S/MIME pour la signature et le chiffrement des messages dans Exchange Server
S’applique à : Exchange Server 2013
S/MIME (Secure/Multipurpose Internet Mail Extensions) est une méthode largement acceptée (ou plus précisément, un protocole) pour envoyer des messages signés numériquement et chiffrés. S/MIME vous permet de chiffrer les courriers électroniques et les signer numériquement. Lorsque vous utilisez S/MIME avec un e-mail, cela permet aux personnes qui reçoivent ce message de s’assurer que ce qu’elles voient dans leur boîte de réception est le message exact qui a démarré avec l’expéditeur. Il permet également aux personnes qui reçoivent des messages de s’assurer que le message provient de l’expéditeur spécifique et non de quelqu’un prétendant être l’expéditeur. Pour ce faire, S/MIME fournit des services de sécurité de chiffrement tels que l'authentification, l'intégrité des messages et la non-répudiation de l'origine (à l'aide de signatures numériques). Il permet également d’améliorer la confidentialité et la sécurité des données (à l’aide du chiffrement) pour la messagerie électronique. Pour en savoir plus sur l'histoire et l'architecture du protocole S/MIME dans le cadre de la messagerie, consultez la rubrique Présentation du protocole S/MIME.
En tant qu’administrateur Exchange, vous pouvez activer la sécurité basée sur S/MIME pour les boîtes aux lettres de votre organisation. Utilisez les instructions des rubriques liées ici avec Exchange Management Shell pour configurer S/MIME. Pour utiliser S/MIME dans les clients de messagerie pris en charge, les utilisateurs de votre organisation doivent avoir des certificats émis à des fins de signature et de chiffrement et des données publiées sur votre Active Directory local Domain Service (AD DS). Votre ad DS doit se trouver sur des ordinateurs situés à un emplacement physique que vous contrôlez et non dans une installation distante ou un service cloud quelque part sur Internet. Pour plus d'informations sur le service AD DS, consultez la rubrique Services de domaine Active Directory.
Scénarios pris en charge et considérations techniques
Vous pouvez configurer la norme S/MIME afin qu'elle fonctionne avec n'importe lequel des points de terminaison suivants :
Outlook 2010 ou version ultérieure
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
Les étapes que vous suivez pour configurer S/MIME avec chacun de ces points de terminaison sont légèrement différentes. En règle générale, vous devez effectuer les étapes suivantes :
Installer une autorité de certification reposant sur Windows et configurer une infrastructure à clé publique pour émettre des certificats S/MIME. Les certificats émis par des fournisseurs de certificats tiers sont également pris en charge. Pour plus de détails, reportez-vous à Vue d'ensemble des services de certificats Active Directory.
Publiez le certificat utilisateur dans un compte AD DS local dans les attributs UserSMIMECertificate et/ou UserCertificate .
Configurer une collection de certificats virtuelle afin de valider S/MIME. Ces informations sont utilisées par OWA pour valider la signature d’un e-mail et s’assurer qu’elle a été signée par un certificat approuvé.
Configurer le point de terminaison Outlook ou EAS de sorte qu'il utilise S/MIME.
Configurer S/MIME avec Outlook Web App
La configuration de S/MIME avec OWA implique les étapes clés suivantes :
Configurer les paramètres S/MIME dans Exchange Server pour Outlook Web App
Configurer une collection de certificats virtuels dans Exchange Server pour valider S/MIME
Technologies liées au chiffrement des messages
À mesure que la sécurité des messages devient de plus en plus importante, les administrateurs doivent comprendre les principes et les concepts de la messagerie sécurisée. Cette compréhension est particulièrement importante en raison de la variété croissante des technologies liées à la protection (y compris S/MIME) qui sont disponibles. Pour en savoir plus sur S/MIME et son fonctionnement dans le contexte de la messagerie, consultez Présentation de S/MIME. Diverses technologies de chiffrement fonctionnent ensemble pour assurer la protection des messages au repos et en transit. S/MIME peut fonctionner simultanément avec les technologies suivantes, mais n’en dépend pas :
Tls (Transport Layer Security) chiffre le tunnel ou l’itinéraire entre les serveurs de messagerie afin d’empêcher l’écoute et l’écoute clandestine.
Ssl (Secure Sockets Layer) chiffre la connexion entre les clients de messagerie et les serveurs Microsoft 365 ou Office 365.
BitLocker chiffre les données sur un disque dur dans un centre de données afin que si quelqu’un obtient un accès non autorisé, il ne puisse pas les lire.
S/MIME comparé au chiffrement de message
S/MIME requiert un certificat et une infrastructure de publication qui est souvent utilisée dans les situations entreprise-entreprise et entreprise-client. L'utilisateur contrôle les clés de chiffrement dans S/MIME et peut choisir de les utiliser ou non pour chaque message qu'il envoie. Les programmes de messagerie (par exemple, Outlook) recherchent un emplacement de certification racine approuvée pour effectuer la signature numérique et vérifier la signature. Le chiffrement des messages est un service de chiffrement basé sur des stratégies qui peut être configuré par un administrateur, et non par un utilisateur individuel, pour chiffrer les messages envoyés à toute personne à l’intérieur ou à l’extérieur de l’organisation. Il s’agit d’un service en ligne basé sur Azure Rights Management (RMS) et qui ne repose pas sur une infrastructure à clé publique. Le chiffrement des messages fournit également des fonctionnalités supplémentaires, telles que la possibilité de personnaliser le courrier avec la marque de l’organisation. Pour plus d’informations sur le chiffrement des messages, consultez Chiffrement.