1- Introduction :

La messagerie électronique est devenue l'un des points central d´une entreprise puisque c'est l'un des moyens de communications et de partage d'informations les plus utilisés entre employés, clients ou fournisseurs et ce n'importe où dans le monde.

En effet, on peut y accéder via un smartphone, une tablette ou n'importe quel ordinateur relié à internet via un navigateur web, ne nécessitant aucune installation d'un client de messagerie, telle qu'Outlook.
De plus, on peut accéder à tous ses contacts et connaître leur disponibilité, gérer son planning (Calendrier), proposer des réunions, gérer des ressources...

Microsoft développe son propre serveur de messagerie, nommé Exchange, actuellement à la version 2016.

Exchange 2013 est constitué de deux rôles :
- Serveur d’Accès Client : A pour rôle l'authentification des utilisateurs, la localisation du serveur de boîte aux lettres et la connexion entre le client et la boîte aux lettres.
- Serveur de Boîtes Aux Lettres : A pour rôle le stockage des boites aux lettres, des protocoles d'accès clients et des services de transport.

2- Prérequis :

Avant d'installer Exchange nous devons posséder un serveur avec :
- un nom simple pour votre serveur
- une IP fixe
- un serveur DNS
- un service d'annuaire Active Directory.

De plus, Microsoft conseille dans un but de sécurisation et de performance de placer votre serveur Exchange à part de votre serveur AD. Dans ce cas, votre serveur Exchange doit être membre du domaine.

Le niveau fonctionnel de la forêt et du domaine doit être au minimum Serveur 2003, ici nous installerons Exchange, dans une nouvelle forêt, sur un Serveur 2012.

3- Prérequis sur le contrôleur de domaine :

NET Framework 4.5 est nécessaire à l'installation d'Exchange 2013, celui-ci étant déjà inclus dans Windows Serveur 2012 nous n'aurons pas besoin de l'installer.
Avant de commencer la préparation du schéma nous devons installer les outils d’administration à distance (RSAT) : Centre d'administration Active Directory, Domaines et Approbations AD, Utilisateurs et ordinateurs AD...
Normalement déjà installés par défaut à l'ajout du rôle ADDS.
La commande suivante permet cette installation :
Install-WindowsFeature RSAT-ADDS

En powershell entrer la commande suivante afin de préparer le schéma :
d:\setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

d: correspondant à votre CD d'installation Exchange.

Puis préparer le domaine avec cette commande :
d:\setup.exe /PrepareAD /OrganizationName:"SEB-INFO" /IacceptExchangeServerLicenseTerms

Préparation du schéma : Permet d'ajouter les attributs Exchange 2013.
Préparation du domaine : Permet d'ajouter les objets requis par Exchange 2013 et de définir le nom de l'organisation.
Crée l'organisation Exchange dans la configuration de l'annuaire ainsi que les groupes universels de sécurité propre à Exchange.
Nous pouvons vérifier le bon déroulement via la console Modification ADSI (permet de gérer les objets dans le domaine).

4- Prérequis sur le serveur mail dédié et installation d'Exchange:

Le serveur doit posséder un processeur 64bits, au moins 30Go d'espace libre sur le disque dur et 8Go de mémoire vive.

L'installation d'Exchange nécessite l’installation de certains composants et fonctionnalités :
Sous powershell entrer la commande suivante :
Install-WindowsFeature AS-HTTP-Activation, NET-Framework-45-Features, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Desktop-Experience

On retrouve, entre autre, l'installation du serveur web IIS ainsi que les différents services web nécessaires.

Télécharger et installer :
- Microsoft Unified Communications Managed API 4.0
- Microsoft Office 2010 Filter Pack
- Microsoft Office 2010 Filter Pack SP1

L'installation d'Exchange peut dès à présent être démarré depuis le CD (setup.exe).

Suivre les étapes et choisir d'installer les rôles Mailbox et Client Access.

5- Administration d'Exchange :
L'interface d'administration est appelé : Centre d’administration Exchange (EAC - Exchange Administration Center).
Elle est accessible via une interface web : https://nom_serveur/ecp

Pour une configuration plus avancée, il faudra utiliser Powershell - Exchange Management Shell (EMS)
Exemple de commande :
Get-ExchangeServer : liste le serveur exchange et les rôles installés.

Le bon déroulement de l'installation peut être contrôlé grâce au journal situé dans C:\ExchangeSetupLogs\ExchanSetup.txt.

On crée les boîtes mails puis on y accède via le lien suivant : https://nom_server/owa

6- Configuration d'Exchange pour l'envoi et la réception de mails :

Les protocoles utilisés entre le serveur Exchange et les clients sont :
- Outlook Anywhere : Par défaut avec Outlook (qui remplace MAPI – RPC/TCP).
- Outlook Web App : Depuis un navigateur web
- Exchange ActiveSync : Depuis un smartphone
- POP3 / IMAP : Le service n'est pas démarré automatiquement et n'offre pas toutes les fonctionnalités. Utilisé avec Outlook.
MAPI des anciennes versions d'Exchange (RPC/TCP) disparaît et devient RPC/HTTP(S) que l'on appelle Outlook Anywhere. Toutefois, si le terme MAPI est employé dans Exchange 2013, il faut bien comprendre que l'on parle du nouveau protocole RPC/HTTP.

