Configuration d’un domaine accepté

Un domaine accepté est un espace de noms SMTP (également appelé espaces d’adressage) qui sera configuré dans une organisation Exchange afin d’envoyer et de recevoir des messages électroniques pour ce même espace de nom SMTP. 
Il est obligatoire de configurer un domaine accepté

Le serveur Exchange acceptera de traiter les emails pour cet espace de nom car il en aura la « responsabilité ».
Sans cette configuration le serveur ne traitera pas les messages électroniques reçus ou envoyés par cet espace de noms SMTP.

Domaine faisant autorité

Tous les destinataires figurant dans le domaine faisant autorité existent dans l'organisation Exchange.
Exchange est chargé de générer des notifications d'échec de remise (également appelées notifications de non-remise) pour les destinataires ne figurant pas dans un domaine faisant autorité.
Le serveur Exchange est donc totalement « maître » de ce domaine et en aura une totale responsabilité.
L’intégralité des boites mails du domaine sera gérée par le serveur Exchange de l’entreprise.

Il est possible d’avoir plusieurs domaines faisant autorité dans la même organisation.

Domaine de relais interne

Certains destinataires dans le domaine de relais interne peuvent exister dans l'organisation Exchange mais ce n’est pas le cas de tous les destinataires.
Exchange n'est pas chargé de générer des notifications d'échec de remise pour les destinataires ne figurant pas dans un domaine de relais interne. Pour avoir des notifications, il faudra créer un connecteur d'envoi avec l'espace d'adressage du domaine de relais interne. Il faudra également approvisionner ce connecteur d'envoi sur un serveur de boîtes aux lettres interne pour relayer les messages destinés aux destinataires absents du domaine.
Cette configuration permettra de relayer les e-mails en interne vers des destinataires internes ne faisant pas parti de l’organisation Exchange de l’entreprise.
Une partie des boites mails est gérée par le serveur Exchange, si toutefois certains destinataires font partie de l’organisation Exchange de l’entreprise.

Domaine de relais externe

Aucun des destinataires figurant dans le domaine de relais externe n'existe dans l'organisation Exchange.
Exchange n'est pas chargé de générer des notifications d'échec de remise pour les destinataires ne figurant pas dans un domaine de relais externe.
Pour avoir des notifications, il faudra créer un connecteur d'envoi avec l'espace d'adressage du domaine de relais externe.
Il faudra également approvisionner ce connecteur d'envoi sur un serveur de transport Edge ou un serveur de boîtes aux lettres connecté à Internet pour relayer les messages destinés aux destinataires absents du domaine.
Cette configuration permettra de relayer les e-mails vers des destinataires externes de l’entreprise ne faisant pas parti de l’organisation Exchange de l’entreprise.
Aucune des boites mails n’est gérée par le serveur Exchange.

Depuis l’EAC

Se connecter à l’EAC puis se rendre dans la partie flux de messagerie et enfin cliquer sur domaines acceptés

Cliquer sur le symbole + puis remplir les informations demandées

Valider en cliquant sur enregistrer.

Depuis PowerShell avec la commande suivante :

New-AcceptedDomain -Name «nom_FQDN_du_domaine» -DomainName «nom_FQDN_du_domaine» -DomainType «type_du_domaine» 

Les stratégies d’adresses de messagerie

Une stratégie d’adresse de messagerie permet de configurer l’adresse par défaut qu’aura un certain groupe de personne.
Elle définit les règles qui créent des adresses de messagerie de destinataires dans l’ organisation Exchange.

Permet d’attribuer automatiquement des adresses mails d’un certain type à certaines types ou groupes d’utilisateurs.

Adresse de messagerie SMTP prédéfinie

Il s’agit d’adresses par défaut proposées par Exchange en fonction du domaine créé.

Adresse de messagerie SMTP personnalisée

Il s’agit de la personnalisation des adresses de messageries de l’organisation.

Adresse de messagerie NON SMTP

Les stratégies s’appliquent à un groupe de destinataires correspondant à différents critères de filtrages afin de définir leur adresse de messagerie selon les besoins.

