none
Accès à Exchange depuis l'extérieur (OWA,Active Sync..) RRS feed

  • Question

  • Bonjour,

    Nous cherchons à permettre à nos utilisateurs d'accèder à leur messagerie depuis l'exterieur via OWA et leur smartphone.

    Nous disposons d'une version 2010 d'Exchange (avec un cluster en 2003 qui disparaitra à court terme).

    Je pense qu'il faut ajouter un serveur Exchange frontal dans la DMZ mais j'ignore comment procéder précisement ?

    Avez vous une procédure pour ce cas ?

    Merci

    dimanche 26 mai 2019 13:23

Réponses

  • Bonjour,

    aucun serveur Exchange frontal n'est nécessaire pour cela en DMZ, cela n'est pas ni prévu ni "supporté".

    Le seul rôle Exchange prévu pour la DMZ est EDGE, et il ne sert qu'au protocole SMTP. (flux de messagerie).

    Si les certificats "corrects" sont en place, la logique est très facile à obtenir. Il suffit que les services IIS (protocole HTTPS) soit accessible depuis Internet.

    Pour cela, il existe de nombreuses solutions: Reverse Proxy (WAP), NAT/PAT directs, ...

    Idéalement, prévoir un nom public(Webmail.domaine.extension ainsi que Autodiscover.domaine.extenstion, définir ces 2 noms (et adresses IP Publiques) dans la zone DNS publique.

    Mettre ces 2 noms dans le certificat.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(86 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate http://base.faqexchange.info

    lundi 27 mai 2019 10:05
    Modérateur
  • Bonjour, je ne connais pas la taille de votre infrastructure, mais je vous conseille de mettre en place un reverse proxy dans une DMZ.

    Le reverse proxy protégera efficacement votre infrastructure Exchange et en facilitera votre configuration.

    Vous pouvez utiliser du KEMP, F5... ou autres reverses proxy Linux.

    Cordialement.

    lundi 27 mai 2019 08:52

Toutes les réponses

  • Bonjour, je ne connais pas la taille de votre infrastructure, mais je vous conseille de mettre en place un reverse proxy dans une DMZ.

    Le reverse proxy protégera efficacement votre infrastructure Exchange et en facilitera votre configuration.

    Vous pouvez utiliser du KEMP, F5... ou autres reverses proxy Linux.

    Cordialement.

    lundi 27 mai 2019 08:52
  • Bonjour,

    aucun serveur Exchange frontal n'est nécessaire pour cela en DMZ, cela n'est pas ni prévu ni "supporté".

    Le seul rôle Exchange prévu pour la DMZ est EDGE, et il ne sert qu'au protocole SMTP. (flux de messagerie).

    Si les certificats "corrects" sont en place, la logique est très facile à obtenir. Il suffit que les services IIS (protocole HTTPS) soit accessible depuis Internet.

    Pour cela, il existe de nombreuses solutions: Reverse Proxy (WAP), NAT/PAT directs, ...

    Idéalement, prévoir un nom public(Webmail.domaine.extension ainsi que Autodiscover.domaine.extenstion, définir ces 2 noms (et adresses IP Publiques) dans la zone DNS publique.

    Mettre ces 2 noms dans le certificat.

    A bientôt,


    Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Messaging 2016,MCSE:Server Infrastructure 2012(86 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate http://base.faqexchange.info

    lundi 27 mai 2019 10:05
    Modérateur
  • Bonjour,

    Je rejoins Franck et Thierry sur leur réponse.

    Dans votre cas, le plus simple serait de mettre en place ARR qui est composant de IIS qui va permettre de mettre en place un pseudo reverse proxy.

    Installation et configuration ARR : https://rdr-it.com/iis-arr-installation-et-configuration/

    Configuration pour OWA : https://rdr-it.com/arr-parametrage-pour-outlook-anywhere/

    Il est également possible de mettre en place un rproxy avec nginx. Si vous souhaitez investir dans une solution payante KEMP ou F5 sont de bon produit.


    lundi 27 mai 2019 10:13
  • Bonjour,

    L'idée du frontal dans la DMZ à la base était de se sécuriser depuis l'extérieur : en son absence, il n'y a pas de risque d'une éventuelle vérole qui viendrait infecter notre infrastucture exchange interne ?

    Merci

    vendredi 14 juin 2019 11:34
  • Bonjour, c'est justement le rôle du reverse proxy.

    Même chose pour l'antispam.

    Cordialement. 

    vendredi 14 juin 2019 11:58
  • Bonsoir,

    Merci pour vos réponses.

    Ma société a fait appel à un prestataire pour installer un frontal dans la DMZ (dans l'attente d'une obtention d'une adresse publique).

    Ils ne veulent pas prendre le risque que notre serveur de messagerie "interne" soit exposé à une infection attrapée à l'extérieur.

    Pouvez-vous m'indiquer en quoi le reverse-proxy permet de protéger notre serveur de messagerie afin que je puisse argumenter ?

