Planifier le courrier électronique sortant pour une batterie SharePoint Server

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  no-img-sop SharePoint in Microsoft 365

Le courrier électronique sortant est la base sur laquelle les administrateurs de site peuvent implémenter plusieurs fonctionnalités de notification par courrier électronique. Ces fonctionnalités permettent aux utilisateurs finaux de suivre les modifications et les mises à jour des collections de sites individuels, et permettent aux administrateurs de site d'envoyer des messages d'état.

À propos du courrier électronique sortant

La configuration correcte du courrier électronique sortant est une condition requise pour l’implémentation d’alertes et de notifications par courrier électronique. La fonctionnalité de courrier électronique sortant utilise un service SMTP (Simple Mail Transfer Protocol) sortant pour relayer les alertes et les notifications par courrier électronique. Ces fonctionnalités de messagerie sont les suivantes :

  • Alertes

    Dans une collection de sites importante et croissante, les utilisateurs ont besoin d’un moyen de suivre les mises à jour des listes, des bibliothèques et des discussions. Les alertes permettent de tenir les utilisateurs informés des modifications. Par exemple, si de nombreux utilisateurs travaillent sur le même document, le propriétaire du document peut configurer la notification d'alertes lorsque des modifications sont apportées à ce document. Les utilisateurs peuvent spécifier les domaines de la collection de sites ou les documents qu'ils veulent suivre, et décider la fréquence à laquelle ils veulent recevoir les alertes.

    Notes

    Les utilisateurs doivent au moins avoir les autorisations d’affichage pour configurer des alertes.

  • Messages d'administration

    Les administrateurs de sites peuvent recevoir des notifications quand des utilisateurs demandent l'accès à un site ou quand des propriétaires de site ont dépassé l'espace de stockage spécifié. La configuration du courrier électronique sortant permet aux administrateurs de site de recevoir des notifications automatiques pour les problèmes d’administration de site.

La prise en charge du courrier électronique sortant peut être activée à la fois au niveau de la batterie de serveurs (disponible dans la section Système Paramètres du site Web Administration centrale de SharePoint et au niveau de l’application web (disponible dans la section Gestion des applications de l’Administration centrale). Les paramètres du courrier électronique sortant au niveau de l’application web remplacent ceux qui sont mis en place au niveau de la batterie de serveurs. Vous pouvez également spécifier différents paramètres pour une application web spécifique.

Principales phases de planification du courrier électronique sortant

Vous devez prendre en compte les composants suivants lors de la planification de vos paramètres de courrier électronique sortant :

  • Un service SMTP pour relayer les alertes et les notifications par courrier électronique. Vous aurez besoin du nom DNS ou de l'adresse IP du serveur de messagerie SMTP à utiliser.

  • Une adresse à utiliser dans l'en-tête d'un message d'alerte qui identifie l'expéditeur du message.

  • Adresse de réponse qui s’affiche dans le champ À d’un message lorsqu’un utilisateur répond à une alerte ou à une notification.

  • un jeu de caractères à utiliser dans le corps des messages d’alerte.

Serveur SMTP sortant

Le service SMTP est un composant d’IIS (Internet Information Services) ; toutefois, il n’est pas activé par défaut avec IIS. Il peut être activé à l’aide de l’Assistant Ajout de rôles et de fonctionnalités dans le Gestionnaire de serveur.

Après avoir déterminé le serveur SMTP à utiliser, le serveur SMTP doit être configuré pour autoriser l’accès anonyme et autoriser le relais des messages électroniques. En outre, le serveur SMTP doit avoir accès à Internet si vous souhaitez pouvoir envoyer des messages à des adresses de messagerie externes.

Pour plus d’informations sur l’installation, la configuration et la gestion du service SMTP, voir Configuration du courrier électronique sortant.

Notes

Seul un membre du groupe Administrateurs de batterie peut configurer un serveur SMTP. L’utilisateur doit également être membre du groupe Administrateurs local sur le serveur.

Adresse de provenance et adresse de réponse

Lors de la configuration du courrier électronique sortant, vous pouvez configurer les deux adresses suivantes :

  • Adresse de provenance

    Les alertes et les notifications sont envoyées depuis un compte d'administration sur la batterie de serveurs. Ce compte n’est probablement pas celui que vous souhaitez afficher dans le champ De d’un message électronique. L’adresse que vous utilisez n’a pas besoin de correspondre à un compte de messagerie réel ; Il peut s’agit d’une adresse conviviale simple reconnaissable pour un utilisateur final. Par exemple, « Administrateur du site » peut être une adresse de provenance appropriée.

  • Adresse de réponse

    Il s’agit de l’adresse qui s’affiche dans le champ À d’un message lorsqu’un utilisateur répond à une alerte ou à une notification. L'adresse de réponse doit aussi être un compte surveillé de façon à ce que les utilisateurs finals reçoivent une réponse rapide pour les problèmes qu'ils rencontrent. Par exemple, un alias du service d’assistance peut être une adresse de réponse appropriée.

Jeu de caractères

Lorsque vous configurez le courrier électronique sortant, vous devez spécifier le jeu de caractères à utiliser dans le corps des messages électroniques. Un jeu de caractères est un mappage de caractères avec les valeurs de leur code d'identification. Le jeu de caractères par défaut pour le courrier électronique sortant est Unicode UTF-8, ce qui permet à la plupart des combinaisons de caractères (y compris le texte bidirectionnel) de co-exister dans un seul document. Dans la plupart des cas, UTF-8 comme paramétrage par défaut fonctionne bien, même si les langues d'Asie de l'Est sont mieux rendues avec leur propre jeu de caractères.

Notez bien que si vous sélectionnez un code de langue spécifique, le texte est moins susceptible d'apparaître correctement dans les lecteurs de courrier configurés pour d'autres langues.

Authentification de serveur SMTP

La fonctionnalité d’authentification de serveur SMTP est disponible uniquement dans SharePoint Server 2019.

SharePoint Server 2019 prend en charge la connexion aux serveurs SMTP de manière anonyme ou avec l’authentification. Si votre serveur SMTP nécessite une authentification, vous devez fournir les informations d’identification que SharePoint utilisera pour s’authentifier sur le serveur SMTP. Il est recommandé d’utiliser les informations d’identification de compte qui correspondent à l’adresse De. Si vous souhaitez utiliser les informations d’identification d’un autre compte, assurez-vous que le compte dispose de l’autorisation « Envoyer en tant que » pour usurper l’identité de l’adresse de l’expéditeur.

Notes

Si vous utilisez un compte Windows pour vous authentifier sur le serveur SMTP, vous pouvez spécifier le nom d’utilisateur à l’aide du format de nom principal universel (user@domain.com) ou du format de connexion NT4 (DOMAINE\utilisateur). Si vous utilisez un compte non Windows pour vous authentifier sur le serveur SMTP, contactez votre administrateur de messagerie pour déterminer le format de nom d’utilisateur correct.

Vous devez définir une clé d’informations d’identification d’application sur chaque serveur de la batterie de serveurs avant de fournir des informations d’identification. La clé d’informations d’identification de l’application est un mot de passe distinct utilisé pour chiffrer et déchiffrer le mot de passe SMTP. La clé d’informations d’identification de l’application doit être identique sur tous les serveurs de la batterie de serveurs. Microsoft recommande d’utiliser un mot de passe fort pour la clé d’informations d’identification de l’application et d’éviter de reutiliser le même mot de passe que la phrase passphrase de votre batterie de serveurs, les comptes de service de la batterie de serveurs, etc.

SharePoint prend en charge les mécanismes SASL (Simple Authentication and Security Layer) suivants pour s’authentifier sur un serveur SMTP :

  • GSSAPI (Kerberos, NTLM)

  • NTLM

  • CONNEXION

Notes

SharePoint utilise le nom principal de service (SPN) suivant pour s’authentifier sur le serveur SMTP pendant l’authentification Kerberos et NTLM, où l’hôte est le nom de serveur SMTP que vous avez fourni < > :
SMTPSVC/hôte <>

Utiliser le chiffrement de connexion TLS

Définissez l’utilisation du chiffrement de connexion TLS sur Oui pour exiger SharePoint établir une connexion chiffrée au serveur SMTP avant d’envoyer des messages électroniques. Un certificat de serveur valide doit être installé sur le serveur SMTP pour établir une connexion chiffrée. Si la connexion est définie sur Oui et qu’une connexion chiffrée ne peut pas être établie, aucun message électronique n’est envoyé.

