utilisera lui-même un connecteur d’envoi pour remettre le message. S’il n’y a pas de serveur Edge, le service de transport utilisera son connecteur d’envoi directement à destination d’Internet.

Dans la version 2013 d’Exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails.

 Le message est destiné à un groupe de distribution bénéficiant d’un serveur d’expansion : le service de transport transmet le message vers un serveur de hub- transport (ancienne version d’Exchange) ou un serveur de boîte aux lettres (Exchange 2013) désigné.

c. Groupes de remise dans l’infrastructure interne

Exchange 2013 découpe son infrastructure en zones de routage appelées groupes de remise.

Si le serveur source est dans le même groupe de remise que le serveur de destination, la remise est directe. S’ils sont dans des groupes de remise différents, la topologie de routage Exchange est utilisée pour acheminer le message par le chemin le moins couteux.

Dans l’infrastructure Exchange 2013, on dénombre cinq groupes de remise :

 DAG routable : ensemble des serveurs membres d’un groupe de disponibilité de base de données (DAG).

 Groupe de remise de boîtes aux lettres : ensemble de serveurs Exchange de version identique hébergés dans un même site Active Directory.

 Serveurs sources des connecteurs : serveur ou ensemble de serveurs associés à un connecteur d’envoi, un connecteur d’agent de remise ou un connecteur étranger.

 Site AD : ensemble de serveurs disposant des composants de transport membres d’un site Active Directory par lequel doit passer un message lors du processus de routage.

 Serveurs d’expansion de groupe de distribution : ensemble de serveurs configurés en tant que serveurs d’expansion de groupe de distribution.

Configuration des services de transport

1. Introduction à la configuration des services de transport

Lors de l’installation d’Exchange 2013, par défaut les e-mails internes peuvent être échangés et les e-mails extérieurs peuvent être reçus si un rôle d’accès client est présent. Pour cela, l’infrastructure Exchange 2013 utilise des connecteurs d’envoi implicites et invisibles qui utilisent les services de topologie d’Active Directory pour router correctement les mails.

Pour pouvoir communiquer avec l’extérieur de l’organisation, il va falloir configurer deux types de connecteurs : le connecteur d’envoi et le connecteur de réception.

2. Configuration d’un connecteur d’envoi

a. Présentation des connecteurs d’envoi

Le serveur Exchange considère qu’il doit remettre un message à l’aide d’un connecteur d’envoi lorsque le domaine de destination ne fait pas autorité dans la liste des domaines acceptés de l’organisation. Un domaine accepté étant un domaine de messagerie que l’organisation connaît.

Dans le cas où l’organisation dispose d’un serveur Edge, le rôle du connecteur d’envoi sera de rediriger l’ensemble du flux à destination d’internet vers le serveur Edge. Dans le cas

contraire, il aura pour charge de déterminer le mode d’envoi ainsi que les différentes destinations possibles pour la remise de messages.

Des configurations spécifiques, à destination de partenaires par exemple, peuvent inclure des niveaux de sécurité plus élevés que ce qui est couramment utilisé pour l’échange d’e-mail.

b. Configuration des connecteurs d’envoi

Lors de la configuration d’un connecteur d’envoi, il est nécessaire de préciser les informations suivantes :

 Nom : permet d’identifier le connecteur avec des éléments facilement intelligible.

 Espace d’adresses : indique les domaines DNS pour lesquels le connecteur va être utilisé.

 Mode de résolution de l’hôte distant : soit le serveur va faire une recherche par lui- même via l’enregistrement MX du domaine de destination, soit il va transmettre systématiquement les demandes de remise à un serveur qui sera le destinataire final ou un serveur "smart host" chargé de réaliser la remise.

 Serveur source : liste des serveurs habilités à envoyer des messages à l’aide des paramètres du connecteur. Si le serveur voulant envoyer le message ne fait pas partie de la liste, il va transmettre le message en interne dans l’organisation Exchange à un membre de la liste.

c. Mise en place des connecteurs d’envoi

Implémentation à l’aide de la console Centre d’administration Exchange L’administration des connecteurs d’envoi se fait à partir de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie, puis sur l’onglet Connecteurs d’envoi.

Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les connecteurs d’envoi de l’organisation Exchange.

Cliquez sur l’icône + pour créer un nouveau connecteur d’envoi.

Dans la fenêtre nouveau connecteur d’envoi, ajoutez le nom et sélectionnez le type de connecteur.

Implémentation à l’aide de la console Exchange Management Shell

Il est aussi possible d’administrer les connecteurs d’envoi à l’aide de la console Exchange Management Shell grâce aux commandes suivantes :

Dans la console Exchange Management Shell, tapez la commande suivante pour lister les connecteurs d’envoi de l’organisation Exchange :

Get-SendConnector

Dans la console Exchange Management Shell, tapez la commande suivante pour créer un connecteur d’envoi à destination d’Internet :

New-SendConnector -Internet -Name Internet -AddressSpaces *

Dans la console Exchange Management Shell, tapez la commande suivante pour modifier les paramètres d’un connecteur d’envoi afin qu’il soit désactivé :

Set-SendConnector -Identity Internet -Enabled $false

Dans la console Exchange Management Shell, tapez la commande suivante pour supprimer un connecteur d’envoi :

Remove-SendConnector -Identity Internet

3. Configuration d’un connecteur de réception

a. Présentation des connecteurs de réception

La configuration d’un connecteur de réception s’effectue au niveau de chaque serveur Exchange de l’organisation. Elle permet de déterminer si le serveur va accepter les messages

entrants et dans quelle mesure. On retrouve les paramètres de configuration des connecteurs de réception aussi bien sur les serveurs hébergeant le rôle accès client que sur les serveurs hébergeant le rôle boîte aux lettres.

Dans le cas des connecteurs de réception associés au rôle d’accès client, ils s’orientent naturellement vers la connectivité extérieure à l’organisation et exposent la configuration standard réseau, à savoir le port 25 sur TCP. De base, pour permettre la communication avec des serveurs tiers au travers d’internet, le connecteur de réception est configuré avec une autorisation pour les connexions anonymes.

Les connecteurs de réception associés au rôle boîte aux lettres ont pour vocation la mise en place des communications intérieures à l’organisation, avec une configuration facilitant la mise en place de communication sécurisée via l’authentification entre les serveurs, et une configuration des protocoles spécifiques sur le port TCP 2525.

b. Configuration des connecteurs de réception

Les critères de configuration d’un connecteur de réception sont basés sur l’association d’une plage réseau autorisée, d’un protocole d’authentification qui va permettre d’identifier

l’ordinateur, le service ou l’utilisateur qui se connecte et d’autorisations qui s’appuient sur des groupes de populations :

 Réseau : la configuration du réseau permet d’identifier les plages IP des serveurs qui seront autorisés à envoyer des messages au connecteur de réception.

 Authentification : l’authentification permet de spécifier les méthodes et protocoles d’authentification acceptés par le serveur. On retrouve les protocoles suivants :

o TLS (Transport Layer Security) : utilise une PKI et ses certificats pour authentifier l’émetteur du message. Il est possible de mettre en place une authentification mutuelle dans ce scénario (l’émetteur et le destinataire possèdent un certificat avec leur identité et s’authentifient réciproquement).

o Authentification de base : utilise une méthode d’authentification largement répandue et compatible mais qui a comme inconvénient de transmettre les informations d’authentification en clair sur le réseau, dont le mot de passe. On peut lui ajouter une sécurité supplémentaire en autorisant le transfert des informations d’authentification à travers un tunnel TLS (SSL).

o Authentification Windows intégrée : utilise le jeton d’authentification Windows pour s’authentifier.

o Authentification du serveur Exchange : utilise les mécanismes

d’authentification Exchange pour s’authentifier lors des communications entre les serveurs Exchange.

o Sécurisé de l’extérieur : le serveur Exchange ne prête plus attention au mécanisme d’authentification en déléguant sa confiance à un système tiers avec lequel il ne dialogue pas (en utilisant IPsec par exemple).

