Configuration filtrage destinataires sur Exchange 2013 et 2016 sans serveur EDGE

filtrage_destinataires_2013_2016

Filtrage destinataires sur Exchange 2013 et 2016

Nous veillons toujours à ce que la configuration d’Altospam soit optimale afin de garantir un service très performant. Le filtrage destinataires doit être correctement configuré car il est important de ne pas générer du trafic inutile. Nous proposons en cette fin d’année 2016 une configuration des serveurs Exchange 2013 et 2016 sans serveur EDGE.  Pour bien comprendre les intérêts de la mise en place du filtrage destinataires, vous pouvez consulter cet article.

> Configuration du filtrage destinataire sur Exchange 2013 ou 2016 avec un serveur EDGE en relais

Configuration Rapide (pour les plus pressés)

Cette configuration rapide peut être utilisée si votre serveur de messagerie Exchange utilise une configuration par défaut. Commencez par ouvrir Exchange Management Shell symbolisé par le logo ci-contre. Puis entrez les commandes suivantes :

Etape 1 :

& $env:ExchangeInstallPathScriptsInstall-AntiSpamAgents.ps1
Enable-TransportAgent "Recipient Filter Agent"
Set-RecipientFilterConfig -RecipientValidationEnabled $true
Set-RecipientFilterConfig -Enabled $true

Etape 2 :

Get-AcceptedDomain | ? {$_.AddressBookEnabled -ne "True"} | Set-AcceptedDomain -AddressBookEnabled $true

Etape 3 :

Set-SenderFilterConfig -Enabled $false
Set-SenderIDConfig -Enabled $false
Set-ContentFilterConfig -Enabled $false
Set-SenderReputationConfig -Enabled $false

Puis exécutez une par une, les commandes suivantes (Nécessite une confirmation) :

Disable-TransportAgent "Sender Filter Agent"
Disable-TransportAgent "Sender ID Agent"
Disable-TransportAgent "Content Filter Agent"
Disable-TransportAgent "Protocol Analysis Agent"

Etape 4 :

Get-ReceiveConnector "Default $env:computername" | Set-ReceiveConnector -PermissionGroups AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers
Restart-Service "MSExchangeTransport"

Etape 5 :

Modifier la translation NAT sur votre firewall afin de rediriger le port TCP/25 entrant vers le TCP/2525 de votre serveur de mail (cf. détails étape 6 du chapitre suivant ci-nécessaire.)

Configuration détaillée (explications)

Dans cette partie nous allons détailler la configuration à mettre en place. Commencez par ouvrir Exchange Management Shell symbolisé par le logo ci-contre. Puis entrez les commandes suivantes :

Etape 1 : Installation de l’agent Anti-spam Exchange

Pour cela effectuez la commande suivante :

Get-TransportAgent

Elle affiche une liste récapitulative de tous les agents de transport installés sur tous les serveurs Exchange de votre organisation.

Vous devriez obtenir ce résultat :

L’élément « Recipient Filter Agent » doit apparaître dans la liste et avoir pour valeur « True ». Si ce n’est pas le cas, entrez les commandes suivantes pour installer le module antispam d’Exchange et activez le filtrage destinataires :

& $env:ExchangeInstallPathScriptsInstall-AntiSpamAgents.ps1
Enable-TransportAgent "Recipient Filter Agent"
Set-RecipientFilterConfig -RecipientValidationEnabled $true
Set-RecipientFilterConfig -Enabled $true

Etape 2 : Activation du filtrage destinataires

Entrez la commande :

Get-AcceptedDomain | Format-List Name,AddressBookEnabled

Cette commande affiche le nom du ou des domaines de votre organisation mais elle permet aussi de savoir si le filtrage destinataires est activé.

L’élément AdressBook doit avoir pour valeur « True ». Si ce n’est pas le cas, vous devez l’activer (UNIQUEMENT sur le ou les domaines faisant autorité) :

Set-AcceptedDomain nom_du_domaine -AddressBookEnabled $true

Si tous les domaines font autorité, vous pouvez lancer cette commande pour tout activer d’un coup :

Get-AcceptedDomain | ? {$_.AddressBookEnabled -ne "True"} | Set-AcceptedDomain -AddressBookEnabled $true

Etape 3 : Désactivation des autres filtres

L’objectif de cette étape est de désactiver les autres services antispam d’Exchange pour éviter de sérialiser les antispams et de générer des faux-positifs. Entrez ces 4 commandes :

Set-SenderFilterConfig -Enabled $false
Set-SenderIDConfig -Enabled $false
Set-ContentFilterConfig -Enabled $false
Set-SenderReputationConfig -Enabled $false

Puis une par une, les commandes suivantes (Nécessite une confirmation) :

Disable-TransportAgent "Sender Filter Agent"
Disable-TransportAgent "Sender ID Agent"
Disable-TransportAgent "Content Filter Agent"
Disable-TransportAgent "Protocol Analysis Agent"

Entrez ensuite la commande :

Get-TransportAgent

Vous devriez obtenir ce résultat :

Etape 4 : Modification du connecteur de réception par défaut

La commande ci-dessous permet d’autoriser les utilisateurs anonymes, cela est nécessaire pour pouvoir vous transmettre les emails sur ce connecteur.

Get-ReceiveConnector "Default $env:computername" | Set-ReceiveConnector -PermissionGroups AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers

A la fin de ces 5 étapes, il vous faut redémarrer le service :

Restart-Service "MSExchangeTransport"

Il se peut que dans certains cas, cette commande affiche une erreur à cause de certaines dépendances au service de transport Exchange. Dans ce cas, il vous faudra redémarrer le service manuellement.

Cette configuration est également possible via l’interface graphique, cela peut vous permettre de vérifier que la configuration est bien appliquée. Pour cela, vous pouvez procéder ainsi :

Rendez-vous sur le Centre d’administration Exchange, allez dans la section Flux de messagerie (1), puis dans l’onglet connecteurs de réception (2), et faites un double clic sur « Default Nom_de_votre_serveur » (3).

Allez sur la section sécurité (4), cochez la case Utilisateurs anonymes (5) et enregistrez la modification (6).

Etape 5 : Redirection du port 2525

Le connecteur Exchange configuré écoute sur le port TCP/2525, il faut donc envoyer le trafic vers ce port.

Vous devez donc rediriger le port 25 vers le port 2525. Dans le Firewall : modifier le NAT afin de rediriger le port 25 vers le 2525 et l’autoriser dans le pare feu. Si vous ne souhaitez pas faire la translation sur votre firewall, contactez-nous afin qu’on renvoie votre flux sur le port TCP/2525. Pensez aussi à filtrer le flux SMTP seulement depuis les adresses d’ALTOSPAM.

Vérification du fonctionnement du filtrage destinataires : Une fois connecté à votre interface d’administration client, cliquez sur le menu « Technique », puis sur le logo    , nommé « Tester le serveur de messagerie ». Une fois sur la page, vous pouvez lancer directement le test, celui-ci vérifiera l’accès à votre serveur mais effectuera également un test du filtrage destinataires.

La mise en place du filtrage destinataires est très importante pour éviter la génération de bounces par exemple. Si vous possédez un Exchange 2003, la procédure est différente, elle est présentée dans notre article : Filtrage des destinataires sous Exchange 2003. Celle concernant les serveurs Microsoft Exchange 2007 et Microsoft Exchange 2010 est décrite dans l’article : Configuration Exchange 2007 et 2010 pour le filtrage des destinataires. Si vous utilisez d’autres types de serveurs de messagerie comme Lotus, Postfix, Exim, Qmail… n’hésitez pas à contacter le support Altospam.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …