[MIR MESSAGERIE] 18/10/2010. Teneur Jérôme Gayral Bastien Promé Rudy Desseaux Vincent Hamon Arnaud

Transcription

1 18/10/2010 ERE P43 Teneur Jérôme Gayral Bastien Promé Rudy Desseaux Vincent Hamon Arnaud Groupe [MIR MESSAGERIE] Ce rapport portera sur l infrastructure du système de messagerie de notre client Aristote. L étude se fera sous trois architectures différentes qui sont : une architecture complète dans un environnement Microsoft, une autre dans un environnement intégralement Linux et une dernière dans un environnement mixte.

2 Version du document Version Modifications apportées Date 1.0 Première version du document 01/10/ Ajustement entre partie pour cohérence 08/10/ Correction orthographe 10/10/ Refonte de la mise en page 15/10/2010 Introduction (Vincent Desseaux) 2

3 1. Sommaire 1. Introduction (Vincent Desseaux) Contexte : Le Projet MIR Rappel des besoins exprimés (Vincent Desseaux) Architecture Windows (Bastien Gayral, Rudy Promé) Rappel des besoins (Rudy Promé) Comparatif de produits (Rudy Promé) Présentation Microsoft Exchange Server Présentation Novell GroupWise Présentation Kerio Connect Tableau récapitulatif Produit retenu Architecture mise en œuvre : Microsoft Exchange Server Gestion des rôles Exchange (Rudy Promé) Schéma logique d intégration (Rudy Promé) Messagerie Exchange (Bastien Gayral, Rudy Promé) Messagerie unifiée (Bastien Gayral) Accès à la messagerie depuis l extérieur (Bastien Gayral) Collaboration instantanée (Bastien Gayral) Application cliente de messagerie (Rudy Promé) Synchronisation des appareils mobiles (Rudy Promé) Schéma physique d intégration (Rudy Promé) Sécurisation des données de l entreprise (Jérôme Teneur) Clustering et haute disponibilité Clustering Exchange Estimation des coûts (Bastien Gayral, Rudy Promé) Planning Coûts matériels et logiciels : Coûts humains Conclusion (Rudy Promé) Solution Linux Système de messagerie (Vincent Desseaux & Arnaud Hamon) Rappel des besoins Introduction (Vincent Desseaux) 3

4 2. Comparatif de diverses solutions Solution retenue Architecture mise en œuvre Coûts d intégration et d administration de la solution Client de messagerie (Vincent Desseaux & Arnaud Hamon) Rappel des besoins Accès à la messagerie depuis l extérieur Comparatif des clients lourds de messagerie Solution retenue Architecture du client de messagerie Thunderbird Coûts Intégration d une messagerie unifiée (Vincent Desseaux & Arnaud Hamon) Rappel des besoins Etude de la solution Asterisk Fonctionnalités mise en œuvre FoIP (Fax over IP) Mail et téléphonie Qualité de service (QoS) Système de collaboration instantanée (Vincent Desseaux & Arnaud Hamon) Rappel des besoins Comparatif Solution retenue :Zimbra/DimDim Sécurisation des données de l entreprise (Jérôme Teneur) Présentation Bases de données Choix de la solution Architecture générale Conclusion Coûts d achat Coût d intégration Coût d administration Infrastructure Globale Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) Introduction Introduction (Vincent Desseaux) 4

5 2. Implémentation Solution Microsoft Exchange Edge Fonctionnalités Anti-Spam Fonctionnalités Anti-virus Solution Linux Zimbra Postfix MTA Kaspersky Anti-Virus SpamAssassin Solution retenu Chiffrement, authentification et intégrité des messages (Jérôme Teneur) Gestion des flux (Jérôme Teneur) Etude de flux mail Sécurité des accès clients externes (Jérôme Teneur) Solution Finale (Bastien Gayral & Jérôme Teneur) Annexes Bibliographie Table des figures Introduction (Vincent Desseaux) 5

6 1. Introduction (Vincent Desseaux) 1. Contexte : Le groupe CFG, leader dans l industrie spatiale, diversifie ses activités en s implémentant dans le secteur des services informatiques. Medianetwork, filiale du groupe dans ce domaine c est vu confié l étude complète d une solution d infrastructure technique d un système d information pour son client Aristote, qui est positionné sur le marché des énergies renouvelables. Celui-ci exprime le besoins de disposer d un système informatique fiable, évolutif et pérenne. 2. Le Projet MIR Cette étude, baptisée «Projet MIR» est composée de 6 parties, chacune traitant un domaine spécifique et distinct du système d information global, hormis MIR 6 qui est l intégration de chacun des systèmes étudiés de MIR 1 à MIR 5. MIR 1 : Infrastructure Réseau de Communication MIR 2 : Sécurité du Système MIR 3 : Architecture de messagerie MIR 4 : Infrastructure Linux MIR 5 : Infrastructure Windows MIR 6 : Intégration Réseaux et Systèmes Après avoir étudié l infrastructure sécurité de notre client Aristote, nous nous concentrerons sur les différentes possibilités d intégration d une solution de messagerie au sein de son entreprise, la présente étude nommé MIR 3 : Architecture de messagerie Introduction (Vincent Desseaux) 6

