Bienvenue

Sécurité de la plate-forme messagerie Microsoft Exchange Server 2003 et des accès distants depuis n’importe quel poste

Nom du présentateur

Partenaire Officiel

Logistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Cédérom

Commodités Merci d’éteindre vos téléphones

Qu’est-ce que TechNet ?

• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des Webcasts accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les Virus et le SPAM• Gestion des droits numériques

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les Virus et le SPAM• Gestion des droits numériques

COLLABORATION ASYNCHRONE

COLLABORATION TEMPS-REEL

COLLABORATION METIER

Plate-forme travail collaboratif Microsoft

SERVICES D’INFRASTRUCTURE

Windows SharePointServices

Windows MediaServices

Windows RightsManagement Services

Exchange Server 2003

Productivité

Infrastructure de communication universelle pour les professionnels de l’information :• Outlook 2003 : RPC/HTTP, cache local, compression, • Outlook Web Access : règles serveur, S/MIME, Logoff, …• Mobilité : synchronisation PDA, Smartphone, OMA.

Service critiqueAttente vis-à-vis d’une infrastructure de communication : aussi fiable, et prédictible que l’eau, l’électricité :• Haute disponibilité : volume Shadow Copy, Recovery Storage Group, cluster 8-nœuds,• Sécurité : sécurisé par défaut, Anti-Spam.

Simplicité opérationnelle

Baisse ou stagnation des budgets informatiques.Nécessité de réduction de la complexité : “faire plus avec moins” :• Productivité des IT Pro (nouveaux outils de déploiement, support de Microsoft Operations Manager),• Consolidation de serveurs et de sites.

Plate-forme de messagerie et travail collaboratif Plate-forme de messagerie et travail collaboratif d’entreprise, fiable et facilement administrable. d’entreprise, fiable et facilement administrable.

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les virus et le SPAM• Gestion des droits numériques

Initiative “Informatique de confiance”Exchange Security Push

• Dans le passé :– Focus principal sur les déficiences fonctionnelles, pas les

vulnérabilités.– « Logique Sécurité » = Kerberos, ACLs, PKI.

• Exchange Security Push :– Prolonger les efforts des équipes Windows selon les objectifs

communs d’une « informatique de confiance » :• Revue du rôle des composants, de leur surface d’attaque,

• Revue de code et modélisation de scénarios.

– Quels impacts sur la qualité du code d’Exchange Server 2003 ? http://www.microsoft.com/technet/security/current.aspx

– Exchange 2000 :– 12 vulnérabilités depuis novembre 2000.– 5 vulnérabilités depuis 2003.

– Exchange 2003 :– 5 vulnérabilités.

Documentations sécurisationDocumentations sécurisation Communauté sécurité (relations avec l’industrie, Communauté sécurité (relations avec l’industrie,

divulgation responsable)divulgation responsable) Microsoft Security Response Center Microsoft Security Response Center

SD3 + C

Secure by DesignSecure by DesignSécurisé Dès la Sécurisé Dès la conceptionconception

Secure by DefaultSecure by Default Sécurisé par DéfautSécurisé par Défaut

Secure in Secure in DeploymentDeploymentSécurisé une fois DéployéSécurisé une fois Déployé

CommunicationsCommunications

Architecture sécuriséeArchitecture sécurisée Fonctionnalités sécuriséesFonctionnalités sécurisées Réduction des vulnérabilités du codeRéduction des vulnérabilités du code

Réduction de la surface d’attaqueRéduction de la surface d’attaque Fonctionnalités non utilisées désactivées par Fonctionnalités non utilisées désactivées par

défautdéfaut Principe du moindre privilègePrincipe du moindre privilège

Protéger, Détecter, Défendre, Récupérer, GérerProtéger, Détecter, Défendre, Récupérer, Gérer Processus :Guides d’architecture, Processus :Guides d’architecture, how to’show to’s Personnes: FormationPersonnes: Formation Amélioration de la qualité des correctifs. Amélioration de la qualité des correctifs.

Cohérence dans les moyens d’installation.Cohérence dans les moyens d’installation.