 Autorisations : permet de spécifier les populations de machine qui pourront envoyer des messages au connecteur de réception une fois l’authentification réalisée. On retrouve les groupes suivants :

o Serveurs Exchange : contient les serveurs de l’infrastructure Exchange

o Serveurs Exchange hérités : contient les serveurs des anciennes versions d’Exchange.

o Partenaires : contient les serveurs des réseaux partenaires.

o Utilisateurs Exchange : contient les utilisateurs possédants un compte de messagerie dans l’organisation Exchange.

o Utilisateurs anonymes : contient tous les utilisateurs qui n’ont pas pu être authentifiés (la plupart des e-mails provenant d’Internet sont associés à des utilisateurs anonymes).

Même si votre connecteur de réception est accessible de manière anonyme cela ne signifie pas que le serveur Exchange acceptera de relayer les messages. En effet, le service de transport accepte uniquement de transférer les mails à destination des domaines explicitement présents dans l’onglet Domaines acceptés, à moins d’avoir un connecteur d’envoi permettant le relais.

Si vous souhaitez autoriser le relais des messages pour des serveurs spécifiques (CRM, serveurs Web, SharePoint…), vous pouvez créer un connecteur de réception spécifique autorisé uniquement aux serveurs que vous aurez référencés par l’intermédiaire de leurs adresses IP.

c. Mise en place des connecteurs de réception

Implémentation à l’aide de la console Centre d’administration Exchange

L’administration des connecteurs de réception se fait à partir de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie, puis sur l’onglet Connecteurs de réception.

Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les connecteurs de réception de l’organisation Exchange.

Sélectionnez le serveur sur lequel vous souhaitez créer un nouveau Connecteur de réception, puis cliquez sur l’icône + pour créer un nouveau connecteur de réception.

Dans la fenêtre nouveau connecteur de réception, indiquez le nom du nouveau connecteur, le rôle pour lequel vous souhaitez le créer (dans le rôle d’accès distant ou le rôle boîte aux lettres) et le type de connecteur.

Dans la seconde page de la fenêtre nouveau connecteur de réception, indiquez le port TCP et les adresses des cartes des serveurs Exchange qui vont écouter les demandes de remise de message.

Dans la troisième page de la fenêtre nouveau connecteur de réception, indiquez la plage IP des serveurs qui auront le droit d’envoyer un message au connecteur de réception.

Implémentation à l’aide de la console Exchange Management Shell

Il est aussi possible d’administrer les connecteurs d’envoi à l’aide de la console Exchange Management Shell grâce aux commandes suivantes :

Dans la console Exchange Management Shell, tapez la commande suivante pour lister les connecteurs de réception de l’organisation Exchange :

Get-ReceiveConnector

Dans la console Exchange Management Shell, tapez la commande suivante pour créer un connecteur de réception à destination d’une application CRM hébergée sur des serveurs ayant une IP de 172.16.1.10 à 172.16.1.19 :

New-ReceiveConnector -Name ApplicationCRM -Usage Custom -Bindings 0.0.0.0:25 -RemoteIPRanges 172.16.1.10-172.16.1.19

Dans la console Exchange Management Shell, tapez la commande suivante pour modifier les paramètres d’un connecteur de réception afin d’autoriser l’utilisation du connecteur par des utilisateurs anonymes :

Set-ReceiveConnector -Identity ApplicationCRM -PermissionGroups AnonymousUsers

Dans la console Exchange Management Shell, tapez la commande suivante pour supprimer un connecteur de réception :

Remove-ReceiveConnector -Identity ApplicationCRM

4. Configuration des règles de transport

a. Objectifs des règles de transport

Les règles de transports permettent d’appliquer des paramètres à l’ensemble de l’organisation ou pour certains scénarios. On parle alors de stratégies de messagerie. Deux agents sont utilisés pour appliquer ces stratégies :

 Agent de règle de transport : applique les règles au niveau du service de transport : veille à la conformité vis-à-vis de la politique de l’entreprise.

 Agent de règle Edge : applique les règles au niveau du rôle Edge-transport : fonctionnalités antivirus et antispam.