Notes

SharePoint prend en charge STARTTLS pour établir le chiffrement de connexion TLS à un serveur SMTP. Il ne prend pas en charge SMTPS pour établir le chiffrement de connexion SSL sur un serveur SMTP.

Notes

Bien que SharePoint puisse nécessiter un chiffrement de connexion TLS lors de l’envoi de messages électroniques à un serveur SMTP, il ne peut pas contrôler si le chiffrement de connexion sera utilisé lorsque ce serveur SMTP envoie le courrier électronique à d’autres serveurs SMTP. Contactez votre administrateur de messagerie pour configurer vos serveurs SMTP afin de favoriser le chiffrement des connexions.

Utiliser l’authentification par certificat client avec un serveur SMTP

Notes

Cette utilisation de l’authentification par certificat client avec une fonctionnalité de serveur SMTP est disponible uniquement dans SharePoint Server Subscription Edition.

L’authentification de certificat client sur SMTP est une configuration d’authentification avancée facultative qui permet au « client » (dans ce scénario, SharePoint) de s’authentifier sur le serveur SMTP à l’aide d’un certificat X.509 que le client présente au serveur. Cette authentification est « au lieu » ou « en plus » des informations d’identification nom d’utilisateur/mot de passe. Cette configuration n’est pas courante, mais elle peut être utilisée dans des environnements à haute sécurité où l’authentification standard du nom d’utilisateur/mot de passe n’est pas considérée comme suffisante.

Notes

Vous n’avez pas besoin d’utiliser l’authentification de certificat client pour utiliser le chiffrement de connexion TLS sur le serveur SMTP.

Voici les conditions requises pour SharePoint l’authentification de certificat client avec un serveur SMTP :

  1. Le serveur SMTP doit être configuré pour prendre en charge STARTTLS pour le chiffrement de connexion TLS.
  2. Le serveur SMTP doit être configuré pour accepter ou exiger des certificats clients lors de l’établissement de connexions TLS à l’aide de STARTTLS.
  3. SharePoint être configuré pour utiliser le chiffrement de connexion TLS sur le serveur SMTP.
  4. SharePoint être configuré pour utiliser un certificat client lors de la connexion au serveur SMTP.
  5. SharePoint comptes de processus qui envoient des courriers électroniques (qui peuvent inclure le compte de service de batterie de serveurs SharePoint et le compte de service d’application web) doivent être autorisés à lire la clé privée du certificat X.509.
  6. Le certificat X.509 doit respecter les conditions suivantes :
    • Le certificat X.509 doit se trouver dans le magasin de certificats « End Entity » dans SharePoint.
    • Le certificat X.509 doit utiliser des clés RSA ou ECC (ECDSA). Les clés DSA ne sont pas pris en charge.
    • Le certificat X.509 doit avoir une clé privée.
    • Si le certificat X.509 possède une extension Utilisation de la clé, l’extension doit contenir l’utilisation « Signature numérique ».
    • Si le certificat X.509 possède une extension d’utilisation de clé étendue, l’extension doit contenir l’utilisation « Authentification client » (OID : 1.3.6.1.5.5.7.3.2).

Exemple de capture d’écran de la configuration de cette configuration dans l’Administration centrale :

Utilisation de l’authentification par certificat client avec un serveur SMTP

Emprunt d’identité d’e-mail

Certaines SharePoint peuvent usurper l’identité des utilisateurs finaux lors de l’envoi de messages électroniques pour personnaliser le message. Par exemple, lorsqu’un utilisateur demande l’accès à un site, SharePoint définira l’adresse « De » de la notification par courrier électronique comme l’utilisateur qui a effectué la demande.