Exchange Sécurité« Secure by design »

• « Exchange Security Push »– S’aligne et reprend les initiatives du « Windows Security Push »

• Filtrage des connections IP– Gestion des connections acceptées ou refusées

– Support des fournisseurs de “black hole list”

• Filtrage des expéditeurs– Filtrage de messages basé sur l’expéditeur ou le domaine SMTP

– Filtrage de messages SANS expéditeur

• Filtrage des destinataires– Limitation des utilisateurs ou DL pouvant recevoir des messages

• Anti-spoofing– Filtrage des expéditeurs– Pas de résolution de l’expéditeur pour les connections non authentifiés

• Intégration API de Recherche/Éradication de virus

Exchange Sécurité« Secure by default »

• Limitation des services activés par défaut– Limite la surface d’attaque,– « Windows Security Push »,– SMTP, POP3, IMAP4, NNTP.

• Impossible pour un NON administrateur de se « logger » sur le serveur.

• Limitation de la taille par défaut des messages– 10Mo en émission/réception.

Exchange Sécurité« Secure in deployment »

• Documentations à l’installation.• Limitation de l’importance des droits à avoir sur un

domaine pour installer/configurer un serveur.• “Microsoft Baseline Security Analyzer”.• “IIS Lockdown Wizard”.

http://www.microsoft.com/exchange/security

Impacts de l’approche SD3 + CSecure by DefaultSecure by DefaultSecure by DefaultSecure by DefaultSecure by DesignSecure by DesignSecure by DesignSecure by Design

CommunicationsCommunicationsCommunicationsCommunicationsSecure in Secure in DeploymentDeploymentSecure in Secure in DeploymentDeployment

• Initiatives anti-Spam, antivirus :– VAPI 2.5, fonctions anti-spam clients et serveur, IMF.

• Kerberos :– Connexion Outlook RPC sur HTTP,– Authentification client par défaut,– Authentification cross forêt (Windows Server 2003).

• Outlook Web Access sécurisé :– Support S/MIME, filtrage des “web beacons”, referrals, blocage

d’attachements, authentification par cookies,– Support d’IPSec pour les configurations frontales/dorsales.

• Intégration optionnelle de fonctions Information Rights Management.

• Synergie avec ISA Server 2000 Feature Pack 1 :– Filtrage SMTP selon plusieurs critères :

Expéditeur, domaine, mots clés, extension de l’attachement, nom, taille, commande SMTP.

– Protection étendue d’Outlook Web Access.• Synergie avec ISA Server 2004.

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les Virus et le SPAM• Gestion des droits numériques

Sécuriser l’infrastructure• Sécurisation des com-

munications inter serveurs :– IPSec et Kerberos entre les FE et BE,

y compris les clusters.

• Sécuriser l’accès à Internet d’une infrastructure Exchange :– Synergie avec ISA Server 2000

Feature Pack 1 ou ISA Server 2004,– Introduction d’un smarthost SMTP

dans la DMZ ou le réseau interne (server bridgehead) :

• Permet de ne pas généraliser la connexion à Internet à tous les serveurs.

• Authentification Cross-forêt : – Pour lutter contre les usurpations

d’identités SMTP.

• Bonnes pratiques :– 3 pointeurs à la fin de cette

présentation.

Design d’architecture Exchange typique

ExFEExFE SMTPSMTP

ExBEExBE ADAD

• Architecture multi tiers d’Exchange Server 2003 :– Serveur frontal (ExFE) :

protocoles web.– Serveur dorsal (ExBE) :

stockage de boîtes aux lettres et dossiers publics.

Nouvelles possibilités de topologies sécurisées

• Déplacer vos serveurs critiques en interne pour une meilleure protection.

• Ajouter ISA Server à votre DMZ actuelle.

• Augmenter la sécurité en publiant :– Exchange RPC,– OWA sur HTTPS,– RPC sur HTTPS,– SMTP (filtrage de contenu).

ExFEExFE SMTPSMTP

ExBEExBE ADAD

ISA ServerISA Server

Pare-feu : quels sont les problèmes adressés par ISA Server 2004 ?

• De nombreux pare-feux déployés aujourd’hui…– Se concentrent sur le filtrage et l’inspection de paquets en

fonction du contexte (SPI) - couches OSI 3 et 4.• De nombreuses attaques rencontrées aujourd’hui…

– Sont au niveau applicatif et déjouent ces mesures sans problème - couche OSI 7.

