Auteur de questions
securiser exchange 2016-2019

Discussion générale
-
Bonjour,
je souhaiterai savoir comment securiser un serveur exchange en entreprise , ainsi qu'un acces a OWA et outlook anywhere?
Dans le passe on mettait un serveur reverse proxy en DMZ qu'en est il aujourd'hui ?
merci pour votre aide
- Type modifié Biliana Mouzaphirova mardi 1 décembre 2020 08:26
Toutes les réponses
-
Bonjour,
Voila un lien qui peut t'aider :
je ne connais pas la taille de votre infrastructure.
Cependant, je vous conseille de mettre en place un reverse proxy dans une DMZ.
Le reverse proxy protégera efficacement votre infrastructure Exchange et en facilitera votre configuration.
Vous pouvez utiliser du KEMP, F5... ou autres reverses proxy Linux.
info complementaire
Aucun serveur Exchange frontal n'est nécessaire en DMZ, cela n'est pas ni prévu ni "supporté".
Le seul rôle Exchange prévu pour la DMZ est EDGE,
Celui ci ne sert qu'au protocole SMTP. (flux de messagerie)Si les certificats "corrects" sont en place, la logique est très facile à obtenir.
Il suffit que les services IIS (protocole HTTPS) soit accessible depuis Internet.
Pour cela, il existe de nombreuses solutions:
Reverse Proxy (WAP), NAT/PAT directs, ...
Idéalement, prévoir un nom public comme Webmail.domaine.extension ainsi que Autodiscover.domaine.extenstion, définir ces 2 noms (et adresses IP Publiques) dans la zone DNS publique.
Mettre ces 2 noms dans le certificat.
Avoir un reverse proxy devant son serveur web présente plusieurs avantages:
- Ne pas avoir le serveur web publiquement accessible (par exemple pour sa protection)
- Faire des pré-traitement sur les requêtes (nombre de sessions, limitation de bande passante, etc)
- Balancer les requêtes entre plusieurs serveurs web
- Centraliser les accès publics (pour n'utiliser qu'une IP publique avec différents serveurs web derrière.
"Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jérôme Sanchez (BLUEINFO) dimanche 8 novembre 2020 20:44
-
Bonjour,
je ne connais pas la taille de votre infrastructure.
...
Info complementaire :
"Marquer comme réponse" les réponses qui ont résolu votre problème
Hello,
Bonne récupération d'information. :)
A+
Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info
-
Tu devrais être flatté, tu apparais dans le liens !
"Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jérôme Sanchez (BLUEINFO) dimanche 8 novembre 2020 20:45
-
Merci pour vos reponses, on parle d'une petite infra, actuellement en exchange 2010 avec un tmg/uag en dmz, que je dois mettre a jour en 2019. D'apres ce que j'ai lu sur le net l'utilisation de tmg/uag n'est plus obligatoire. est ce que je me trompe ?
je pensais faire la chose suivante
1 mail relay ingoin/outgoing en dmz
une adresse waf externe du genre imperva/encapsula qui pointerait vers l'adresse natee (connecte a un FW ) du serveur exchange pour l'acces a owa et outlook anywhere
merci pour votre aide
-
Bonjour,
en fait TMG et UAP ne sont plus (du tout) supporté depuis Avril 2020. Mais un équivalent est toujours utile.
Tout dépend du nombre d'utilisateurs en terme de charge, du risque d'attaque (ciblée ou non) qui est toujours possible, quelle que soit la taille ou la renommée de l'entreprise.
Un reverse proxy n'est qu'un début de protection, qui évite quelques attaques directes sur IIS.
Exchange "on premises" est maintenant beaucoup plus sensible que Exchange "on line", qui est mieux protégé.
A bientôt,
Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info
-
Bonjour Goldteam,
Avez-vous avancé dans votre problematique? N'oubliez pas de marquer comme réponse les propositions des intervenants qui vous ont amené à la solution du problème.
Je vous remercie par avance pour votre retour.
Cordialement,
BilianaVotez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.