Configuration du filtrage des connexions
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-07-06
Cette rubrique donne également une vue d'ensemble de la manière de configurer le filtrage des connexions. Pour une configuration personnalisée ou plus avancée, consultez les liens de chaque section de cette rubrique. Pour plus d'informations sur le fonctionnement du filtrage des connexions, consultez la rubrique Filtrage des connexions.
Notes
Dans la perspective des composants configurables sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, la fonctionnalité de filtrage des connexions fait référence à un ensemble de listes d'adresses IP bloquées, de listes d'adresses IP autorisées, de fournisseurs de listes d'adresses IP bloquées et de fournisseurs de listes d'adresses IP autorisées. Le filtrage des connexions permet d'étendre le serveur.
Lorsque vous configurez le filtrage des connexions, vous devez procéder comme suit :
Activation de composantes de filtrage des connexions.
Ajoutez des adresses IP aux listes d'adresses IP autorisées et aux listes d'adresses IP bloquées.
Configurez les fournisseurs de listes d'adresses IP autorisées et les fournisseurs de listes d'adresses IP bloquées.
Configurez le filtrage des connexions pour les serveurs de transport Edge qui ne sont pas le premier point d'entrée SMTP (Simple Mail Transfer Protocol).
Testez les fonctionnalités de liste verte d'IP et de liste rouge d'IP.
Important : |
---|
Les modifications de configuration que vous apportez au filtrage des connexions à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell ne sont appliquées qu'à l'ordinateur local sur lequel le rôle serveur de transport Edge est installé. Si plusieurs instances du rôle serveur de transport Edge sont en cours d'exécution au sein de votre organisation, vous devez appliquer les modifications de configuration du filtrage des connexions à chaque ordinateur. |
Activation de composants de filtrage des connexions
Par défaut, le filtrage des connexions est activé sur le serveur de transport Edge pour les messages entrants en provenance d'Internet mais qui ne sont pas authentifiés. Ces messages sont traités comme des messages externes. Vous pouvez désactiver le filtre dans des configurations d'ordinateur individuelles à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell.
Lorsque le filtrage des connexions est activé sur un ordinateur, l'Agent de filtrage des connexions filtre tous les messages transmis via tous les connecteurs de réception présents sur cet ordinateur. Comme indiqué ci-avant dans cette rubrique, seuls les messages provenant de sources externes sont filtrés. Les sources externes sont définies comme sources non authentifiées. Celles-ci sont considérées comme des sources Internet anonymes.
Pour plus d'informations sur la configuration des connecteurs de réception et la manière dont les catégories de source sont déterminées, consultez la rubrique Connecteurs de réception.
Il est conseillé de ne pas filtrer les messages provenant de partenaires approuvés ou de l'intérieur de l'organisation. Lorsque vous exécutez des filtres de blocage du courrier indésirable, il est toujours possible que les filtres détectent des faux positifs. Afin de réduire la probabilité de traiter incorrectement les messages électroniques légitimes, vous devez permettre aux agents de blocage du courrier indésirable de ne s'exécuter que sur les messages de sources potentiellement non approuvées et inconnues. Vous pouvez activer et désactiver le filtrage des connexions sur des messages de toute source en utilisant l'environnement de ligne de commande Exchange Management Shell.
Pour plus d'informations sur la procédure d'activation du filtrage des connexions, consultez la rubrique Procédure d'activation du filtrage des connexions.
Ajout d'adresses IP aux listes rouges et aux listes vertes
Comme expliqué dans la rubrique Filtrage des connexions, les listes d'adresses IP bloquées et les listes d'adresses IP autorisées sont des listes définies par l'administrateur qui spécifient des adresses IP et des plages d'adresses IP sur lesquelles agit le filtrage des connexions. Si une adresse IP d'origine correspond à une adresse IP ou une plage d'adresses IP dans la liste d'adresses IP bloquées, l'Agent de filtrage des connexions traite tous les en-têtes RCPT TO: de ce message, puis refuse le message après la commande MAIL FROM. Si une adresse IP d'origine correspond à une adresse IP ou une plage d'adresses IP dans la liste d'adresses IP autorisées, l'Agent de filtrage des connexions envoie le message à la destination sans traitement supplémentaire par d'autres agents de blocage du courrier indésirable. Pour plus d'informations sur la manière dont les Agents de blocage du courrier indésirable coopèrent et l'ordre dans lequel ils sont appliqués, consultez la rubrique Fonctionnalités de blocage du courrier indésirable et des virus.