7 2. Rappel des besoins exprimés (Vincent Desseaux) Suite à l étude de l infrastructure réseau et sécurité de notre client Aristote, il nous a été confié le soin de porter une étude complète de son infrastructure de messagerie. En raison des différentes architectures existantes aujourd hui en entreprise, qu il s agisse d architecture basée sous environnement Windows ou sous environnement Linux, nous devrons proposer dans notre rapport d étude, une solution pour chaque environnement ainsi que pour un environnement mixte. Les besoins exprimés par Aristote sont : - Un système de messagerie collaborative o o o o o Gestion des agendas, contacts personnels, tâches et demandes de réunions Possibilité à un utilisateur de l entreprise de donner accès à la consultation et/ou à la modification de ses données personnelles à un ou plusieurs de ses collègues Consultation de l utilisation des ressources (matériels, salles, voitures de fonction, etc ) Envoi de courriers signés et/ou cryptés. Possibilité d une aide pour l organisation de réunion - L accès à la messagerie o o o o Depuis un poste de l entreprise Depuis un poste nomade Depuis internet Depuis un téléphone portable - L intégration d une messagerie unifiée - L intégration d un système de collaboration instantanée o o Possibilité de vidéo conférence Possibilité de partage d applications - La sécurisation du système de messagerie En raison des différentes architectures existantes aujourd hui en entreprise, qu il s agisse d architecture basée sous environnement Windows ou sous environnement Linux, nous devrons proposer dans notre rapport d étude, une solution pour chaque environnement ainsi que pour un environnement mixte. Afin de répondre aux attentes du client, cette étude comprendra pour chaque partie, l architecture choisie, sa configuration, les produits serveurs et accès clients. Un plan d intégration de la solution retenue, comprenant l ensemble des activités liées à l intégration dans le système d information nous est également demandé. Tous les prix exprimés dans le dossier sont des prix hors taxes. Rappel des besoins exprimés (Vincent Desseaux) 7

8 3. Architecture Windows (Bastien Gayral, Rudy Promé) 1. Rappel des besoins (Rudy Promé) Avant de démarrer l étude de toute architecture, il est nécessaire de rappeler les besoins de notre client Aristote afin que les propositions des outils et logiciels à mettre en œuvre soient cohérents. Il faudra donc être en mesure d assurer le bon fonctionnement des points suivants : - Intégration de l architecture de messagerie dans l organisation informatique et dans l interface des utilisateurs - Gestion des agendas - Gestion des contacts personnels - Gestion des tâches - Gestion des réunions - Possibilité de partager ses données avec d autres utilisateurs o o En lecture pour consultation En lecture et écriture pour la modification de celles-ci ou pour pouvoir répondre à des messages - Consultation des ressources disponibles (matériel, salles en détails avec leur équipement pour les réunions) - Gestion des plannings - Envoi de mails en interne (signés et cryptés) - Envoi de mails aux partenaires (signés et cryptés également) - Gestion des droits numériques sur les documents - Suppression et archivage des mails en fonction de la stratégie de notre client Architecture Windows (Bastien Gayral, Rudy Promé) 8

9 2. Comparatif de produits (Rudy Promé) Dans l environnement Windows, il existe une multitude de produits d architecture de messagerie d entreprise. Cependant, nombre d entre eux sont peu utilisés car ils ne répondent pas aux besoins des grandes entreprises. Il s agit généralement des produits Open-Source (tel que Apache James, Qpopper ou Agorum Core), il n y a pas de support derrière ce type de solution. Les coûts d administration seraient bien trop élevés ainsi que les durées de résolution d incidents imprévisibles. D autres produits ne sont pas envisageables pour Aristote car se sont des produits abandonnés depuis quelques années (comme Meldware Communication Suite, Surg ou encore Gordano Messaging Suite). Cependant, parmi les plus réputés, nous distinguons notamment Microsoft Exchange Server, Novell GroupWise et IBM Lotus Domino (ce dernier ne sera pas traiter dans notre comparatif sous l architecture Windows mais dans le chapitre concernant l architecture Linux). Nous traiterons également le cas de Kerio Connect, qui est un produit réputé comme étant la référence en matière de messagerie collaborative dans l univers Apple. Il est également disponible sur le système d exploitation de Microsoft. 1. Présentation Microsoft Exchange Server 2010 Microsoft Exchange Server est la solution adoptée par plus de 60 % des entreprises aujourd hui, c est donc le leader sur le marcher des serveurs de messagerie collaborative. Il met à disposition de tous les utilisateurs, une boîte de messagerie, un calendrier et un agenda. La messagerie unifiée est également présente. Les messages sont accessibles à distance depuis n importe où, même depuis la passerelle Internet. Toutes ces fonctions de base sont nécessaires pour notre client. D un point de vue sécurité, l envoi et la réception de mail sont cryptés grâce à SSL afin d assurer la confidentialité. La haute disponibilité est assurée grâce à une réplication des bases de données avec la technologie DAG (Data Availability Group). Quant à son administration, elle se veut centralisée dans une console de gestion dite EMC (Exchange Management Console) qui exécute des commandes PowerShell en arrière plan. 2. Présentation Novell GroupWise Cet outils, moins connu des entreprise que Exchange dispose lui aussi des fonctions principales de messagerie comme la gestion de boites de courriers électroniques, de calendriers et d agendas. Il met également à disposition un Webmail pour accéder à ses courriers depuis l extérieur. D un point de vue sécurité, les flux de courriers électroniques sont là aussi cryptés avec SSL. Novell prétend leur produit mieux protégé qu Exchange contre les pirates. Cependant, il n intègre pas de solutions de tolérance de pannes en lui-même. Elle est donc à déployer manuellement par l administrateur. Son administration est également centralisée et est basée sous la forme de stratégies. Architecture Windows (Bastien Gayral, Rudy Promé) 9