Serveur DNS public :
Pour recevoir des mails il faut un enregistrement DNS public, qui va rediriger les messages à destination de notre serveur SMTP.
C'est l'enregistrement MX qui contient le nom de ce serveur.
Un enregistrement de type A (hôte) va rediriger le nom mail.seb.info.eu vers l'IP publique de ma BOX où se trouve le serveur.

Il est également intéressant de créer une nouvelle zone « seb-info.eu » et un enregistrement de type A « mail.seb-info.eu » sur le serveur DNS interne de l'entreprise, afin que les clients Outlook des postes situés au bureau n'aient pas à effectuer des requêtes sur internet pour résoudre l’emplacement du serveur mail.

Firewall (Modem/Routeur) :
Ensuite une ouverture des ports SMTP, HTTP et HTTPS ainsi qu'une redirection de ces ports vers le serveur de mails est nécessaire.

Autorisation et configuration du domaine seb-info.eu :
L'accès aux mails s'effectue via le domaine est seb-info.eu et non seb-info.lan.

Ce domaine doit être autorisé à recevoir des mails sinon ces derniers seront automatiquement supprimés.
Pour cela, le centre d’administration Exchange accessible depuis un navigateur web sera utilisé.
Le compte administrateur permet d'avoir accès à la configuration du serveur Exchange.
En allant dans flux de messagerie puis Domaine accepté, il est possible de rajouter le nouveau domaine.

Afin que les utilisateurs aient le suffixe seb-info.eu dans leur adresse mail, une modification de la stratégie de messagerie par défaut doit être effectué.

Il ne faudra pas oublier de l'appliquer.

Pour que les utilisateurs puissent se connecter avec l'adresse de messagerie et plus uniquement avec le domaine interne, il faut ajouter le suffixe au niveau des propriétés de domaines et approbations.

Dans Utilisateurs et ordinateurs Active Directory apparaît le nouveau suffixe de connexion qu'il faut sélectionner.

L'ouverture de session et l'accès à l'adresse mail pourra dès à présent s'effectuer soit avec le suffixe seb-info.eu soit avec seb-info.lan.

Connecteur d'envoi :
Il faudra configurer un connecteur d'envoi nommé Internet, cocher de type ''internet'' et créer une redirection vers le SMTP du FAI (ici Orange).

Un joker (*) sera utilisé au niveau de l'espace d’adressage pour désigner tous les domaines. Les mails seront donc tous redirigés vers le SMTP d'Orange.

Connecteur de réception :
Vérifier que le connecteur de réception nommé « Default Frontend NOM_SERVEUR » à bien la case « Utilisateurs anonymes » de cocher afin de recevoir les mails provenant de l’extérieur.
Normalement c'est déjà configuré correctement.

Configuration d'Outlook Anywhere :
Il faut ajouter le nom externe d'accès à Outlook Anywhere utilisé par nos client et faire de même pour l'accès à Outlook Web Access.
Laisser négocier par défaut au niveau de l'authentification : NTLM (plus sécurisé) sera utilisé en premier sinon ce sera l'authentification de base mais étant en HTTPS, la connexion sera sécurisée et les mots de passe non visibles.

Nous pouvons dès à présent recevoir et envoyer des mails via Outlook ou OWA.
Mais une alerte de sécurité apparaît à chaque connexion.

7- Installations d'une autorité de certification :

Exchange 2013 ''oblige'' à utiliser Outlook Anywhere puisque seul le protocole RPC over HTTP(S) est utilisé dès à présent.

La première étape consiste à installer le rôle « Services de certificats Active Directory » de préférence sur un serveur dédié et membre du domaine.

Cocher « autorité de certification » et « Inscription de l'autorité de certification via le web » (qui permettra de récupérer un certificat valide depuis un navigateur).

Poursuivre l’installation puis passer à la configuration.
Installer une autorité de certification d'entreprise, de type racine, créer une clé privée, laisser par défaut la partie chiffrement (on pourra changer l'algorithme de hachage pour quelque chose de plus fort mais cela augmentera le temps de traitement et les consommations de ressources).
Donner un nom à l'autorité et indiquer une durée de validité (il faudra donc recréer un certificat et le redéployer de nouveau à terme).

Création du certificat pour votre serveur Exchange :
Dans Powershell exécuter la commande suivante afin de mettre à jour les stratégies de groupes et de récupérer le certificat de l'autorité de certification :
gpupdate /force /logoff /boot

Le serveur devrait redémarrer si ce n'est pas le cas faites-le manuellement.

Il est important de configurer les URL d'accès interne et externe au niveau des répertoires virtuels car la demande de certificat s'appuiera dessus.