Notes
L'utilisation d'adresses IPv6 et de plages d'adresses IP n'est prise en charge que si Microsoft Exchange Server 2007 Service Pack 1 (SP1) est déployé sur un ordinateur exécutant Windows Server 2008, si les protocoles IPv6 et IPv4 sont activés sur cet ordinateur et si le réseau prend en charge les deux versions d'adresse IP. En cas de déploiement d'Exchange 2007 SP1 dans cette configuration, tous les rrôles serveur peuvent échanger des données avec des périphériques, des serveurs et des clients utilisant des adresses IPv6. Une installation par défaut de Windows Server 2008 prend en charge les protocoles IPv4 et IPv6. Si Exchange 2007 SP1 est installé sur Windows Server 2003, les adresses IPv6 ne sont pas prises en charge. Pour plus d'informations sur la prise en charge par Exchange 2007 SP1 des adresses IPv6, consultez la rubrique Prise en charge du protocole IPv6 dans Exchange 2007 SP1 et SP2.
Pour plus d’informations sur l’ajout d’adresses IP à la liste d'adresses IP bloquées et à la liste d'adresses IP autorisées, consultez la rubrique Procédure d'ajout d'adresses IP aux listes vertes et listes rouges d'IP.
Configuration des fournisseurs de listes d'adresses IP autorisées et des fournisseurs de listes d'adresses IP bloquées
Les services fournisseurs de listes d'adresses IP bloquées et de listes d'adresses IP autorisées peuvent vous aider à réduire le courrier indésirable et augmenter le traitement global des messages sur votre serveur de transport Edge. Vous devez envisager de configurer plusieurs services fournisseurs de liste d'adresses IP bloquées et de listes d'adresses IP autorisées.
Notes
Plusieurs services fournisseurs de liste d'adresses IP bloquées sont parfois appelés services de listes rouges en temps réel. Les services fournisseurs de listes d'adresses IP autorisées sont parfois appelés services de listes fiables.
Pour chaque service fournisseur de listes d'adresses IP bloquées que vous configurez, vous pouvez personnaliser l'erreur SMTP 550 renvoyée à l'expéditeur si l'adresse IP de ce dernier est épinglée par un service fournisseur de listes d'adresses IP bloquées et, par conséquent, bloquée par l'Agent de filtrage des connexions. Il est recommandé de personnaliser l'erreur SMTP 550 afin d'indiquer le service fournisseur de listes d'adresses IP bloquées qui identifie l'expéditeur comme adresse IP bloquée. Cela permet aux expéditeurs légitimes de contacter le service fournisseur de listes d'adresses IP bloquées pour demander à être supprimés de la liste d'adresses IP bloquées du service fournisseur de cette liste.
Divers services fournisseurs de listes d'adresses IP bloquées peuvent retourner des codes différents lorsque l'adresse IP d'un serveur distant qui envoie un message correspond à une adresse IP figurant dans une liste d'adresses IP bloquées d'un service fournisseur de listes. La plupart des services fournisseurs de listes d'adresses IP bloquées retournent l'un des types de données suivants : masque de bits ou valeur absolue. À l'intérieur de ces types de données, il peut y avoir plusieurs valeurs indiquant le type de liste sur laquelle figure l'adresse IP soumise.
Exemple de masque de bit
Cette section présente un exemple de codes d'état retournés par la plupart des fournisseurs de listes rouges. Consultez la documentation du fournisseur spécifique sur les codes d'état qu'il renvoie.
Pour les données de type masque de bits, le service fournisseur de listes d'adresses IP bloquées retourne le code d'état 127.0.0.x, où le nombre entier x est l'une des valeurs indiquées dans le tableau suivant.
Valeurs et codes d'état pour les données de type masque de bits
Valeur | Code d'état |
---|---|
1 |
L'adresse IP figure dans une liste d'adresses IP bloquées. |
2 |
Le serveur SMTP est configuré pour agir comme un relais ouvert. |
4 |
L'adresse IP prend en charge une adresse IP d'appel. |
Pour les types de valeur absolue, le service fournisseur de listes d'adresses IP bloquées retourne des réponses explicites basées sur la cause du blocage de l'adresse IP. Le tableau suivant présente des exemples de valeurs absolues et les réponses explicites.