Via l’ECA

Via Exchange Management Shell (EMS)

 

Pour créer la stratégie d’adresse : 
 

New-EmailAddresspolicy -Name «nom_de_la_stratégie» -IncludedRecipients MailboxUsers -EnabledEmailAddressTemplates «SMTP:%g.%.%s@domaine.com»

Pour appliquer la stratégie d’adresse : 
 

Update-EmailAddressPolicy -Identity «nom_de_la_stratégie»

Attention : il faut laisser les guillemets dans la ligne de commande

Exemple d’application d’une stratégie : 

Dans le cas où le domaine serai du type « domaine.local » et que l’on souhaite que les utilisateurs utilisent l’adresse de messagerie du domaine externe qui lui est du type « domaine.com », il faudra rajouter un suffixe UPN dans la configuration AD.
Cela permettra aux utilisateurs de se connecter directement dans Outlook avec leur adresse externe en « domaine.com »
Puis une fois cette manipulation faite, créer une stratégie de messagerie pour que tous les utilisateurs utilisent l’adresse en « domaine.com ».

Pour effectuer cette configuration il faut se rendre dans « domaines et approbations Active Directory » puis faire un clic droit/propriété sur le dossier domaines et approbations Active Directory. 

Puis ajouter le suffixe UPN « domaine.com »

Attention : Cette configuration est également à faire lors d’une configuration Exchange hybride (On-Premise ET Cloud)

Il reste maintenant à créer la stratégie d’adresse pour que tous les utilisateurs de l’organisation utilisent l’adresse de messagerie externe.
Pour cela il faut se connecter à l’EAC puis aller dans « flux de messagerie » et cliquer sur « stratégies d’adresse de messagerie »

Cliquer sur le symbole + pour ajouter une stratégie

Cliquer à nouveau sur le

Toujours sur la même fenêtre, descendre le curseur pour définir à qui appliquer cette stratégie

Une fois la stratégie est créée il faut IMPÉRATIVEMENT l’appliquer.

Attention : Toute stratégie créée mais non appliquée ne sera pas prise en compte dans la configuration

New-EmailAddresspolicy : indique la création d’une nouvelle stratégie

Pour vérifier si la stratégie a bien été créée il faut taper la commande suivante 

Get-EmailAdresspolicy

 

Il ne reste plus qu’à appliquer la stratégie 

Update-EmailAddressPolicy -Identity «nom_de_la_stratégie»

 

Base de données de boites aux lettres

Bref rappel du fonctionnement de la réception d’un e-mail :

Attention : Tant que la vérification via le « .chk » n’a pas été faite, l’utilisateur ne pourra pas voir le mail et ce même s’il a été positionné précédemment par le serveur dans sa boite aux lettres dans la BDD 

1 - La composition d’une base de données

Une base de données de boite aux lettres est une base de données qui va stocker les boites aux lettres des utilisateurs, avec par exemple les mails, les contacts, le calendrier etc.
Une base de données de boite aux lettres est composée des éléments suivants :

Il s’agit de fichiers temporaires 

La base de données de boite aux lettres

Les journaux de transactions 

Point de contrôle

Fichiers de journaux de réserve 

2 – personnalisation de la base de données

Il existe de nombreux éléments des bases de données qui peuvent être personnalisés.
Voici un exemple des éléments principaux :

Il est possible de définir la taille maximum de la base de données. De plus, il est conseillé que le stockage de la BDD soit différent de celui pour l’OS

Permet de définir la taille maximum d’une boite aux lettres utilisateur.

Permet de définir la période durant laquelle les éléments supprimés ou les boites aux lettres supprimées pourront être accessibles avant d’être supprimé définitivement.

Il est possible de faire créer un carnet d’adresse par site géographique (par exemple une BDD avec toutes les boites de Paris permettra de créer un carnet d’adresse « Paris »)

Il s’agit des fichiers « .log » détaillés plus haut.

Il est conseillé de mettre un système de sauvegarde, de purge et une taille maximum des logs car ces derniers grossissent souvent et rapidement. Dans le cadre d’un DAG cette configuration est vivement conseillée.

Il est possible de configurer le montage automatique des BDD. Par exemple, au redémarrage d’un serveur les bases de données seront remontées automatiquement évidement de le faire manuellement et permettant que les BDD soient utilisables.