Retourner dans le centre d'administration Exchange puis dans le menu serveurs puis Certificat cliquer sur le + pour effectuer une demande de certificat.

Donner un nom à votre certificat et sélectionner le serveur Exchange qui stockera cette demande.
Poursuivre la demande en renseignant les champs.

Indiquer le chemin ou sera stocké la demande.

Utiliser un navigateur afin d’accéder à l'inscription en ligne via le lien http://nom_serveur_AC/certsrv.

Puis cliquer sur « demander un certificat » puis « demande de certificat avancée ».

Ouvrir la demande certificat précédemment enregistrée avec le bloc note et effectuer un copié collé du texte dans le navigateur.

Sélectionner Serveur Web dans Modèle de Certificat puis cliquer sur envoyer.

Télécharger votre certificat et enregistrer le dans C : avec le nom souhaité.

Retourner dans le Centre d’administration et cliquer sur importer un certificat Exchange.

Indiquer l'emplacement de votre certificat, puis spécifier le serveur Exchange où sera appliqué le certificat.

Cocher les services SMTP et IIS.
Valider le remplacement des certificats.

Mon serveur Exchange peut, maintenant, présenter à mes clients son certificat délivré par l'AC. Si mes utilisateurs ont bien l'AC parmi les autorités reconnues alors, ils feront confiance à mon serveur de mails.

8- Les clients :

Lors de l'installation de l'Autorité de Certification, un certificat à été créé et délivré à tous les utilisateurs du domaines afin de reconnaître l'AC.
En effet, en se connectant depuis n'importe quel poste client du domaine via Outlook ou OWA aucune alerte de sécurité n'est affichée.
De plus, Outlook se configure automatiquement.

Toutefois, pour ceux hors du domaine, il faudra télécharger le certificat de l'AC depuis https://nom_serveur_AC/certsrv et l'installer dans « Autorités de certification racines de confiance ».

Les paramètres du serveur, quant à eux, doivent être renseigner manuellement dans Outlook.
Il faut configurer Outlook anywhere puisque maintenant c'est le seul protocole utilisé pour se servir Outlook.
Pour cela activer le proxy et indiquer le lien externe d'Outlook anywhere, ici mail.seb-info.eu.
La connexion s'effectue uniquement en https.
Cocher la case « Se connecter uniquement aux serveurs proxy dont le certificat comporte ce nom principal » puis renseigner le champ tel quel :
msstd:mail.seb-info.eu

On mettra authentification de base pour un poste hors du domaine et NTLM pour un poste dans le domaine.

Au niveau du nom de votre serveur, il faut renseigner le nom FQDN ''exch1.seb-info.lan'', une fois qu'il aura trouvé le serveur le nom de celui-ci changera en son GUID@domaine_smtp.

Au niveau de votre smartphone, il faudra également configurer manuellement l'accès au serveur et valider lorsque l'alerte de sécurité s'affichera (l'autorité de certification n’étant pas reconnue).

Si vous utilisez un navigateur tiers comme Firefox, l'installation du certificat devra être faite au niveau de celui-ci.

Il est possible de faire appel à une autorité de certification publique mais payante pour être reconnus depuis n'importe quel appareil.

Un solution existe afin que vos clients hors du domaine puissent se configurer automatiquement.
Pour cela vous devez créer un enregistrement de type SRV (service) nommé autodiscover sur votre DNS interne et un enregistrement de type CNAME (alias) nommé autodiscover sur votre DNS public.

9- Sécurité et haute disponibilité :

Il est possible de sécuriser un peu plus le serveur en mettant en place un serveur Edge. Celui-ci sera placé en DMZ et n'appartiendra pas au domaine. Il aura le rôle de proxy entre le serveur SMTP interne et ceux extérieurs. Il pourra analyser tous les messages grâce un antivirus et un anti-spam.
Toutefois, ce service n'a pas été implémenté avec Exchange 2013, il faudra donc utiliser une ancienne version.

Il est également possible de faire de la haute disponibilité en mettant en place de l'équilibrage de charge réseau (NLB) pour le Serveur d'Accès Client et d'utiliser un groupe de disponibilité de bases de données (DAG) pour le Serveur de Boite Aux Lettres.

Commandes utiles :

Création d'utilisateur en Powershell :
New-Mailbox -Alias toto.zero -Name "Toto ZERO" -FirstName Toto -LastName ZERO -DisplayName "Toto ZERO" -UserPrincipalName [email protected] -Password (ConvertTo-SecureString -String 'MotDePasse' -AsPlainText -Force)

Donner les droits d'accès à toutes les boites mails à un utilisateur (ici Toto) :
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox') -and (Alias -ne 'Admin')} | Add-MailboxPermission -User [email protected] -AccessRights fullaccess -InheritanceType all

Déplacer une base de données :
Move-DatabasePath -Identity BASE-4 -EdbFilePath E:\Exchange_2016\BASE-4\BASE-4.edb -LogFolderPath "E:\Exchange_2016\BASE-4"