none
securiser exchange 2016-2019 RRS feed

  • Discussion générale

  • Bonjour,

    je souhaiterai savoir comment securiser un serveur exchange en entreprise , ainsi qu'un acces a OWA et outlook anywhere?

    Dans le passe on mettait un serveur reverse proxy en DMZ  qu'en est il aujourd'hui ?

    merci pour votre aide

    dimanche 8 novembre 2020 12:59

Toutes les réponses

  • Bonjour,

    Voila un lien qui peut t'aider :

    https://social.technet.microsoft.com/Forums/fr-FR/02bcf633-09f9-4226-b52c-428abcc9cd22/accs-exchange-depuis-lextrieur-owaactive-sync?forum=1109

    je ne connais pas la taille de votre infrastructure.

    Cependant, je vous conseille de mettre en place un reverse proxy dans une DMZ.

    Le reverse proxy protégera efficacement votre infrastructure Exchange et en facilitera votre configuration.

    Vous pouvez utiliser du KEMP, F5... ou autres reverses proxy Linux.

    info complementaire

    Aucun serveur Exchange frontal n'est nécessaire en DMZ, cela n'est pas ni prévu ni "supporté".
    Le seul rôle Exchange prévu pour la DMZ est EDGE,

    Celui ci ne sert qu'au protocole SMTP. (flux de messagerie)

    Si les certificats "corrects" sont en place, la logique est très facile à obtenir.

    Il suffit que les services IIS (protocole HTTPS) soit accessible depuis Internet.

    Pour cela, il existe de nombreuses solutions:

    Reverse Proxy (WAP), NAT/PAT directs, ...

    Idéalement, prévoir un nom public comme Webmail.domaine.extension ainsi que Autodiscover.domaine.extenstion, définir ces 2 noms (et adresses IP Publiques) dans la zone DNS publique.

    Mettre ces 2 noms dans le certificat.

    Avoir un reverse proxy devant son serveur web présente plusieurs avantages:

    - Ne pas avoir le serveur web publiquement accessible (par exemple pour sa protection)
    - Faire des pré-traitement sur les requêtes (nombre de sessions, limitation de bande passante, etc)
    - Balancer les requêtes entre plusieurs serveurs web
    - Centraliser les accès publics (pour n'utiliser qu'une IP publique avec différents serveurs web derrière.




    "Marquer comme réponse" les réponses qui ont résolu votre problème




    dimanche 8 novembre 2020 14:49
  • Bonjour,

    je ne connais pas la taille de votre infrastructure.

    ...


    Info complementaire :

    https://social.technet.microsoft.com/Forums/fr-FR/02bcf633-09f9-4226-b52c-428abcc9cd22/accs-exchange-depuis-lextrieur-owaactive-sync?forum=1109
    ...



    "Marquer comme réponse" les réponses qui ont résolu votre problème



    Hello,

    Bonne récupération d'information. :)

    A+


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    dimanche 8 novembre 2020 19:37
    Modérateur
  • Tu devrais être flatté, tu apparais dans le liens !

    "Marquer comme réponse" les réponses qui ont résolu votre problème



    dimanche 8 novembre 2020 20:39
  • Merci pour vos reponses, on parle d'une petite infra, actuellement en exchange 2010 avec un tmg/uag en dmz, que je dois mettre a jour en 2019. D'apres ce que j'ai lu sur le net l'utilisation de tmg/uag n'est plus obligatoire. est ce que je me trompe ?

    je pensais faire la chose suivante

    1 mail relay ingoin/outgoing en dmz

    une adresse waf externe du genre imperva/encapsula  qui pointerait vers l'adresse natee (connecte a un FW ) du serveur exchange pour l'acces a owa et outlook anywhere 

    merci pour votre aide


     

    lundi 9 novembre 2020 05:54
  • Bonjour,

    en fait TMG et UAP ne sont plus (du tout) supporté depuis Avril 2020. Mais un équivalent est toujours utile.

    Tout dépend du nombre d'utilisateurs en terme de charge, du risque d'attaque (ciblée ou non) qui est toujours possible, quelle que soit la taille ou la renommée de l'entreprise.

    Un reverse proxy n'est qu'un début de protection, qui évite quelques attaques directes sur IIS.

    Exchange "on premises" est maintenant beaucoup plus sensible que Exchange "on line", qui est mieux protégé.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    mardi 10 novembre 2020 15:09
    Modérateur
  • Bonjour Goldteam,

    Avez-vous avancé dans votre problematique? N'oubliez pas de marquer comme réponse les propositions des intervenants qui vous ont amené à la solution du problème.

    Je vous remercie par avance pour votre retour.

    Cordialement,

    Biliana

    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mercredi 25 novembre 2020 07:59