La politique de l’entreprise définit un certain nombre de règles, notamment de confidentialité ou de stratégies. Certaines de ses règles peuvent avoir un impact fort sur la messagerie.

L’agent de règle de transport est l’outil qui permet de mettre en œuvre l’ensemble de ces règles (exemple : mise en place d’un disclaimer).

Grâce à l’intégration dans Active Directory, chaque service de transport peut ainsi récupérer la stratégie de messagerie, ce qui permet d’avoir une gestion centralisée de la conformité de l’entreprise vis-à-vis de la loi, des règlements et de sa propre politique.

b. Configuration des règles de transport

Les règles de transport permettent d’appliquer des actions sur les courriers qui transitent via les services de transport et de rôle Edge-transport. Ainsi, il est possible d’ajouter des

disclaimers, de modifier des formats, de transférer des e-mails…

Si une règle de transport liée au hub-transport est créée ou modifiée, elle s’applique à l’ensemble de l’organisation, alors qu’une règle liée à un edge-transport ne s’appliquera que sur le courrier traversant le serveur Edge.

Les champs d’applications diffèrent également, bien que la structure soit la même. De base, l’assistant propose un ensemble de règles prédéfinies pour les règles les plus courantes :

 Appliquer la protection des droits aux messages…

 Appliquer les exclusions de responsabilité (disclaimer)…

 Filtrer les messages par taille…

 Envoyer des messages à un modérateur…

 …

Il est aussi possible de créer une règle personnalisée qui sera composée des paramètres d’exécution suivants :

 Conditions : événement qui va déclencher l’exécution de la règle.

 Exceptions : cas où la règle ne s’appliquera pas même si la ou les conditions requises sont remplies.

 Actions : traitement réalisé par la règle.

 Dates : date de début et de fin d’exécution de la règle.

c. Mise en place des règles de transport

Implémentation à l’aide de la console Centre d’administration Exchange

L’administration des règles se fait à partir de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie, puis sur l’onglet Règles.

Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les règles de l’organisation Exchange.

Cliquez sur l’icône +, puis sélectionnez l’option Créer une règle.

Dans la fenêtre nouvelle règle, ajoutez le nom, les conditions d’exécution et les actions de la règle.

Implémentation à l’aide de la console Exchange Management Shell

Il est aussi possible d’administrer les connecteurs d’envoi à l’aide de la console Exchange Management Shell grâce aux commandes suivantes :

Dans la console Exchange Management Shell, tapez les commandes suivantes pour lister les règles de transport, les actions et les prédicats prédéfinis de l’organisation Exchange :

Get-TransportRule

Get-TransportRuleAction

Get-TransportRulePredicate

Dans la console Exchange Management Shell, tapez la commande suivante pour créer une règle de transport pour le déploiement d’un disclaimer :

New-TransportRule -Name Disclaimer -Enabled $true -SentToScope

’NotInOrganization’ -ApplyHtmlDisclaimerLocation ’Append’

-ApplyHtmlDisclaimerText "<h3>Disclaimer Title</h3><p>This is the disclaimer text.</p>" -ApplyHtmlDisclaimerFallbackAction Wrap

Dans la console Exchange Management Shell, tapez la commande suivante pour supprimer une règle de transport :

Remove-TransportRule -Identity Disclaimer

La création des règles sur les serveurs Transport Edge sera traitée dans le chapitre Implémentation du rôle Transport Edge.

Résolution des problèmes de transport

1. Maintenance des services de transport

Les fondements du protocole SMTP utilisé par Exchange 2013 sont basés sur la constitution de files d’attente qui vont stocker temporairement les messages en transit.

Suivant une logique de gestion des incidents impliquant des cibles de tentative d’envoi, le système permet de gérer la plupart des cas d’indisponibilité des différents composants locaux et distants.

Pour assurer un suivi de ces différents processus, quelques outils sont mis à notre disposition pour identifier et résoudre les problèmes de routage.

