Présentation d’Outlook Web Access

Outlook Web Access

va vous permettre de répondre au besoin de communication ainsi qu’aux objectifs de mobilité de vos utilisateurs. Ceux-ci pourront alors utiliser leurs boites de messagerie professionnelle même en dehors de votre entreprise sans aucun autre logiciel que leur navigateur web préféré (l’application Web étant optimisé pour Internet Explorer). De cette façon, il leur sera facile de répondre à leurs contacts importants pendant de leurs déplacement, voyages, vacances et repos … vous ne leur laisserez aucun répit.

1.1 Avantage

Zéro config: l’activation et la configuration du service est faite par défaut lors de l’installation du serveur de messagerie Microsoft Exchange Server 2003. Vous y aurez accès via l’URL https://votreserveur/exchange
« Gratuit »:OWA est livré avec Exchange, il ne vous reste plus alors qu’à le configurer pour répondre au mieux à vos besoins (la sécurité par exemple).

Complet: OWA offre une interface quasi-identique à celle de Microsoft Office Outlook 2003, si ce n’est la fluidité et l’intuitivité qui est caractéristique des produits Microsoft. Mais les utilisateurs d’Office Outlook 2003 ne seront pas perdus: en effet, on peut retrouver les planning partagés, la gestion des taches courantes, un calendrier, des tâches …

Personnalisable:Vous pouvez modifier la méthode d’authentification afin que celle-ci soit plus représentative de votre Entreprise (nom, logo, couleurs..). La couleur de l’interface peut aussi être paramétrée.

Options diverses et variées: Signature personnalisée, recherche des contacts dans Active Directory, Black List, liaison avec des domaines approuvés…

Optimisé:Il est possible de configurer le système DNS avec l’équilibrage de charge réseau Windows 2003 pour n’avoir qu’un nom unique pour tous les serveurs frontaux. De cette façon, les utilisateurs peuvent utiliser la même URL pour configurer l’accès à Outlook Web Access, POP3 et IMAP4.

Sécurisé:Le serveur Exchange 2003 supporte le cryptage de vos connexions entre les clients et les serveurs (SSL), le traitement du chiffrage et déchiffrage sera exécuté par les serveurs frontaux. Aussi il supporte IPSec pour les communication intra serveur (frontal – dorsaux – contrôleurs de domaines – pare-feux…)

1.2 Description de l’interface

  • menu

À partir de ce menu, vos utilisateurs peuvent accéder à leurs mails (lus, non lus, à envoyer…), leurs calendriers (il est possible de partagé son calendrier aux autres utilisateurs), leurs contacts et tous les autres éléments. C’estle menu principal d’OWA.

Aussi y a t il des boutons d’accès rapide vers les fonctions de l’application (boite de réception, calendrier, tâches, option…). Leur utilisation est intuitive et leur action est explicite. Nous vous proposons alors de les découvrir:

  • boite de réception

À partir de cet onglet, vos utilisateurs seront capable de consulter leurs emails, de les supprimer, d’envoyer des messages, de répondre à certain…

Toutes les fonctions de base d’un client de messagerie sont remplies avec succès et rapidité d’exécution (ex : la recherche de contact dans Active Directory…)

Cet fenêtre sera l’élément le plus utilisé par vos utilisateurs, mais c’est à vous de leur montrer pour quoi et comment utiliser les autres.

  • calendrier

Grâce à la gestion des calendriers, Exchange offre à vos utilisateurs le moyen de gérer leur rendez-vous en fonctions de la disponibilité de leurs collègues (si ceux-ci ont partagé leurs calendriers).

De plus, vos utilisateurs ne savent peut-être pas tous comment organiser leurs emplois du temps (ils ne doivent pas avoir une secrétaire chacun… ;)). Mais vous allez remédiez à cela avec OWA.