Cette configuration permettra de créer un index pour chaque données dans les boites aux lettres facilitant et améliorant les recherches.

3 – Comment administrer les bases de données

Via l’EAC

La liste des bases de données se trouve dans la partie « serveur » puis « base de données ».

Pour ajouter une base de données cliquer sur + et remplir les champs nécessaires

Une fois la BDD créée, elle sera visible dans la liste. 

Pour personnaliser la BDD faire un double clic dessus et toutes les configurations là concernant seront visibles.

Attention : Penser à redémarrer le service Exchange Information Store (banque d’information).
Nécessite un compte avec les droits adaptés

Via Exchange Management Shell (EMS)

New-MailboxDatabase -Name «nom_de_la_base» -EdbFilePath «Chemin_du_stockage_de_la_BDD\nom_de_la_base.edb» -LogFolderpath «Chemin_du_stockage_des_logs»

Attention : il faut laisser les guillemets dans la ligne de commande

Set-MailboxDatabase

 

Get-MailboxDatabase

 

Dismount-Database

 

Mount-Database

 

Move-DatabasePath

 

New-Mailbox -PublicFolder -Name «nom_de_la_mailbox»

Attention : il faut laisser les guillemets dans la ligne de commande. De plus, après n’importe laquelle de ces commandes, penser à redémarrer le service Exchange Information Store (banque d’information). Nécessite un compte avec les droits adaptés

Les destinataires de messagerie

1 - Définition

Les destinataires de messagerie électronique Exchange sont tous des objets de l’Active Directory, qu’il s’agisse de personnes physiques ou de ressources (salles, matériels ,etc.).
Tous ces objets ont une extension de messagerie permettant de délivrer ou de router des messages électroniques.

2 - Les types de destinataires

Il existe plusieurs types de destinataires :

Il s’agit d’une boite aux lettres INDIVIDUELLE pour un seul utilisateur.
Nécessite une licence CAL

Il s’agit d’un objet qui est dans l’annuaire Active Directory possédant des attributs de messagerie Exchange mais qui ne fait pas parti de l’organisation de l’entreprise. Chaque contact de messagerie dispose d'une adresse de messagerie externe. Tous les messages envoyés au contact de messagerie sont routés à cette adresse de messagerie externe.
La boite aux lettres n’est pas stockée dans les serveurs Exchange de l’entreprise.
Il ne sera pas possible à ce contact de se connecter au domaine Active Directory avec le compte AD.
Cela permet de référencer des personnes externe dans l’organisation Exchange.

Utilisateur Active Directory à extension de messagerie qui représente un utilisateur extérieur à l'organisation Exchange. Chaque utilisateur de messagerie dispose d'une adresse de messagerie externe. Tous les messages envoyés à l'utilisateur de messagerie sont routés à cette adresse de messagerie externe.
Un utilisateur de messagerie est semblable à un contact de messagerie, sauf qu'un utilisateur de messagerie dispose d'informations d'identification d'ouverture de session Active Directory et peut accéder aux ressources.

Il s’agit d’une boite aux lettres affectée à une ressource qui n’est pas propre à un emplacement, telle qu’un projecteur, un ordinateur portable, un microphone ou un véhicule de société, etc. Ces ressources peuvent alors être réservées par les utilisateurs de l’entreprise en les incluant comme ressources dans les demandes de réunions.

Il s’agit d’une boite aux lettres commune et partagée pour différentes personnes comme par exemple un même service.
Ces personnes pourront se connecter à cette boite et également envoyer des messages électroniques s’ils en ont les droits.
Ce type de boite aux lettres ne nécessite pas une licence CAL.

Un groupe de sécurité à extension messagerie est un objet de groupe universel de sécurité Active Directory qui peut être utilisé pour affecter des autorisations d'accès à des ressources dans Active Directory et qui peut également être utilisé pour distribuer des messages.

Un groupe de distribution est un groupe Active Directory à extension messagerie qui peut être uniquement utilisé pour distribuer des messages à un groupe de destinataires.

Groupe de distribution qui utilise des filtres des destinataires et des conditions pour déterminer son appartenance lors de l'envoi des messages.

Boîte aux lettres affectée à un utilisateur individuel dans une forêt approuvée distincte (c’est-à-dire dans une autre forêt que cette de l’organisation de l’entreprise).