Le système de routage des messages s’appuie sur une base de données stockée par défaut dans le répertoire %ExchangeInstallPath%\TransportRoles\data\Queue. Il est possible pour des questions de fiabilité ou de performance, de modifier l’emplacement de ces fichiers de base de données à l’aide du script fourni dans le répertoire d’installation d’Exchange.

Dans une invite de commande Exchange Management Shell, naviguez jusqu’au répertoire

%ExchangeInstallPath%\Scripts\.

Lancez la commande suivante pour modifier l’emplacement de stockage temporaire :

Move-TransportDatabase -TemporaryStoragePath d:\SMTPQueue\Temp

Lancez la commande suivante pour modifier l’emplacement de la base de données et des journaux de transaction :

Move-TransportDatabase -QueueDatabasePath d:\SMTPQueue\Database -QueueDatabaseLoggingPath d:\SMTPQueue\Logs

2. Office 365 Best Practices Analyzer for Exchange Server 2013

Successeur de l’outil Exchange Server Best Practices Analyzer, cet outil permet de vérifier si la configuration semble correcte (problèmes de pilotes…). Les tests qui sont réalisés sont le résultat de l’expérience des équipes de support de Microsoft et permettent de partir sur des bases saines.

Il peut être utilisé pour les architectures suivantes :

 Organisation Exchange Server 2013 sur site uniquement.

 Organisation Exchange Server 2013 liée à Office 365.

Procédure de lancement de l’analyse

Ouvrez une session sur l’un des serveurs Exchange Server 2013.

À l’aide d’Internet Explorer, lancez le site https://portal.microsoftonline.com et connectez- vous avec un compte Office 365 (les comptes gratuits peuvent être utilisés).

Cliquez sur Tools dans le panneau de gauche.

Cliquez sur Check your on-premises Exchange Server.

Cliquez sur Run when prompted to install Best Practices Analyzer.

Cliquez sur Accept pour chacun des pré-requis nécessaires.

Cliquez sur Accept sur le Best Practices Analyzer End User Agreement.

Lancez l’outil d’analyse Microsoft Office 365 Best Practices Analyzer à partir du menu Windows.

Cliquez sur Next sur l’écran Welcome.

Entrez des informations d’authentification différentes si nécessaire et cliquez sur Next.

Cliquez sur Start Scan.

Cliquez sur View Details pour afficher le résultat des tests dans Internet Explorer.

3. Remote Connectivity Analyzer

L’outil Remote Connectivity Analyzer se présente sous la forme d’un site web public et permet de lancer des tests à partir d’une connexion extérieure. Il permet ainsi d’évaluer le niveau d’accessibilité des serveurs à partir du réseau Internet.

Cet outil n’est pas réservé à Exchange mais permet aussi d’évaluer les fonctions des produits Lync/OCS et Office 365.

Dans le contexte des services de transport, il sera en mesure de tester les fonctions de messagerie entrante et sortante pour le protocole SMTP.

Procédure de lancement d’une analyse du flux SMTP entrant Ouvrez une session sur l’un des serveurs Exchange Server 2013.

À l’aide d’Internet Explorer, lancez le site https://testconnectivity.microsoft.com/

Dans l’onglet Exchange Server, sélectionnez l’option Messagerie électronique SMTP entrante puis cliquez sur le lien Suivant en haut à droite.

Dans la fenêtre Messagerie électronique SMTP entrante, tapez une adresse e-mail issue de votre infrastructure dans le champ Adresse de messagerie, saisissez le captcha en bas de la fenêtre, cliquez sur le bouton Vérifier puis cliquez sur le lien Effectuer un test en haut à droite.

Patientez le temps que le test soit réalisé et notez les éventuelles erreurs d’acheminement.

Procédure de lancement d’une analyse du flux SMTP entrant Ouvrez une session sur l’un des serveurs Exchange Server 2013.

À l’aide d’Internet Explorer, lancez le site https://testconnectivity.microsoft.com/

Dans l’onglet Exchange Server, sélectionnez l’option Message électronique SMTP sortant puis cliquez sur le lien Suivant en haut à droite.

Dans la fenêtre Message électronique SMTP sortant, tapez l’adresse IP publique du serveur Exchange dans le champ Adresse IP sortante, puis tapez une adresse e-mail issue de votre infrastructure dans le champ Adresse de messagerie, saisissez le captcha en bas de la fenêtre, cliquez sur le bouton Vérifier puis cliquez sur le lien Effectuer un test en haut à droite.

Patientez le temps que le test soit réalisé et notez les éventuelles erreurs d’acheminement.

L’outil Remote Connectivity Analyzer possède aussi un assistant d’analyse des en-têtes de message dans l’onglet Analyseur de message.

4. Rapports de remise

Disponible depuis Exchange 2010, cet outil est mis à disposition de tous les utilisateurs par l’intermédiaire de la console Options de boîte aux lettres Outlook Web App et de la console Centre d’administration Exchange.

Un utilisateur standard sera limité à la recherche d’un e-mail qu’il a envoyé ou qu’il a reçu alors que l’administrateur aura la possibilité de parcourir les boîtes de son choix.

Il permet à tous les utilisateurs d’effectuer de manière autonome des recherches

d’informations sur la remise des messages qu’ils ont envoyés ou reçus. Il est donc inutile pour l’utilisateur de solliciter les administrateurs ou le support pour identifier des problèmes

simples d’acheminement des e-mails.

Il ne s’agit pas d’une simple recherche dans le contenu d’une boîte aux lettres de l’utilisateur mais bien d’une analyse de traces issues des composants de transport.

Pour cela, l’utilisateur pourra utiliser les champs de recherche suivants pour affiner sa recherche :

 Boîte aux lettres à rechercher : uniquement disponible aux administrateurs, elle permet de cibler la recherche sur une boîte aux lettres spécifiques.

 Rechercher les messages que j’ai envoyés à : permet de spécifier les destinataires des messages à analyser.

 Recherche les messages reçus de : permet de spécifier les émetteurs des messages qui vous ont été envoyés.

 Rechercher ces termes dans la ligne d’objet : permet de filtrer selon des termes rechercher dans l’objet des e-mails.

Les boîtes de découvertes permettent d’indexer le contenu de plusieurs boîtes aux lettres et ainsi étendre la portée de recherche pour les administrateurs.

Une fois le message retrouvé, une vue détaillée affiche l’historique du message et l’origine de l’erreur qui a empêché sa remise.

Recherche d’un message à l’aide de la console Options de Outlook Web App

Ouvrez une session à l’aide d’un compte de messagerie sur l’interface Outlook Web App.

Ouvrez le menu des options de la boîte aux lettres à l’aide de l’icône représentant un engrenage en haut à droite de l’interface puis en cliquant sur Options.

Cliquez sur le menu organiser la messagerie puis sur l’onglet Rapports de remise.

Lancez une recherche à l’aide des critères souhaités puis double cliquez sur le message pour afficher la vue détaillée.

5. Afficheur des files d’attente

L’outil Afficheur des files d’attente permet de lister et d’afficher le contenu des files

d’attentes SMTP. L’affichage se fait par domaine cible et un état de santé est associé à chaque cible.

Il est possible d’afficher l’en-tête des e-mails présents dans la liste d’attente.

Lancez la console Exchange Toolbox, puis lancez l’outil Afficheur des files d’attente.

Dans la console Afficheur des files d’attente, naviguez dans les différents onglets pour afficher le contenu de la file d’attente.

Pour afficher l’équivalent de l’outil Afficheur des files d’attente à l’aide de la console Exchange Management Shell, il vous suffit de taper la commande suivante :

Get-Message

Pour filtrer les résultats, il suffit d’utiliser les paramètres en suivant cet exemple :

Get-Message -Filter (FromAddress -like "*@avaedos.com") | Format-List

Ateliers : Configuration des composants de transport

1. Présentation de l’infrastructure nécessaire aux ateliers

Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :

 DC - Contrôleur de domaine pour le domaine eni.lan sous Windows Server 2012 configuré avec l’espace de noms DNS correspondant et les utilisateurs Loïc

THOBOIS (lthobois@eni.lan), Brahim NEDJIMI (bnedjimi@eni.lan), Matthieu MARTINEAU (mmartineau@eni.fr) et Saïda AZIRI (saziri@eni.fr). Le serveur appelé AD-DC1 est configuré avec l’adresse IP 172.16.1.1.