Après utilisation, vos utilisateurs seront incapables de se souvenir comment ils faisaient avant! Cet outil leur sera indispensable et leurs permettra d’être de plus en plus organisés et donc productif.

  • Les contacts

Vos utilisateurs vont nouer tout au long de leur carrière une somme de contacts qui peut être tel qu’il ne s’y retrouve plus! Alors Outlook Web Access vous donne la possibilité de procédé à leur gestion (ex: listes de diffusion …).

Vous pourrez alors ajouter tous les contacts de votre choix ainsi que des listes de diffusion pouvant contenir des groupes de diffusion prédéfini par l’administrateur ainsi que divers contacts.

Aussi, vous pourrez renseigner les champs que vous le souhaitez (Société, Titre, N° de téléphone, adresse professionnelle ou même personnelle…) en plus de l’adresse email de votre contact.

De cette façon, il sera facile à vos utilisateurs de classer leurs contacts et de les retrouver! En effet combien de personnes utilisent pour cela les cartes qu’on leur à donner (enfin si elles ne sont pas perdue… ;))

OWA inclut la recherche d’objets dans Active Directory. Celle-ci peut être facilité pour les utilisateurs en expliquant la convention de nommage, en tous cas celle des noms des compte de groupe Active Directory.

Ex: dist_nom_de_votre_groupe, dl_nom_du_groupe … En faisant une recherche sur dist_ , Active directory vous fournira la liste de tous les groupes de diffusion prédéfinit sur le domaine. Aussi en tapant le nom et le prénom (ou alors le surnom) du contact que vous chercher, vous pourrez le trouvez.

  • Les taches

Les tâches peuvent être définies comme la somme des objectifs personnels d’un utilisateur, en fait elles lui sont propres. Ces tâches peuvent être de divers types et n’ont pas obligatoirement de lien entre elles mais vos utilisateurs auront peut-être à travailler sur deux projets en parallèle et cette fonction leur permettra de savoir où ils en sont à tous moment.

L’idée est de se dire que de cette façon un utilisateur ambitieux sera alors capable de se fixer de plus en plus de tâche en moins en en moins de temps. Il pourra alors améliorer sa productivité. Il lui faudra quand même conserver la réalité du temps: certaine tâches ne nécessite pas autant de temps que certaines autres.

Vous devrez alors sensibiliser vos utilisateurs sur l’utilisation de cette fonction. Les services qu’elle va leur rendre sera digne d’un vrai coach (entendez par là entraîneur). En effet, il risque d’être facilement dépassez par les événements et de cette façon ils auront la possibilité de mieux organiser l’enchaînement de leurs actions aussi ils seront capable de savoir ce qu’il n’arrive pas à gérer… De cette façon ils pourront demander de l’aide et pourquoi pas déléguer certaines tâches à des personnes mieux qualifiées.

  • Les dossiers publics

L’intérêt des dossiers publics est de donner les moyens aux personnes, qui possèdent des documents permettant de faire avancé un projet, de les partagés à une communauté de personnes auquel il appartient.

Par ailleurs, des contrôles d’accès doivent être définis sur chacun des dossiers afin d’administrer les accès des utilisateurs en lecture et en écriture. Pour cela, il vous faudra regarder dans les propriétés des dossiers sous l’onglet « autorisation », dans les autorisations du client.

En outre, vous pourrez activer la recherche de texte intégral sur le contenu des dossiers publics afin d’améliorer les recherches de vos utilisateurs.

Enfin il est possible mettre en cascade les dossiers afin d’améliorer leur gestion. De cette façon aussi, vous améliorerez la gestion des droits d’accès car une fonction d’hérédité existe au sein de l’arbre des dossiers publics. L’héritage des autorisations a lieu de la manière suivante :

– pour les dossiers publics de 1er niveau, les autorisations sont héritées des autorisations présentes sur le groupe administratif contenant le dossier – pour les dossiers publics enfants, les autorisations sont héritées du dossier parent (dossier de 1er niveau) »

  • Les règles

Les règles sont des actions que vous allez définir en filtrant différents paramètres. Le screenshot parle de lui même.