• Les ports et protocoles ne peuvent plus être utilisés comme garants des intentions :– Certains ports sont «sur utilisés» et peuvent être facilement

exploités pour contourner le filtrage.– Port TCP 80 hier - Web (HTTP) uniquement.– Port TCP 80 aujourd’hui - Browsing Web, Web mail, Web

Services XML (SOAP), HTTP-Tunnel …

Le filtrage de paquets

et le SPI n

e sont

Le filtrage de paquets

et le SPI n

e sont

pas suffisants

pour assu

rer une

pas suffisants

pour assu

rer une

protection co

ntre le

s atta

ques

protection co

ntre le

s atta

ques

d’aujourd’hui !

d’aujourd’hui !

Il est fortement recommandé d’utiliser ISA Server Il est fortement recommandé d’utiliser ISA Server 2004 pour tout déploiement Exchange 20032004 pour tout déploiement Exchange 2003

Il est fortement recommandé d’utiliser ISA Server Il est fortement recommandé d’utiliser ISA Server 2004 pour tout déploiement Exchange 20032004 pour tout déploiement Exchange 2003

Configuration simplifiée via les assistants

Assistant de publication de serveur de messagerieAssistant de publication de serveur de messagerieAssistant de publication de serveur de messagerieAssistant de publication de serveur de messagerie

Service UUID Port

Exchange {12341234-1111… 4402

Réplication AD {01020304-4444… 3544

MMC {19283746-7777… 9233

Les services RPC obtiennent des ports aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table.

RPC Concepts

135/tcp

1. Le client se connecte au portmapper sur le serveur (port tcp 135).

Le client connaît l’UUID du service qu’il souhaite utiliser.

{12341234-1111…}

5. Le client accède à l’application via le port reçu.

2. Le client demande quel port est associé à l’UUID ?

3. Le serveur fait correspondre l’UUID avec le port courant…

4402

4. Le portmapper répond avec le port et met fin à la connexion.

4402/tcp

• Seul le port TCP 135 (portmapper) est ouvert :– Les ports >1024 sont ouverts/fermés dynamiquement pour les

clients Outlook en fonction des besoins.

• Inspection du trafic vers le portmapper au niveau applicatif.• Seuls les UUID définis sont autorisés à l’exclusion de tout

autre.

Filtre applicatif RPCAccès distant Outlook sans mise en place de VPN

Serveur Serveur ExchangeExchangeISA ServerISA Server

Client Client OutlookOutlook

• Reconnaissance ?– NETSTAT ne montre que 135/tcp.– RPCDump ne fonctionne pas.

• Déni de service contre le portmapper ?– Les attaques connues échouent.– Exchange est protégé des attaques.

• Attaques des services d’Exchange ?– L’obtention d’informations n’est plus possible.– Les connexions entre ISA Server et Exchange vont

échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées.

Oui !

Oui !

Oui !

Filtre applicatif RPCProtection contre les attaques

Comment ISA Server 2004 protège le trafic RPC / HTTP ? (1/2)

RPC Server (Exchange)

RPC Client (Outlook)

TCP 135 :

Port for {

0E4A… ?Port 4

402 : Data

Server : Port 4

402

Internet

• Connexion initiale :– Bloque les requêtes

non destinées à Exchange.

• Autres connexions :– Connexion au port

Exchange.– Force le cryptage.

ISA Server 2004 sécurise ISA Server 2004 sécurise l’accès e-mail via Outlookl’accès e-mail via Outlook

ISA Server 2004 sécurise ISA Server 2004 sécurise l’accès e-mail via Outlookl’accès e-mail via Outlook

• ISA Server 2004 au bout du tunnel SSL :– Inspection du trafic HTTP. – Supprime les requêtes hors http://.../rpc/...

• Pas de connexion directe vers Exchange :– Utilise le filtre applicatif HTTP.

RPC Traffic

Web Server Attacks

Internet

Comment ISA Server 2004 protège le trafic RPC / HTTP ? (2/2)

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les Virus et le SPAM• Gestion des droits numériques

Introduction• Signer/crypter : quels sont les services offerts ?