Certains serveurs SMTP peuvent bloquer l’emprunt d’identité pour protéger les utilisateurs contre les tentatives non autorisées d’usurper leur identité. Si votre serveur SMTP bloque l’emprunt d’identité, plusieurs options permettent d’autoriser SharePoint messages électroniques à envoyer :

Accorder l’autorisation au compte SharePoint de messagerie authentifié d’usurper l’identité des utilisateurs

Microsoft Exchange Server vous permet d’accorder à un utilisateur l’autorisation d’usurper l’identité d’autres utilisateurs lors de l’envoi de messages électroniques via un connecteur de réception. Ces autorisations sont les suivantes :

Autorisation du connecteur de réception Description
ms-Exch-SMTP-Submit
Cette autorisation doit être accordée à la session, sinon elle ne pourra pas envoyer de messages à ce connecteur de réception. Si une session ne dispose pas de cette autorisation, les commandes MAIL FROM et AUTH échouent.
ms-Exch-SMTP-Accept-Any-Recipient
Cette autorisation permet à la session de relayer des messages via ce connecteur. Si cette autorisation n'est pas octroyée, seuls les messages adressés à des destinataires dans des domaines acceptés sont réceptionnés par ce connecteur.
ms-Exch-SMTP-Accept-Any-Sender
Cette autorisation permet à la session d'ignorer le contrôle d'usurpation d'adresse de l'expéditeur.
REMARQUE : Cette autorisation n’est nécessaire que si SharePoint usurper l’identité des utilisateurs dont le compte de messagerie n’est pas géré par votre organisation.
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
Cette autorisation permet aux expéditeurs qui ont des adresses de messagerie dans des domaines faisant autorité d’établir une session sur ce connecteur de réception.
ms-Exch-Accept-Headers-Routing
Cette autorisation permet à la session de soumettre un message dont tous les en-têtes de réception sont intacts. Si cette autorisation n'est pas octroyée, le serveur supprime tous les en-têtes reçus.

Exécutez cette commande sur votre Microsoft Exchange Server pour accorder l’autorisation au compte de messagerie SharePoint authentifié d’usurper l’identité d’autres utilisateurs via un connecteur de réception :

Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-Routing

Notes

Lorsque vous utilisez Microsoft Exchange Server 2013 ou une ultérieure, cette autorisation doit être appliquée au connecteur de réception du proxy client. Lorsque vous utilisez Microsoft Exchange Server 2010 ou une antérieure, cette autorisation doit être appliquée au connecteur de réception frontal du client.

Désactiver l’SharePoint d’emprunt d’identité

Vous pouvez configurer chaque application web SharePoint pour désactiver l’emprunt d’identité de messagerie. Cela garantit que les SharePoint toujours l’adresse De Reply-To spécifiée au niveau de l’application web. Exécutez la liste suivante pour désactiver l’SharePoint’emprunt d’identité de courrier électronique :

  1. Lancez SharePoint 2019 Management Shell.

  2. Exécutez les commandes suivantes :

    $webapp = Get-SPWebApplication <web application URL>
    $webapp.OutboundMailOverrideEnvelopeSender = $true
    $webapp.Update()
    

Utiliser un connecteur de réception sécurisé de l’extérieur

Microsoft Exchange Server connecteurs de réception peuvent être configurés pour faire automatiquement confiance à tous les e-mails comme authentifiés, même si aucune authentification n’est effectuée. SharePoint envoie ensuite des courriers électroniques à ce connecteur de réception de manière anonyme. Suivez ces étapes pour créer un connecteur de réception sécurisé de l’extérieur :

  1. Créez un connecteur de réception « personnalisé » dédié pour la batterie SharePoint serveurs.
  2. Définissez le groupe d’autorisations du connecteur de réception sur « Exchange Serveurs de réception ».
  3. Définissez le type d’authentification du connecteur de réception sur « sécurisé de l’extérieur ».

En raison du risque d’usurpation d’adresses dans cette configuration, il est recommandé de limiter les adresses IP que ce connecteur de réception acceptera uniquement aux serveurs de votre batterie de serveurs SharePoint.

Voir aussi

Concepts

Configurer le courrier électronique sortant pour une batterie SharePoint server