Il s’agit d’un exemple mais vous pouvez parfaitement faire les règles de votre choix avec des critères qui vous paraîtront plus judicieux. Le but étant de vous aidez à organiser vos mails de façon automatisée pour peut qui vous vous définissiez une convention de nommage que vos collègues et vous utiliseront.

C’est à chaque utilisateur de configurer ses règles mais un tutorial pourrait leur être proposé.

  • Les options

La listes des options est considérable et vous pourrez depuis cet onglet, définir toute la personnalisation de votre client. Nous allons les décrire afin de savoir comment les utilisées:
    • Gestionnaire d’absence du bureau: localisation de l’utilisateur, réponse automatique type répondeur.
    • Options de messagerie:nombre de messages par page, action lors de réception d’emails, signature, police par défaut…
    • Options du volet de lecture:caractéristique de l’état des message (lus, non lus…)
    • Options du vérificateur d’orthographe
    • Sécurité de la messagerie: téléchargement de contrôles S/MIME
    • Confidentialité et protection contre le courrier indésirable
    • Apparence: la couleur de l’interface d’OWA
    • Format de date et d’heure
    • Option du calendrier
    • Option de rappel
    • Options de contact
    • Récupérer les éléments supprimés

1.3 Inconvénient

Moins rapide et fluide que Microsoft Office Outlook 2003:Ces caractéristiques vont dépendre de votre connexion à Internet mais parfois pour les bas débit de type RTC (56 Kb/s), il semble plus rapide d’utiliser Microsoft Office Outlook 2003 car simplement les entêtes sont téléchargée et vous pouvez alors sélectionner les messages que vous souhaiter absolument consulter. De plus, certaines petites options ne sont pas disponibles avec l’interface web comme les couleurs pour les rendez-vous par exemple…

Sécurisation de l’accès Web

2.1 Introduction

Outlook Web Access, disons OWA, est l’interface offerte avec le produit Microsoft Exchange Server 2003. OWA est configuré par défaut par Microsoft de façon à être opérationnel juste après l’installation du serveur: la sécurité a du laisser place à la fonctionnalité Le niveau de sécurité exigé par ses clients étant si différent, l’éditeur leur à laisser la responsabilité de leur politique de sécurité.

2.2 Un outils sécurisé?

Par défaut, OWA est accessible sur le protocole HTTP. Ainsi, vous laissez votre serveur à la merci de toutes personnes capable d’exploiter cet faille: les logins et les mots de passe circulent en clair sur votre réseau. Ce qui permet, avec une technique de « man in the middle » (le hacker se met en intermédiaire entre votre client et votre serveur) , d’écouter les échanges entre vos clients et vos serveurs de façon à avoir accès au plus de boîte mail possible et les utiliser à votre escient.

Ainsi, les spammeurs, qui vous auront détourné ces comptes, vont les utiliser pour envoyer des sommes considérables de messages publicitaires que votre administrateur ne pourra pas identifier assez vite. En effet, votre bande passante vers le réseau Internet va être pollué par l’envoi de ces spams et vous serez quand même capable de visiter des sites Web ou recevoir vos e-mails, mais l’envoi de mail va être anormalement long. Pour peu que votre administrateur ne pense pas tous de suite à vérifier le contenu de la file d’attente SMTP et que l’utilisateur du compte détourné n’ai aucune idée de son état, la détection de cette attaque peut prendre un certain temps.

Par contre, les performances de votre (vos) serveur(s) vont être grandement diminuée voir même réduite à zéro (ce qui je pense est inconcevable dans un système d’information!). Vos employés vont souffrir des retards d’envoi des mails vers leurs clients ou leurs fournisseurs et votre entreprises aura de mauvaise répercussion financière.