 EXCH - Serveur de messagerie Exchange 2013 configuré avec les rôles boîtes aux lettres (MBX) et accès clients (CAS). Le serveur appelé EXCH-SRV1 est configuré avec l’adresse IP 172.16.1.21.

Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet par l’ajout d’une seconde carte (connectée directement sur Internet) ou par une

passerelle permettant l’accès vers Internet.

La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".

2. Configuration du serveur DNS [DC] Création une zone DNS eni.fr

Dans l’outil d’administration Gestionnaire DNS, développez le serveur AD-DC1, puis Zones de recherche directes.

Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone….

Dans l’assistant Assistant Nouvelle zone, dans la page Bienvenue!, cliquez sur le bouton Suivant.

Dans la page Type de zone, sélectionnez Zone principale, puis cliquez sur le bouton Suivant.

Dans la page Étendue de la zone de réplication de Active Directory, sélectionnez Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine : eni.lan, puis cliquez sur le bouton Suivant.

Dans la page Nom de la zone, tapez eni.fr dans le champ Nom de la zone, puis cliquez sur le bouton Suivant.

Dans la page Mise à niveau dynamique, sélectionnez N’autoriser que les mises à jour dynamiques sécurisées (recommandé pour Active Directory), puis cliquez sur le bouton Suivant.

Dans la page Fin de l’assistant, cliquez sur le bouton Terminer.

Les opérations précédentes permettent de simuler l’achat d’un domaine public auprès d’un registrar dans le cadre de l’atelier, ils ne sont pas à reproduire dans un scénario

d’implémentation réel.

[DC] Ajout de l’enregistrement A et MX dans le DNS

Dans l’outil d’administration Gestionnaire DNS, développez le serveur AD-DC1, puis Zones de recherche directes et eni.fr.

Cliquez avec le bouton droit sur eni.fr, puis cliquez sur Nouvel hôte (A ou AAAA)….

Dans la fenêtre Nouvel hôte, tapez mail dans le champ Nom (utilise le domaine parent si ce champ est vide), puis 172.16.1.21 dans le champ Adresse IP puis cliquez sur le bouton Ajouter un hôte.

Dans la boîte de dialogue, cliquez sur le bouton OK, puis dans la fenêtre Nouvel hôte, cliquez sur le bouton Terminé.

Cliquez avec le bouton droit sur le nœud eni.fr à partir de l’arborescence de gauche, puis cliquez sur Nouveau serveur de messagerie (MX)….

Tapez mail.eni.fr dans le champ Nom de domaine pleinement qualifié (FQDN) pour le serveur de messagerie puis cliquez sur le bouton OK.

Les opérations précédentes peuvent être réalisées directement chez le registrar si vous n’hébergez pas la zone DNS dans votre infrastructure.

3. Configuration des composants de transport

[EXCH] Ajout du domaine public aux domaines acceptés

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie puis sur l’onglet Domaines acceptés.

Dans l’onglet Domaines acceptés, cliquez sur l’icône + pour ajouter un domaine accepté.

Dans la fenêtre nouveau domaine accepté, tapez eni.fr(domaine public) dans le champ Nom, eni.fr dans le champ Domaine accepté. Sélectionnez l’option Domaine faisant autorité. Le message est remis à un destinataire de cette organisation Exchange, puis cliquez sur le bouton Enregistrer.

Par défaut, Exchange 2013 crée un domaine accepté qui porte le nom pleinement qualifié de la forêt dans laquelle l’organisation Exchange est créée. Dans notre cas, c’est "eni.lan".

[DC] Ajout du suffixe UPN à la forêt Active Directory

Dans l’outil d’administration Domaines et approbations Active Directory, cliquez avec le bouton droit sur le nœud racine de l’outil appelé Domaines et approbations Active

Directory [ad-dc1.eni.lan] et sélectionnez Propriétés.