Valeurs et codes d'état pour les données de type valeur absolue
Valeur | Réponse explicite |
---|---|
127.0.0.2 |
L'adresse IP est une source de courrier indésirable direct. |
127.0.0.4 |
L'adresse IP est un expéditeur de courrier non sollicité. |
127.0.0.5 |
Le serveur distant qui expédie le message est connu pour prendre en charge des relais ouverts multiniveau. |
Pour plus d'informations sur la configuration des fournisseurs de listes d'adresses IP autorisées et de listes d'adresses IP bloquées, consultez la rubrique Procédure de configuration des fournisseurs de listes vertes et de listes rouges d'IP.
Configuration du filtrage des connexions pour les serveurs de transport Edge qui ne sont pas le premier point d'entrée SMTP
Dans certaines organisations, le rôle serveur de transport Edge est installé sur des ordinateurs qui ne traitent pas les demandes SMTP directement sur Internet. Dans ce scénario, le serveur de transport Edge se trouve derrière un autre serveur SMTP frontal qui traite les messages entrants directement sur Internet. Dans ce scénario, l'Agent de filtrage des connexions doit pouvoir extraire du message l'adresse IP d'origine correcte. Pour extraire et évaluer l'adresse IP d'origine, l'Agent de filtrage des connexions doit analyser les en-têtes Reçu du message et les comparer au serveur SMTP connu dans le réseau de périmètre.
Quand un serveur SMTP compatible RFC reçoit un message, il met à jour l'en-tête Reçu du message en utilisant le nom de domaine et l'adresse IP de l'expéditeur. C'est pourquoi, pour chaque serveur SMTP situé entre l'expéditeur d'origine et le serveur de transport Edge, le serveur SMTP ajoute une entrée d'en-tête Received.
Lorsque vous configurez votre réseau de périmètre pour prendre en charge Microsoft Exchange Server 2007, vous devez spécifier toutes les adresses IP des serveurs SMTP figurant dans votre réseau de périmètre. Les données d'adresse IP sont répliquées sur les serveurs de transport Edge par EdgeSync. Lorsque des messages sont reçus par l'ordinateur qui exécute l'Agent de filtrage des connexions, l'adresse IP dans l'en-tête Reçu qui ne correspond pas à une adresse IP de serveur SMTP dans votre réseau de périmètre est supposée être l'adresse IP d'origine.
Vous devez spécifier tous les serveurs internes SMTP sur l’objet de configuration de transport dans la forêt Active Directory avant d’exécuter le filtrage des connexions. Spécifiez les serveurs SMTP internes en utilisant le paramètre InternalSMTPServers sur la cmdlet Set-TransportConfig.
Test des fonctionnalités de liste d'adresses IP bloquées et de liste d'adresses IP autorisées
Après avoir configuré un service fournisseur de listes d'adresses IP bloquées ou de listes d'adresses IP autorisées, vous devez effectuer un test pour vous assurer le filtrage des connexions est correctement configuré pour le service particulier. La plupart des services fournisseurs de listes d'adresses IP bloquées ou de listes d'adresses IP autorisées proposent des adresses IP de test que vous pouvez utiliser pour tester leurs services. Lorsque vous effectuez un test de service fournisseur de listes d'adresses IP bloquées ou de listes d'adresses IP autorisées, l'Agent de filtrage des connexions émet une requête DNS (Domaine Name System) basée sur l'adresse IP de liste rouge en temps réel qui doit donner une réponse spécifique. Pour plus d'informations sur les services de liste rouge en temps réel, consultez la rubrique Filtrage des connexions. Pour plus d'informations sur la manière de tester des adresses IP en relation avec un service fournisseur de listes d'adresses IP bloquées ou de listes d'adresses IP autorisées, consultez les rubriques Test-IPAllowListProvider et Test-IPBlockListProvider.
Pour plus d'informations
Pour plus d'informations sur la configuration du filtrage des connexions à l'aide de la console de gestion Exchange, consultez les rubriques suivantes :
Procédure d'ajout d'adresses IP aux listes vertes et listes rouges d'IP
Procédure de configuration des fournisseurs de listes vertes et de listes rouges d'IP
Pour plus d'informations sur la configuration du filtrage des connexions à l'aide de l'environnement de ligne de commande Exchange Management Shell, consultez les rubriques suivantes :