    Merci

    dimanche 7 juillet 2019 18:50
  • Bonjour,

    Avoir un reverse proxy devant son serveur web présente plusieurs avantages:

    - Ne pas avoir le serveur web publiquement accessible (par exemple pour sa protection)
    - Faire des pré-traitement sur les requêtes (nombre de sessions, limitation de bande passante, etc)
    - Balancer les requêtes entre plusieurs serveurs web
    - Centraliser les accès publics (pour n'utiliser qu'une IP publique avec différents serveurs web derrière.

    Cordialement.

    lundi 8 juillet 2019 06:26
  • Bonjour,

    La bonne pratique dans les grosses sociétés :

    Consiste à utiliser un ADC (et son bundle sécurité = fonction firewall) + un ANTI SPAM CLOUD (de type VADESECURE) :

    https://fr.wikipedia.org/wiki/Application_delivery_controller

    https://f5.com/fr/products/big-ip

    https://www.vadesecure.com/fr/

    Un contrôleur de livraison d'applications (application delivery controller en anglais, ADC) est un dispositif de réseau informatique dans un centre de données, souvent faisant partie d'un réseau de distribution d'applications (ADN), qui aide à effectuer des tâches courantes telles que celles effectuées par les sites web pour éliminer la charge des serveurs web eux-mêmes. Beaucoup assurent aussi de la répartition de charge.

    Les ADC sont généralement placés dans la DMZ, entre le pare-feu ou un routeur et d'une ferme Web.

    Fonctionnalités

    Les ADC de première génération, vers 2007, font simplement de l’accélération d’applications et de la répartition de charge.

    Au début de 2013, les ADC offrent souvent des fonctionnalités comme la compression de données, mémoire cache, multiplexage, traffic shaping, sécurité de la couche application, accélération SSL (Secure Socket Layer) et commutation de contenu (content switching) combiné avec une répartition de charge avec le serveur de base. Certains offrent des fonctionnalités telles que la manipulation de contenu, stratégies avancées de routage, et le suivi de l'état du serveur.

    Disponibilité
    les séries BIG-IP de F5 Networks, s’affirme comme le leader du marché au début de 2012. Ce segment de marché est devenu fragmenté en deux grands domaines : 1) l'optimisation du réseau d’une manière générale et 2) l'optimisation spécifique de structure/application. Ces deux types de dispositifs améliorent les performances, mais le dernier est généralement plus conscients des stratégies d'optimisation qui fonctionnent le mieux avec un cadre d'application en particulier, en se concentrant sur ASP.NET ou AJAX par exemple3.

    En 2005, le marché des ADC est estimé à 727 millions de dollars US par Gartner, dont à peu près 60 % est dominé par F5 Networks et Cisco Systems4. Pour le cabinet d’études de marché Dell'Oro Group dans un rapport publié en 2012, ce marché dépassera les 2 milliards de dollars US en 2016. En 2012, Cisco Systems perd des parts de marché en faveur de F5 Networks et d’autres acteurs comme Citrix, Riverbed Technology et A10 Networks qui deviennent des ténors du secteur5.

    La bonne pratique dans les petites sociétés :

    Le WAP (seule) ou reverse PROXY de MICROSOFT doit être compléter / ou remplacer par un UTM ou un FIREWALL NEXTGEN (de type WATCHGUARD) + un ANTI SPAM CLOUD (de type VADESECURE)

    https://en.wikipedia.org/wiki/Web_Application_Proxy

    https://www.watchguard.com/fr/wgrd-products/network-security

    Web Application Proxy

    Web Application Proxy (WAP), is a remote access computer software feature in Windows Server 2012 R2. It was introduced after the discontinuation of Microsoft Forefront Unified Access Gateway (UAG). WAP provides the reverse proxy capability that allows users outside a corporate network to access web applications hosted on the internal corporate network. WAP uses Active Directory Federation Services (ADFS) for pre-authenticated access to internally hosted corporate web applications such as SharePoint.

    While the (WAP) Replaces the Proxy functionality of Microsoft unified Access Gateway, it does not replace several other important functions that were contained within Access gateway. Consequently several companies such as F5, Citrix & others have filled in the gaps with products known as ADCs (Application Delivery Controllers).

    As a reference, Microsoft broadcasts its intention in its FAQ:

    "4.) Is WAP a replacement for TMG 2010 and/or UAG 2010?

    No. The bottom line is that WAP offers a very small subset of what both TMG and UAG offered. WAP is pure and simple a reverse proxy solution for publishing your internal web applications to external clients.

    5.) Is Web Application Proxy a Web Application Firewall?

    No. WAP is purely a reverse proxy and that is why we recommend that you protect it with an Edge device and also a backend firewall."[1]

    In reference to point 5 in the Microsoft FAQ, An application published purely with WAP would be susceptible to SQL Injection, XSS, data leaks, and more.

    In reference to Point 4 in the Microsoft FAQ, a simple reverse proxy does not allow for offloading of authentication via forms based authentication, which was another UAG/TMG function. Additionally, with attack vectors such as DOS and DDos attacks becoming more common and easier to achieve, it is important to note this product also offers no protection from these types of attacks as well.


    "Marquer comme réponse" les réponses qui ont résolu votre problème




    vendredi 23 août 2019 03:02