– Signature = authentification, non répudiation, intégrité,– Cryptage = confidentialité et intégrité.

• Composants d’un système de sécurité de message Exchange Server 2003 :– Exchange Server 2003,– Clients de messagerie électronique,– Infrastructure de clés publiques.

• Un seul document pour tout savoir sur le sujet : – « Guide de sécurité des messages Exchange Server 2003 ».

Infrastructure de clés publiques

• 2 possibilités :– Toute PKI pouvant prendre en charge S/MIME v3,

– PKI de la plate-forme Windows Server 2003 :• Bénéfice de l’intégration à Active Directory.

• Grâce à Windows Server 2003, suppression du composant KMS d’Exchange :– La récupération et l’archivage des clés sont maintenant pris

en charge par l’autorité de certification de Windows Server 2003.

Prise en charge des clients de messagerie par Exchange Server 2003

– Clients MAPI Microsoft Outlook® 2000 SR-1 et versions ultérieures :

• Via l’apport du support des certificats X509 v3.

– Clients POP3 et IMAP4, supportant S/MIME v2 ou v3 :• Support de S/MIME v3 complet depuis Outlook Express 5.5 et Outlook 2000 SR-1.

– Clients Outlook Web Access :• Utilisation du contrôle S/MIME : IE 6.0 minimum.

– Quid des clients Outlook Mobile Access et ActiveSync® ?• Mêmes fonctionnalités que pour les clients OWA sans contrôle S/MIME.• Lecture des messages à signature en clair mais pas des messages à signature

opaque.• Suppression de la signature numérique.• Ne peuvent pas signer ou crypter un message.

Principes de fonctionnementSignature de messages

m Condensé Condensé (hash)(hash)

HashHash

AliceAliceAliceAlice

Hash Hash cryptécrypté

m

MessageMessage

Principes de fonctionnementVérification du message signé

m

BobBobBobBob

m

Message

Principes de fonctionnement Cryptage de messages

Message

AliceAliceAliceAlice

Annuaire

mSym.

Demande de certificat

cert de Bob Public

Principe de fonctionnement Décryptage de messages

Sym.

m

BobBobBobBob

Outlook Web AccessExpérience utilisateur

• Crypter/signer :

• Vérifier une signature électronique :

Outlook ExpressExpérience utilisateur

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les virus et le SPAM• Gestion des droits numériques

“Get Secure, Stay Secure”

• Microsoft.com/security :– Outils de sécurité,– Bulletins et alertes virus.

• Windows + Office Update :– Importance des mises à jour automatiques :

• E.g. pb ‘SQL Slammer’ ou ‘Sasser’.– Stratégie de gestion des changements :

• Software Update Server (SUS).

Protection du système de messagerie : de quelles menaces parle-t-on ?

• Corps des messages HTML :– JScript/VBScript,– ActiveX/Objets COM,– Applets Java.

• Pièces jointes :– Attachements nuisibles : exécutables, scripts, …– Macros/scripts contenus dans des documents bureautiques :

• Propagation aisée par la messagerie.• Accès aux interfaces programmatiques du client de

messagerie :– Envois « silencieux » de messages.

Les moyens de protection

• Protections au niveau Clients :– Par mise à jour pour les clients Outlook 98 SP2 et 2000 :

• « Outlook Security Update » : suffit à stopper tous les virus type ILOVEYOU, Melissa, Goner.

– Security update intégré en standard dans Outlook 2002 et 2003 :• http://www.microsoft.com/office/previous/outlook/2002security.asp.

– Cas des clients Outlook Express.

– Apport du SP2 de Windows XP.

• Protections au niveau serveur :– Exchange Server 2003,

– Outlook Web Access.

… et éduquer les utilisateurs(Sans doute un voeu pieux !)

• Etude IDC : plus d’1/3 (37 %) des utilisateurs de messagerie en entreprise ouvriraient encore l’attachement d’un mail intitulé 'ILOVEYOU' :– Le rapport indique également que les utilisateurs ouvriraient tout mail

d’un expéditeur connu si l’un des sujets suivants était présent : Great Joke (54%), Look at this (50%), Message (46%), No title (40%) or special offer (39%).

– Pondérer ces chiffres pour les utilisateurs francophones.