Dans les déploiements hybrides, une boîte aux lettres Office 365 est composée d'un  utilisateur de messagerie existant dans Active Directory version locale et une boîte aux lettres existant dans Exchange Online.

Boîte aux lettres constituée d'une boîte aux lettres Exchange pour stocker les messages électroniques et d'un site SharePoint pour stocker des documents. Les utilisateurs peuvent accéder aux messages électroniques et aux documents à l'aide d'une même interface client.

Dossier public Exchange configuré pour recevoir des messages.

Le principe de fonctionnement pour un utilisateur est le suivant : 

Dans le domaine Active Directory, il y a des comptes utilisateurs permettant aux différentes personnes de se connecter et de s’authentifier aux différents postes de l’entreprise. 
Pour leur rajouter une boite aux lettres, il va falloir la créer dans Exchange et elle sera stockées dans la base de données de boites aux lettres Exchange.
Lors de la création de cette boite aux lettres, une liaison avec le compte Active Directory de l’utilisateur sera faite, permettant alors à cet utilisateur de se connecter à la boite aux lettres lui étant destinée.

3 – Administration des destinataires de messagerie

Encore une fois il est possible de faire l’administration des destinataires de messagerie de deux façon : 

Avec l’EAC

Se connecter à l’EAC puis se rendre dans « destinataires » puis onglet « boites aux lettres »

Pour ajouter une boite aux lettres utilisateur, cliquer sur le + et remplir les différents champs. 

Si l’on souhaite créer des boites aux lettres de groupes, de ressources ou autres, il suffira de reproduire la même chose mais en sélectionnant l’onglet correspondant 

Avec Exchange Management Shell (EMS), voici des exemples :

New-Mailbox ; Set-Mailbox ; Enable-Mailbox ; Disable-Mailbox ; Remove-Mailbox
New-Contact ; Set-Contact ; Remove-Contact 
New-MailUser -Identity «nom» -ExternalEmailAddress «adresse_du_user» ; Set-MailUser ; Remove-MailUser 
New-Mailbox -Room ; New-Mailbox -Equipment
New-Mailbox -Shared

Les boites aux lettres de site sont à activer dans SharePoint

Personnalisation d’une boite aux lettres

1 – Les éléments qui peuvent être personnalisés

Il existe de nombreux éléments qui peuvent être personnalisés, voici quelques exemples des principaux éléments.

Il y a 3 types de quotas : 

Avertissement, lorsque la boite est presque pleine
Blocage des mails envoyés, si la taille de la boite a atteint ce quota l’utilisateur ne pourra plus envoyer de mails
Blocage des mails reçus, si la taille de la boite a atteint ce quota l’utilisateur ne pourra plus recevoir de mails

Permet de ne pas filtrer les mails pour la boite ciblée

Permet à un utilisateur de récupérer lui-même des éléments qui ont été supprimés de sa boite aux lettres si le délai de rétention des informations n’est pas passé.

Permet de désactiver la possibilité d’accès à une boite par un utilisateur ou un groupe depuis un mobile

Permet de désactiver l’accès à OWA pour  les périphériques mobiles (tel portable, tablettes, etc.)

Permet de désactiver la fonction Web mail pour les utilisateurs. Ils n’auront accès à leurs e-mails que via le lient lourd Outlook.

Permet d’éviter les envois massifs de mail. Cette valeur s’applique uniquement à un seul message électronique à la fois.

Dans le cadre d’un équilibrage de charge ou si l’on souhaite que les bases de données soient stockées sur des disques plus rapides que l’existant.

2 – Comment réaliser ces personnalisations

En mode graphique avec l’EAC

Pour modifier les éléments d’une boite mail utilisateur depuis l’EAC il suffit de cliquer sur destinataires puis sur boites aux lettres et enfin de faire un double clic sur la boite mail.

Il ne restera plus qu’à modifier les éléments souhaités.

Faire la même chose avec les groupes, les ressources, les contacts, etc.