2.3 HTTP over SSL, votre meilleure arme !

Vous comprenez alors qu’il ne serait pas très intéressant de faire passer le login et le mot de passe des utilisateurs en claire sur Internet, de plus le contenu de certains messages peut être confidentiels et vous ne voudriez pas que quelqu’un puissent l’intercepter, le lire voir même l’utiliser contre vous 🙂 ! Ainsi, il est conseillé d’utiliser le protocole HTTPS pour accéder à OWA. Les requêtes HTTPS ne sont rien d’autre que des requêtes HTTP encapsuler par le protocole SSL. Le but est de crypter les informations entre le serveur web et le navigateur afin de sécuriser votre infrastructure.

Une des solutions est de mettre en place un serveur de certificats et en créer un que vous assignez à votre serveur Web. Pour cela vous devrez ajouter ce service à votre contrôleur de domaine (avec l’assistant ajout/suppression de programme du panneau de configuration, dans la partie ajouter des composants Windows…). Ainsi vous pourrez créer des certificats qui vont être la base du cryptage: ils contiennent les clés qui permettent de crypter et décrypter les échanges client/serveur. Vous pouvez créer ces certificats par le biais d’IE à l’adresse https://nomdevotreserveur.domaine.com/certsrv.
Pour plus d’information je vous renvois vers le site MSExchange.org, qui vous propose un tutorial en anglais qui explique comment utiliser votre propre autorité de certificat pour mettre en place du SSL permettant à OWA 2003 d’utiliser le HTTPS.

2.4 IPSec, pourquoi une seconde méthode de cryptage ?

Après avoir sécurisé les échanges entre Microsoft Exchange et OWA 2003, vous ne vous mettez pas à l’abri des attaques depuis l’intérieur. En effet en local, vos utilisateurs ne vont peut être pas tous utiliser l’interface web d’Exchange et vont préférer leurs client de messagerie préféré comme Microsoft Outlook express ou Microsoft Office Outlook et vos serveurs vont échanger de nombreuses informations.

Mais il faut savoir que ces derniers n’utilisent pas que le protocole HTTP (over RPC) mais aussi les protocoles IMAP4, POP3 pour lire les messages et autres… Ces protocoles ne sont pas non plus infaillibles, alors si vous en jugez la nécessité (selon l’importance que vous confiez à votre serveur de messagerie et son contenu), vous pouvez augmenter la sécurité de votre LAN en mettant une politique de sécurité IPSec uniquement entre les serveurs de votre choix (par exemple un serveur frontale Exchange 2003 qui travail avec plusieurs serveurs dorsaux ou bien, plusieurs contrôleur de domaines…) ou alors entre tous les serveurs et leurs clients. Les performances de votre réseau vont peut être quelque peu diminuées mais que ne ferait-on pas pour courir le minimum de risque… 😉
La méthode de cryptage est ici différente: clé publique / clé privée. La distribution des jeux de clés se fait lors de l’ouverture de session, ils seront alors uniques sur le réseau! Ensuite l’émetteur crypte les informations avec sa clé privée publique puis envoi son message au destinataire qui le décryptera avec la clé publique de l’émetteur. Puis, le destinataire répond à l’émetteur en cryptant avec la clé publique qui lui a permis de décrypter le premier message. Ainsi, seul l’émetteur de la communication sera capable de le décrypter (il est le seul à détenir sa clé privée).

Exemples d’architectures sécurisées

3.1 Le système frontal/dorsal

exemple d’architecture type

Le schéma représente un réseau type où est intégré un service de messagerie sécurisé. En interne, les utilisateurs vont interroger leur serveur DNS qui va leur donner les informations sur le serveur dorsal de messagerie. Et comment cela va-t-il se passer pour les utilisateurs en déplacements? Ils vont devoir utiliser Internet pour se connecter au serveur de messagerie de leur entreprise. Vous comprenez alors qu’il ne serait pas judicieux d’ouvrir une porte directe vers le serveur interne à votre système d’information. C’est pourquoi, il faut mettre un firewall qui va autoriser les protocoles SMTP en entrée et IMAP4, POP3 en sortie vers l’ IP du serveur frontal que l’on isole dans un réseau intermédiaire communément appelé DMZ (DeMilitarized Zone).