Dans la fenêtre Propriété de : Domaines et approbations Active Directory, dans le champ Autres suffixes UPN, tapez eni.fr et validez en cliquant sur le bouton Ajouter, puis sur le bouton OK.

Dans une implémentation standard d’Active Directory, le domaine est privé et les utilisateurs utilisent donc une adresse d’authentification (utilisateur@societe.lan) différente de leur e-mail qui s’appuie sur le domaine public (utilisateur@societe.fr). L’ajout d’un suffixe UPN va permettre d’uniformiser le format des comptes pour faciliter la vie des utilisateurs.

[EXCH] Application d’un nouveau suffixe UPN aux utilisateurs

Dans la console Centre d’administration Exchange, cliquez sur le menu Destinataires puis sur l’onglet Boîtes aux lettres.

Dans l’onglet Boîtes aux lettres, double cliquez sur l’utilisateur Loïc THOBOIS.

Dans la page Général des propriétés de l’utilisateur Loïc THOBOIS, modifiez le champ Nom d’ouverture de session de l’utilisateur de eni.lan vers eni.fr, puis cliquez sur le bouton enregistrer.

Dans la console Exchange management Shell, tapez les commandes suivantes :

#Affiche le nom d’ouverture de session de l’utilisateur Brahim NEDJIMI

Get-Mailbox "bnedjmi@eni.lan" | Select Name,UserPrincipalName

#Configure le nom d’ouverture de session de l’utilisateur Brahim NEDJIMI avec le nouveau suffixe UPN

Get-Mailbox "bnedjmi@eni.lan" | Set-Mailbox -UserPrincipalName bnedjimi@eni.fr

#Vérifie que le nom d’ouverture de session a bien été modifié

Get-Mailbox "bnedjmi@eni.lan" | Select Name,UserPrincipalName

Les comptes sont maintenant configurés pour utiliser le nouveau suffixe UPN et les

utilisateurs peuvent utiliser leur adresse e-mail pour ouvrir leur session Outlook Web App par exemple.

[EXCH] Modification de la stratégie de messagerie par défaut pour ajouter le format

<alias>@eni.fr

Dans la console Centre d’administration Exchange, cliquez sur le menu Flux de messagerie puis sur l’onglet Stratégies d’adresse de messagerie.

Dans l’onglet Stratégies d’adresse de messagerie, double cliquez sur Default Policy.

Dans la fenêtre Default Policy, cliquez sur le lien vers la page Format de l’adresse de messagerie.

Dans la page Format de l’adresse de messagerie, cliquez sur l’icône + pour ajouter un format d’adresse de messagerie.

Dans la fenêtre format de l’adresse de messagerie, sélectionnez eni.fr dans le champ Sélectionner un domaine accepté, alias@contoso.com dans le champ Format de l’adresse de messagerie, cochez l’option Définir ce format comme adresse de messagerie de

réponse puis cliquez sur le bouton enregistrer.

Dans la fenêtre Default Policy, cliquez sur le bouton enregistrer.

Dans l’onglet Stratégies d’adresse de messagerie, sélectionnez Default Policy, cliquez sur le lien Appliquer dans le volet de droite.

Dans la fenêtre avertissement, cliquez sur le bouton oui, puis sur le bouton fermer.

Cliquez sur le menu Destinataires, puis sur l’onglet Boîtes aux lettres, remarquez que les adresses des boîtes aux lettres dans la colonne ADDRESSE DE MESSAGERIE sont au format <alias>@eni.fr.

[SRV1] Ajout d’une stratégie de messagerie pour <prénom>.<nom>@eni.fr Dans la console Exchange Management Shell, tapez les commandes suivantes :

#Ajoute la stratégie d’adresse de messagerie

New-EmailAddressPolicy -Name "prenom.nom@eni.fr" -IncludedRecipients MailboxUsers -EnabledEmailAddressTemplates "SMTP:%g%s@eni.fr"

#Applique l’ensemble des stratégies de messagerie

Get-EmailAddressPolicy ] Update-EmailAddressPolicy