En lignes de commande avec EMS

Set-Mailbox -identity «adresse_mail_du_user» -ProhibitSentQuota «taille_en_Gb» -ProhibitReceiveQuota «taille_en_Gb» -IssueWarningQuote «taille_en_Gb»

 

Set-Mailbox -identity «adresse_mail» -AntispamBypassEnabled $True

 

Get-Mailbox | Set-Mailbox -SingleeltemRecoveryEnabled $True

 

Set-Mailbox -identity «adresse_mail» -SingleeltemRecoveryEnabled $True

 

Get-User -Filter «Department -eq «nom_du_groupe_de_users»» | Set-CasMailbox -ActiveSyncEnabled $False

Attention les guillemets en jaune sont à laisser dans la commande

Set-CasMailbox -Identity «adresse_mail_du_user» -OWAforDevicesEnabled $False

 

Set-CasMailbox -Identity «adresse_mail_du_user» -OWAEnabled $False

 

Set-CasMailbox -Identity «adresse_mail_du_user» -MaxReceiveSize «taille_en_Mb» -MaxSendSize «taille_en_Mb»

 

Set-CasMailbox -Identity «adresse_mail_du_user» -RecipientsLimits «nombre»

 

Get-Mailbox | Set-Mailbox -ResetPasswordOnNextlogon $True

 

Set-Mailbox -Identity «adresse_mail_du_user» -ResetPasswordOnNextlogon $True

 

New-MoveMailbox -Identity «adresse_mail» -TargetDatabase «nom_de_la_BDD» -BatchName «nom_de_la_tâche»

Activer la boite aux lettres d’archivage

Attention : Cette fonction ne marche QUE pour les licences CAL de type ENTREPRISE

1 - Les avantages d’une boite aux lettres d’archivage

La boite d’archivage n’est seulement disponible qu’en mode « Outlook Connecté »

2 – Activation

Avec l’EAC

Pour activer l’archivage depuis l’interface graphique, cliquer sur destinataires puis sur boites aux lettres.
Cliquer sur la boite aux lettres d’un utilisateur puis faire défiler les informations de droite jusqu’à atteindre « archive locale » et cliquer sur « activer »

Remplir les informations nécessaires à a configuration

Avec l’Exchange Management Shell (EMS)

New-Mailbox -UserPrincipalName «adresse_mail_du_user» -Alias «alias_du_user» -Name «nom_du_user» -Database «nom_de_la_BDD» -Archive

 

Enable-Mailbox «adresse_mail_du_user» -Archive

 

Enable-Mailbox «adresse_mail_du_user» - ArchiveDatabase «nom_de_la_BDD»

 

Enable-RemoteMailbox «nom_archive» -Archive

 

Get-Mailbox -Archive

Délégation de droits de boite aux lettres

1 - Pourquoi effectuer une délégation

Il faudra ajouter le droit « FullAccess » sur la boite aux lettres pour l’utilisateur qui se verra déléguer l’accès.

Il faudra ajouter le droit « SendOnBehalf » sur la boite aux lettres pour l’utilisateur qui se verra déléguer cette permission.
Le délégué peut envoyer des messages à partir de la boîte aux lettres de l’utilisateur ou du groupe. L’adresse de ces messages indique clairement que le message a été envoyé par le délégué.
Toutefois les réponses à ces messages sont envoyées à la boîte aux lettres utilisateur ou du groupe et non pas au délégué.
Cette configuration n’autorise pas le délégué à lire le contenu de la boîte aux lettres.

Il faudra ajouter le droit « SendAs » sur la boite aux lettres pour l’utilisateur qui se verra déléguer cette permission.
Cela permet au délégué d'envoyer des messages comme s'ils provenaient directement de la boîte aux lettres utilisateurs ou du groupe et en son nom. Aucun élément n'indique que le message a été envoyé par le délégué.
Cette configuration n’autorise pas le délégué à lire le contenu de la boîte aux lettres.

Attention cela ne peut pas s’appliquer sur tous les objets de messagerie. Plus d’informations sur le TechNet.

 

2 – Comment effectuer la délégation

A l’aide de l’EAC

Se connecter puis cliquer sur « destinataires » puis « boites aux lettre partagée »
Faire un double clic sur la boite aux lettres sur laquelle des droits devront être positionnés puis cliquer sur « délégation de boite aux lettres »

Dans la liste des types d’accès cliquer sur le + et sélectionner le ou les utilisateurs qui ont le type de droit choisi sur cette boite aux lettres.

