S/MIME pour la signature et le chiffrement des messages

En tant qu’administrateur Exchange Server, vous pouvez activer S/MIME (Secure/Multipurpose Internet Mail Extensions) pour votre organisation. L'utilisation de la norme S/MIME est une méthode largement acceptée (il s'agit plus précisément d'un protocole) permettant l'envoi de messages chiffrés et signés numériquement. S/MIME vous permet de chiffrer les courriers électroniques et les signer numériquement. L'utilisation de la norme S/MIME aide les destinataires des messages en :

  • garantissant que le message reçu dans la boîte de réception est le message exact envoyé par l'expéditeur ;

  • garantissant que le message provient bien de l'expéditeur et non d'une personne se faisant passer pour lui.

Pour ce faire, S/MIME fournit des services de sécurité de chiffrement tels que l'authentification, l'intégrité des messages et la non-répudiation de l'origine (à l'aide de signatures numériques). S/MIME permet également d'améliorer la confidentialité et la sécurité des données (à l'aide du chiffrement) de la messagerie électronique.

S/MIME requiert un certificat et une infrastructure de publication qui est souvent utilisée dans les situations entreprise-entreprise et entreprise-client. L'utilisateur contrôle les clés de chiffrement dans S/MIME et peut choisir de les utiliser ou non pour chaque message qu'il envoie. Les programmes de messagerie (par exemple, Outlook) recherchent un emplacement de certification racine approuvée pour effectuer la signature numérique et vérifier la signature.

Pour en savoir plus sur l'histoire et l'architecture du protocole S/MIME dans le cadre de la messagerie, consultez la rubrique Présentation du protocole S/MIME.

Scénarios pris en charge et considérations techniques pour S/MIME

Vous pouvez configurer la norme S/MIME afin qu'elle fonctionne avec n'importe lequel des points de terminaison suivants :

  • Outlook 2010 ou version ultérieure

  • Outlook sur le web (anciennement nommé Outlook Web App)

  • Exchange ActiveSync (EAS)

Les étapes à suivre pour configurer S/MIME avec chacun de ces points de terminaison sont légèrement différentes. En règle générale, vous devez effectuer ces étapes :

  1. Installer une autorité de certification reposant sur Windows et configurer une infrastructure à clé publique pour émettre des certificats S/MIME. Les certificats émis par des fournisseurs de certificats tiers sont pris en charge. Pour plus d’informations, voir Vue d’ensemble du déploiement de certificats de serveur.

  2. Publier le certificat utilisateur dans un compte Services de domaine Active Directory (AD DS) local dans les attributs UserSMIMECertificate et/ou UserCertificate. Votre service AD DS doit être situé sur des ordinateurs se trouvant dans un emplacement physique que vous contrôlez, et non dans un emplacement distant ou sur un service dans le cloud quelque part sur Internet. Pour plus d’informations sur AD DS, voir Active Directory Domain Services Overview.

  3. Configurer une collection de certificats virtuelle afin de valider S/MIME. Ces informations sont utilisées par Outlook sur le web lorsqu'il valide la signature d'un courrier électronique et vérifie qu'il a été signé par un certificat approuvé.

  4. Configurer le point de terminaison Outlook ou EAS de sorte qu'il utilise S/MIME.

Configuration de S/MIME avec Outlook sur le web

La configuration de S/MIME avec Outlook sur le web nécessite la réalisation des étapes clés suivantes :

  1. Paramètres S/MIME pour Outlook sur le web dans Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Pour plus d’informations sur l’envoi d’un message chiffré S/MIME dans Outlook sur le web, voir Chiffrer des messages à l’aide de S/MIME dans Outlook sur le web.

Diverses technologies de chiffrement fonctionnent ensemble pour assurer la protection des messages au repos et en transit. S/MIME peut utiliser simultanément les technologies suivantes, sans toutefois en dépendre :

  • TLS (Transport Layer Security): chiffre le tunnel ou l’itinéraire entre les serveurs de messagerie afin d’empêcher la espionner et les écoutes clandestines, et chiffre la connexion entre les clients de messagerie et les serveurs de messagerie.

    Notes

    Le protocole SSL (Secure Sockets Layer) est remplacé par le protocole TLS (Transport Layer Security) comme protocole utilisé pour chiffrer les données envoyées entre des systèmes informatiques. Ils sont si étroitement liés que les termes « SSL » et « TLS » (sans versions) sont souvent utilisés indifféremment. En raison de cette similitude, les références à « SSL » dans les rubriques concernant Exchange, dans le Centre d'administration Exchange et dans l'Environnement de ligne de commande Exchange Management Shell recouvrent souvent les protocoles SSL et TLS. En règle générale, « SSL » fait référence au véritable protocole SSL uniquement lorsqu'une version est également fournie (par exemple, SSL 3.0). Pour savoir pourquoi vous devez désactiver le protocole SSL et passer au protocole TLS, consultez l'article relatif à la protection contre la vulnérabilité du protocole SSL 3.0.

  • BitLocker: chiffre les données sur un disque dur dans un centre de données de sorte que si une personne obtient un accès non autorisé, elle ne peut pas la lire. Pour plus d’informations, voir BitLocker : comment déployer sur Windows Server 2012 et ultérieures