Source: http://www.theregister.co.uk/content/8/16668.html 2/6/2001

Protections antivirus d’Outlook

• Paramétrage par défaut :– Blocage d’attachements,– Blocage de l’accès au modèle objets d’Outlook,– Désactivation du scripting pour les messages

HTML.

• Personnalisation par l’administrateur au niveau du serveur Exchange.

• Recensement de 38 types d’attachements à risque.• Les utilisateurs sont prévenus lorsqu’ils envoient une pièce

jointe de type « exécutable ».

• Par défaut, les pièces jointes de type « exécutable » ne sont pas accessibles.

Blocage des attachements dans Outlook

Protection de l’accès programmatique

• Assure la protection de l’accès :• A l’annuaire,• Aux informations concernant les destinataires de messages,• L’envoi automatique/silencieux de messages.

• Par défaut, l’utilisateur est invité à acquitter les actions de ce type.

Paramétrage au niveau Serveur

Outlook Express (XP SP2)

• Aperçu de message plus sûr.

• Améliorations dans OE comparables à celles d’Outlook 2003 : – E-mail HTML en zone Sites

sensibles,– Non téléchargement du

contenu HTML externe,– Protection du carnet

d’adresses,– Protection contre le contenu

exécutable.• Q291387 “Using Virus

Protection Features in Outlook Express 6”.

Les outils de protection complémentaires Gestion des macros dans Office

• Office 97 :– 3 niveaux de sécurité : bas, moyen, élevé.– Nécessite une éducation utilisateur au niveau « moyen ».– La sécurité haute prohibe l’utilisation

des macros.

• Office 2000/2002/2003 :– Les scripts embarqués peuvent être

signés.– Paramétrages de politiques

applicatives pour démarrer les macros signées avec des certificats.

– Peut être utilisé pour forcer les revues de code.

– Permet l’utilisation de scripts en conservant une sécurité haute.

Messagerie : sécuriser l’infrastructure avec Exchange Server 2003

– API antivirus VSAPI2.5,– Blocage d’attachements dans OWA,– Filtrage Anti-Spam,– Contrôle de version Outlook :

• Permet le contrôle du niveau de patching.

Messagerie : sécuriser l’infrastructureAPI et logiciels anti-virus

• AV API 2.0 dans Exchange 2000 SP1 :– Scan : priorité, arrière-plan, on-demand,– Connecteurs, passerelles,– Format natif MAPI, MIME,– Support Streaming Data,– Accès aux messages et propriétés,– Compteurs de performances (scanned, cleaned, quarantined,

MIME, MAPI…),– Journalisation (event log).

• Offres tierces :– TrendMicro,– Norton/Symantec,– NAI/GroupShield, …

API 2.5 dans Exchange Server 2003

• Améliorations de l’API :– Destruction de messages,– Propriétés de messages additionnelles,– Plus de code de statut à Outlook,– Scanning des messages sortant,– API utilisable au niveau des passerelles.

• Compatibilité ascendante avec l’API 2.0.

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les virus et le SPAM• Gestion des droits numériques

Le SPAM• Terminologie :

– Spamming, spam, courrier-rebut, pourriel ou polluriel.

• Définition de la CNIL :– « L’envoi massif, et parfois répété, de courriers électroniques non

sollicités, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté l’adresse électronique de façon irrégulière ».

• Quelques chiffres :– Brightmail pour Hotmail bloque déjà 2,4 milliards de Spams chaque

jour dans le monde, soit 80 % du trafic de mails gérés par les serveurs Hotmail.

– 60% - 80 % du trafic Internet de Microsoft Corp.– 50% du trafic e-mail total :

• Etude de Pew Internet & American Life (octobre 2003).

– 90% des internautes français recevraient du « Spam » :• Etude AOL-Novatris (octobre 2003).

Initiative Anti-Spam MicrosoftLes mesures

– Action juridique : • Microsoft dépose des plaintes contre des personnes ou des sociétés

américaines coupables de spamming. Jean-Christophe Le Toquin, avocat chez Microsoft, participe à la coordination de l’initiative anti-Spam de Microsoft pour l’Europe.

– La guerre technologique :• Discussions avec d'autres acteurs concernés (Yahoo, AOL, etc.) :

échanger les meilleures pratiques, identifier plus facilement les spammeurs et améliorer la fiabilité des systèmes de messagerie.

• Initiative Caller-Id, outils propriétaires.

– La concertation et la collaboration :• Avec le secteur du marketing direct et les associations représentatives

de la profession afin de mettre en place une auto réglementation. • Avec les gouvernements en Europe, au Moyen-Orient et en Afrique afin

de développer des législations protectrices.

– Éducation des utilisateurs (MSN) :• Conseils sur l'utilisation de nos filtres ou sur les façons de ne pas

laisser traîner inutilement son adresse e-mail sur le Web.

Initiative “Caller-ID”  – Idée générale :

• L’idée est de vérifier que le domaine associé au message (user@societe.com) est le bon.

• Il faut désormais travailler au niveau du protocole lui-même pour endiguer le problème du SPAM.

– Principe technique :• Chaque entreprise désigne dans le DNS, l’adresse IP du serveur de messagerie routant ses messages sortant (Caller-ID).

• Le serveur de messagerie traitant la remise finale du message vérifie dans le DNS que l’adresse IP du serveur SMTP de l’expéditeur du message est bien associée au domaine affiché dans le message.

• Possibilité d’ajouter et d’exposer des éléments supplémentaires dans le DNS lié à la politique de gestion des adresses mail.

– Annoncée par Bill Gates lors de la RSA Conference de février 2004 :• Proposition conjointe avec SPF (Sender Policy Framework) de Meng Wong à l’IETF en mai.

• L’IETF publie un draft résultant de « Sender-ID » en juin.

Gestion du Spam en standard dans Exchange Server 2003

• Filtrage d’expéditeurs :– Filtrage de messages basé sur l’expéditeur ou le domaine SMTP,– Filtrage de messages SANS expéditeur.

• Filtrage de destinataires :– Filtrage de messages adressés à un destinataire particulier,– Coupure de la connexion après remise de 20 messages non

résolus,– Utilisation de certaines DL restreinte aux utilisateurs authentifiés.

• Anti-spoofing :– Filtrage d’expéditeurs,– Pas de résolution de l’expéditeur pour les connexions non

authentifiées,– Traçage de la méthode de remise : anonyme ou authentifiée.

• OWA & Outlook :– Blocage des pièces attachées,– Liste personnelle d’expéditeurs non désirables.

Gestion du Spam avec Exchange Server 2003

Filtrage d’e-mails dans Outlook 2003• Listes “safe” ou “blocked” :

– Toute adresse ou nom de domaine peut être de confiance ou exclu explicitement.

– Certaines listes sont “de confiance” implicitement :• Liste des contacts de l’utilisateur,• Au sein d’une organisation Exchange.

• Les messages HTML ne peuvent pas télécharger automatiquement le contenu Internet :– Prévient le risque de“web beacon”.

• Contrôle sur la visualisation de contenu “offensif”.• Intégration à une liste de confiance pour télécharger le

contenu.

Microsoft Exchange Intelligent Message Filter

• Filtre Anti-Spam dédié à Exchange Server 2003 :– Technologie « SmartScreen » de MS Research :

• Déjà utilisée dans Outlook 2003, MSN 8, Hotmail.– Basé sur l’analyse de millions de messages.

• Permet de définir un niveau de « Spam Confidence Level ».• Deux niveaux de SCL configurables :

– Passerelle :• Archiver, supprimer, rejeter.

– Boîte aux lettres :• « Courrier indésirable ».

• Téléchargeable sur le Web :– Add-on complémentaire aux solutions d’éditeurs tiers.– Intégré au Service Pack 1 d’Exchange Server 2003.

Gateway Server / Transport

Exchange Server 2003

3rd Party Plug-Ins

Allow/Deny Lists

Real-Time Block Lists

Mailbox Server / Store

UserTrusted &

Junk Senders

Junk MailFolder

Inbox

Junk MailFolder

Inbox

Junk MailFolder

Inbox

OWA

SCL = Spam Confidence Level

Microsoft Exchange Intelligent Message Filter

Spam?

UserTrusted &

JunkSenders

UserTrusted &

JunkSenders

Message +SCL

SMTP Message

Spam?