A l’aide de Exchange Management Console (EMS)

Add-MailboxPermission -Identity «adresse_la_BAL_sur_laquelle_on_va_mettre_des_droits» -User «adresse_mail_user_qui_aura_accès» -AccessRights «type_de_droits» -InheritanceType «type_héritage_des_droits_pour_les_dossiers_de_la_BAL» -AutoMapping $True

-AccessRights FullAccess (par exemple)
-InheritanceType ALL : indique que TOUS les dossiers de la BAL hériterons des permissions données
-AutoMapping $True : map automatiquement la BAL pour le ou les users qui auront les droits

Set-Mailbox -Identity «adresse_la_BAL_sur_laquelle_on_va_mettre_des_droits» -GrantSendOnBehalfTo «adresse_mail_user_qui_aura_accès»

 

Get-Mailbox -Identity «adresse_la_BAL_sur_laquelle_on_va_mettre_des_droits» | Add-ADPermission -User «adresse_mail_user_qui_aura_accès» -ExtendedRights «Send AS»

 

Add-MailboxPermission -Identity «adresse_la_BAL_Ressource_sur_laquelle_on_va_mettre_des_droits» -Owner «nom_user»

Listes d’adresses

1 - Présentation

Les listes d’adresses regroupent des objets de messagerie de type de destinataires en fonctions de différents critères sélectionnés parmi les attributs des comptes Active Directory.
Elles permettent de structurer des utilisateurs et sont la plupart du temps utilisées pour représenter virtuellement la structure de l’entreprise dans ses différents services (par exemple des listes d’adresses par agences ou par site physique).
Les listes d’adresses sont liées à l’organisation Exchange et peuvent être segmentées logiquement en plusieurs organisations tout en étant visibles ou invisibles par tous les utilisateurs ou une certaine partie des utilisateurs.
Une organisation Exchange peut posséder plusieurs listes d’adresses globales (Global Address Lists) comme par exemple dans le cadre d’une mutualisation de l’organisation Exchange.
Toutefois un utilisateur de messagerie ne peut se voir assigner qu’à une seule liste d’adresse globale.

Attention il ne faut pas confondre avec les groupes de diffusions.

2 – Liste d’adresses par défaut

Il existe plusieurs types de liste d’adresses par défaut : 

Ces listes sont visibles depuis l’EAC dans « Organisation » puis « Listes d’adresses »

3 – Carnet d’adresses en mode hors connexion

Le nom du carnet d’adresse est Offline Address Book (OAB). Il n’est présent uniquement pour Outlook et se télécharge en local sur le poste utilisateur et contient la liste d’adresse globale par défaut.
Son but est de permettre aux différents utilisateurs non connectés au serveur de pouvoir effectuer des recherches dans la liste d’adresse de l’OAB (qui est par défaut la liste d’adresse globale)
Ce carnet d’adresses est généré par une boite de type « arbitration » (boite mail qui est uniquement à l’administration de Exchange) dont l’attribut « OABGen » est positionné à $True. Il peut également y en avoir plusieurs dans une organisation Exchange.

Get-Mailbox -Arbitration | Where {$_.PersistedCapabilities -like «*oab*»

Il est copié sur tous les serveurs d’accès client de Exchange et est récupéré à l’aide du répertoire virtuel OAB depuis les services Web IIS.

4 – Les stratégies de carnet d’adresses

L’organisation Exchange peut comporter plusieurs stratégies d’adresses mais il ne peut y en avoir qu’une seule attribuée par destinataire de messagerie.
Les stratégies de carnet d’adresses permettent de segmenter les vue des listes d’adresses qui sont regroupées dans la GAL.

Une stratégie doit comporter les éléments suivants :

Les listes d’adresses sont visibles dans l’EAC dans la section « organisation » puis « listes d’adresses »

Il est possible de les créer via EAC ou EMS.

Création à l’aide de EAC :

Se connecter à l’EAC , cliquer sur « organisation » puis « listes d’adresses ».
Cliquer sur le bouton + et renseigner les informations nécessaires en prenant soin de respecter les éléments précédemment cités.