Passerelle de messagerie sécurisée

Introduction

Avec la Secure Mail Gateway (SMG), Relution offre la possibilité de se connecter à un serveur Exchange sans le rendre disponible sur Internet. Relution fonctionne comme un proxy pour la communication via Exchange Active Sync (EAS). L’utilisation de SMG nécessite la disponibilité d’une authentification de base sur le serveur Exchange. L’authentification moderne n’est pas prise en charge.

Le port 443 doit être activé dans le pare-feu et le serveur Exchange doit être accessible depuis le serveur Relution et vice versa.

Il est recommandé de configurer les options de restriction seulement après que la connexion a été testée avec succès afin d’exclure les erreurs possibles. Une fois que la connexion a été testée avec succès et que l’on peut travailler avec les points finaux, les autorisations peuvent être configurées en conséquence.

Breaking change avec Relution 26.4.0 : À partir de la version 26.4.0, la fonctionnalité SMG nécessite un service autonome dédié. Instructions d’installation : Secure Mail Gateway (Add-on) →.

Configuration de Secure Mail Gateway

Configuration Exchange

  • Exchange URL L’adresse à laquelle le serveur Exchange peut être atteint.

  • SMG Service URL L’URL publiquement accessible du service SMG. Il peut s’agir d’un sous-domaine dédié (ex. https://smg.votreserveur.example.com) ou de la même URL que le serveur Relution — à condition que le proxy inverse transfère correctement /Microsoft-Server-ActiveSync au service SMG.

    Ce champ est disponible dans Relution 26.3 avec le feature toggle SMG_STANDALONE activé, et à partir de la version 26.4.0 sans configuration supplémentaire. Si une URL différente de l’URL du serveur Relution est saisie, la configuration Exchange doit être réappliquée sur tous les appareils enrôlés.

  • Domaine Exchange Le domaine correspondant au serveur Exchange auquel il faut accéder.

  • Tous les paramètres sous Permissions pour les appareils enrôlés Configurez-les au début, comme le montre la capture d’écran. Une connexion doit d’abord être établie et la fonction testée avant de configurer toute restriction.

  • Autorisations pour les appareils inconnus Cette fonction permet la communication avec des appareils inconnus.

Aperçu technique

Pour les configurations d’échange utilisant SMG, https://<SMG Service URL>/Microsoft-Server-ActiveSync est configuré comme point de terminaison EAS sur l’appareil. Le domaine d’échange est défini sur le nom unique de l’organisation correspondante. Relution utilise le domaine pour identifier les paramètres SMG correspondants.

Si SMG est activé et configuré dans ces paramètres, les en-têtes de requête DeviceId et DeviceType sont évalués pour identifier l’appareil qui déclenche la requête. En fonction des paramètres SMG, si le dispositif a pu être identifié, et des propriétés et du statut du dispositif (voir la section précédente), la requête est refusée ou transmise à l’hôte Exchange configuré dans les paramètres SMG et la réponse est renvoyée au dispositif. Le domaine est ajusté à celui configuré dans les paramètres SMG s’il est présent.

Conseils

Mot de passe

Exchange et SMG utilisent BasicAuth, il est donc possible que des erreurs de compte se produisent sur l’appareil final lors de l’utilisation de caractères spéciaux tels que $ # / * ü ö ä et espace.

Pour vérifier cela, un mot de passe simple composé de lettres et de chiffres doit être utilisé pour le test.

macOS

MacOS utilise la connexion Exchange via EWS. Cependant, SecureMailGateway ne peut transmettre qu’ActiveSync. Par conséquent, il n’est actuellement pas possible d’utiliser des appareils macOS avec SMG.