Depuis Internet, vos utilisateurs vont interroger le serveur frontal qui va se charger de les authentifier et de faire les requêtes auprès du serveur dorsal. En fait, le serveur frontal ne contient pas la base de donnée des messages. Ainsi, même si un hacker arrive à franchir le premier firewall, il n’aura accès à aucune boîte mail et pourra pas non plu franchir le second pare-feu qui filtre avec l’ adresse IP du serveur frontal et l’adresse IP du serveur dorsal (celle étant attribuer de manière fixe et permanente). Mais afin d’obtenir une sécurité maximale, il faut mettre aussi un firewall entre le serveur frontal et dorsal qui n’autorise que les échanges selon certains protocoles entre ces deux serveurs. De cette façon, aucun client ne pourra interroger directement le serveur dorsal depuis Internet: ce serait une faille de sécurité importante car votre serveur de messagerie serai à la merci de n’ importe quel spammer. .

En local, vos utilisateurs peuvent directement consulter le serveur dorsal. Ainsi, vous pourrez définir des autorisations d’accès différentes entre les utilisateurs qui accèdent aux serveurs dans le LAN et ceux qui veulent avoir accès depuis Internet. En effet, les risques ne sont pas les mêmes: en local il est plus facile de détecter la présence d’un hackeur sur le réseau! L’avantage de mettre en place un système frontal/dorsal est donc de procéder à une différenciation des utilisateurs à partir de leur méthode d’accès aux serveurs (locale ou distante). De plus votre serveur frontal va vous permettre une répartitions de charge, en effet, il s’occupera des échanges vers internet. Tirant partie de la bande passante importante entre les serveurs (un backbone d’1Gb/s permet d’avoir des communications bien plus rapides qu’Internet!), votre serveur dorsal s’occupera uniquement des accès locaux et ne sera pas ralenti par les accès distants.

3.2 Implémentation d’un serveur frontal

Un serveur frontal est le serveur vers lequel les utilisateurs d’Internet vont faire des requêtes. Il se charge alors de rechercher le serveur dorsal vers qui s’adresser pour pouvoir répondre à la requête du client. De cette façon les utilisateurs n’ont pas à se soucier de votre architecture, ils n’ont qu’à savoir qui est le serveur frontal. La gestion de sa boîte mail lui reste alors transparente.

Quels sont les pré requis?

Voici la liste des services minimums pour utiliser Outlook Web Access sur votre serveur frontal : – Microsoft Exchange – Moteur de routage – Services IPSec – Service d’admin IIS – Service de publication World Wide Web À moins que vous souhaitiez activer les connexions POP3, IMAP4 ou SMTP, auquel cas, les services correspondant seront nécessaires. Les autres services lies à Exchange peuvent alors être désactivés.

Comment interroger un serveur Dorsal?

Dans une topologie serveur frontal/dorsal, chaque serveur frontal détermine le serveur dorsal qui contient la ressource voulue en interrogeant Active Directory avec une requête LDAP. Active Directory va quant à lui chercher dans les informations de son DNS pour fournir l’adresse IP du serveur dorsal correspondant.

Dans la pratique vous devez attribuer manuellement ce rôle sur le serveur frontal. Pour cela, vous devrez modifier les propriétés de votre serveur comme sur le screenshot qui suit. Notez que cette console vous permet de configurer de nombreux paramètre relatif au serveur Microsoft Exchange (Active directory, Exchange, IIS).