IntelligentMessage

Filter

Outlook 2003

• Coté Serveur : Windows Rights Management Services (WRMS). Windows Server 2003 Enterprise Edition.

• Coté Client : Windows Rights Management client APIs. Déploiement via Windows Update pour les clients.

• Coté applications : Applications compatibles RMS, SDK Client RMS, Office System est la première application à utiliser RMS au travers

d’Information Rights Management (I.R.M.). Un langage de définition des droits XrML (www.xrml.org) défini par

Xerox.

IRM : les composants de la solution

Agenda

• Introduction• Exchange Security Push : objectifs et

impacts produits• Sécuriser l’infrastructure de communication• Sécuriser les échanges : signer/crypter• Lutter contre les virus et le SPAM• Gestion des droits numériques

Qu’est-ce que l’Information Rights Management ?

• L’Information Rights Management (IRM) offre aux auteurs et aux organisations la possibilité de contrôler l’utilisation des documents et e-mails.

• L’IRM est un outil, et NON une solution, à tous les problèmes de sécurité d’une organisation.

• L’IRM est conçu pour adresser les contraintes liées au contenu “sensible”.

• Une solution ouverte et extensible.• Juste un système anti-copie.

En résumé

• Pour suivre l'initiative Microsoft Trustworthy Computing, Exchange Server 2003 et Windows Server 2003 partagent la même triple sécurisation : par leur conception, par les paramètres par défaut et lors du déploiement.

• Exchange Server 2003 protège mieux votre environnement de messagerie avec : – Un contrôle amélioré du courrier indésirable qui prend en charge

les listes noires en temps réel. – Prise en charge de S/MIME et déconnexion automatique en cas

d'inactivité d'Outlook Web Access. – Filtrage des connexions. – …

Plus d’informations…• Exchange Server 2003 :

– www.microsoft.com/exchange – www.microsoft.com/france/exchange

• Tous les cours sur Exchange Server, et les centres de formation dans votre région sur :– http://www.microsoft.com/france/formation/

• Livres Microsoft Press :– http://www.microsoft.com/france/mspress

• Exchange Server 2003 Security Hardening Guide – (http://www.microsoft.com/exchange/techinfo/security/BestConfig2003.asp)

• Exchange Server 2003 Transport and Routing Guide – http://www.microsoft.com/downloads/details.aspx?FamilyId=C092B7A7-9034-

4401-949C-B29D47131622&displaylang=en • Controlling SMTP Relaying with Microsoft Exchange

– http://www.microsoft.com/technet/security/prodtech/mailexch/excrelay.mspx

Initiative AntiSpam MicrosoftTechnologies et informations

• Fonctionnalités Antispam d’Outlook 2003• http://www.microsoft.com/france/office/outlook/prodinfo/junkmail.asp

• Fonctionnalités Antispam d’Exchange Server 2003• http://www.microsoft.com/exchange/techinfo/security/antispam.asp

• Exchange Intelligent Message Filter• http://www.microsoft.com/exchange/imf

• Exchange Edge Services• http://www.microsoft.com/exchange/techinfo/security/edgeservices.asp

• Dossier sur microsoft.com• www.microsoft.com/spam

– CallerID– Coordinated Spam Reduction Initiative (CSRI )

• http://www.microsoft.com/france/internet/ressources/dossiers/spam/

Se former

• Cours :– N° 2400 : Implémentation et gestion de Microsoft Exchange Server 2003 (durée : 5 jours) – N° 2356 : Mise à niveau de Microsoft Exchange Server 5.5 vers Microsoft Exchange 2000 (durée : 2 jours) – N° 2307 : Configuration de Microsoft Exchange 2000 pour l'entreprise (durée : 4 jours) – N° 2255 : Implémentation et gestion de Microsoft Exchange 2000 (durée : 5 jours) – N° 2019 : Développement de solutions Web de collaboration avec Microsoft Exchange 2000 (durée : 3 jours).

• Tous les cours sur Exchange 2000 Server, et les Centres de formation dans votre région sur :http://www.microsoft.com/france/formation/.

• Livres Microsoft Press :http://www.microsoft.com/france/mspress.

Questions / Réponses