3.3 Implémentation d’un serveur dorsal

Ce serveur va donner la possibilité à vos utilisateurs d’accéder à leur messagerie à l’intérieur du LAN. En outre, il va donner tous les renseignements qu’un serveur frontal pourra lui demander.

Le serveur dorsal Microsoft Exchange contient la base de donnée Exchange, c’est à dire l’ensemble des boites mails de vos utilisateurs ainsi que les dossier public, agenda partagé et autre… Il sera donc le seul à connaître le contenu de toutes les boites mails de toute votre infrastructure : de ce fait son rôle est critique. Peut-être serait-il serait même préférable d’avoir au minimum deux serveurs dorsaux si vous souhaiter avoir un service de messagerie qui soit sujet à la tolérance de panne. Et dans ce cas vous pourriez aussi gérer la répartition de charge que les technologies Microsoft Server mettent à votre disposition.

En fait, le serveur dorsal est Le serveur de messagerie à proprement parler. Le serveur frontal gérant plutôt les interfaces ouvertes aux utilisateurs, le serveur dorsal va s’occuper, quant à lui, de la gestion des alias, du routage des messages au sein de votre domaine et des envois et réception des mails vers l’extérieur.

Quels sont les pré requis?

Voici maintenant les services que vous pouvez désactiver sur un serveur Exchange dorsal : – Microsoft Exchange – IMAP4- Microsoft Exchange – POP3 – Microsoft Search- Microsoft Exchange – Service Événement – Microsoft Exchange – Service de réplication de sites- Localisateur d’appels de procédure distante (RPC) – NNTP

Conclusion

5.1 Conseils

Évitez au maximum d’installer Exchange sur un contrôleur de domaine: le serveur de messagerie sollicite énormément la mémoire vive du système ce qui aura pour effet de nuire aux performance de votre contrôleur de domaine, aussi cela créer une anomalie du redémarrage, mais enfin en cas de panne su serveur, toutes votre infrastructure est paralysée.

5.2 Conclusion

Grâce à ses possibilités d’accès web sécurisé, Outlook Web Access semble être un complément intéressant à Microsoft Office Outlook 2003. En effet, toutes les fonctions de bases sont implémentées dans cette interface Web. Par contre, vous avez bien compris pourquoi il ne faut pas laissez le service se lancer par défaut! Privilégiez au maximum les connections sécurisées (HTTPS) ainsi que l’échange d’informations intra serveur cryptés (IPSec). Vous n’aimeriez pas que l’investissement matériel que vous avez fait, sans parler de votre connexion à Internet, soit détourné par un spammer malveillant…

En outre, il est possible aux utilisateurs de configurer l’application afin que celle-ci leur corresponde au mieux (au point de vu de l’organisation, chaque utilisateur aura ses préférences).

De plus, cet article vous a démontré l’intérêt de ne pas utiliser le serveur qui contient la base de donnée Exchange comme interface pour les utilisateurs distants. En effet, l’utilisation d’un serveur frontal va améliorer vos performances et la sécurité de vos informations.

Donc

, vous avez du réfléchir à la position de vos serveurs au sein de votre système d’information car cela va vous permettre de mieux vous protéger en laissant

le minimum de communication enter et sortir de votre LAN. Certes il est nécessaire d’avoir beaucoup de serveur et de licence pour tous les produits nécessaires, mais cette solution offre la possibilité d’avoir un service de messagerie disponible quelque soit l’endroit où se situent les utilisateurs.

Ceci seront alors capable de répondre plus efficacement à leurs contacts professionnels car ils auront la possibilité de consulter leurs boîtes de messagerie depuis chez eux ou même en vacance.

Toutefois, Microsoft Office Outlook 2003 implémente RPC over HTTP, ce qui lui permet de se connecter à votre serveur frontal via le web. Pour cela, vous devrez alors configurer le protocole dans les paramètres de connexion de votre compte de messagerie Exchange.

5.3 Liens annexes

OWA add-on

MSExchange.org