10 3. Présentation Kerio Connect Comme dit en introduction, Kerio Connect est tout droit sorti de l univers d Apple et a pris place sur les plateformes Microsoft et Linux. Il prévoit donc comme ses concurrents des boîtes mail, agendas et calendriers. Comme les précédents, les courriels peuvent être cryptés à l aide de SSL. La disponibilité est assurée grâce à un système de sauvegarde automatique des bases de données et de récupération en cas d incidents. Il dispose d une administration centralisée via une console de gestion lui aussi mais avec quelques défauts du point de vue de l ergonomie de celle-ci. 4. Tableau récapitulatif Exchange Server Novell GroupWise Kerio Connect Boîte de messagerie Oui Oui Oui Agenda Oui Oui Oui Calendrier Oui Oui Oui Messagerie Via Communicator Intégrée Non instantannée Base de données LDAP avec Active LDAP LDAP Directory POP Oui Oui Oui IMAP Oui Oui Oui SMTP Oui Oui Oui Cryptage SSL Oui Oui Oui Support technique Oui Oui Oui mais pas en France Tolérance de pannes Oui grâce au DAG Non Oui Clients de messagerie Microsoft Outlook, GroupWise Client Microsoft Outlook IBM Lotus Notes Messagerie unifiée Oui Oui Non Anti-spam Oui Oui Oui Accès aux mails depuis Oui Oui Oui l extérieur Synchronisation avec Oui Oui Oui mobiles Administration Centralisée Centralisée Centralisée Approximation de prix (Hors taxes) 50 par utilisateurs 140 par utilisateurs 70 par utilisateurs Architecture Windows (Bastien Gayral, Rudy Promé) 10

11 5. Produit retenu A première vue, les trois produits se veulent tous très complets et semblent répondre aux besoins d Aristote. Cependant, nous allons lui proposer la solution Microsoft Exchange Server 2010 pour les raisons suivantes : - D une part, nous voyons très clairement que les coûts des licences sont largement inférieurs aux concurrents - D autre part, nous éliminons la solution de Novell car il y a des coûts supplémentaires pour la mise en place d une solution de tolérance de pannes étant donné qu elle n est pas intégrée au produit - Enfin, nous préconisons Exchange face à Kerio Connect car ce dernier est encore jeune dans l univers Microsoft, son administration semble moins ergonomique. Il ne dispose pas de support technique en France. De plus, il ne dispose pas de messagerie unifiée Architecture Windows (Bastien Gayral, Rudy Promé) 11

12 3. Architecture mise en œuvre : Microsoft Exchange Server Gestion des rôles Exchange (Rudy Promé) Le produit de Microsoft a une méthode de fonctionnement bien spécifique. Celui-ci se caractérise par cinq rôles qui sont : - Mailbox (sur une machine membre du domaine) - Transport EDGE (sur une machine non-membre du domaine, à placer dans la DMZ) - Transport HUB (sur une machine membre du domaine) - Accès Client (CAS) (sur une machine membre du domaine) - Messagerie Unifiée (UM) (sur une machine membre du domaine) 1. Mailbox La Mailbox héberge toute les boîtes aux lettres et les dossiers publics. Cependant elle ne gère pas le transport des messages, elle a besoin d un serveur de transport HUB. Les Mailbox de notre client seront installées sur les quatre sites. La Mailbox du site d Orsay sera quant à elle installée en cluster pour assurer une haute disponibilité (une explication de cette décision sera abordée en partie sécurité de l architecture de messagerie). 2. Transport EDGE Ce rôle doit impérativement être installé sur un serveur Exchange placé dans la DMZ. Il assure tous les échanges de mails sortants ou entrants du réseau interne, c est une passerelle SMTP. Il inclut aussi un anti-spam, et gère les règles de répudiations et le filtrage de contenu. Pour notre client, ce serveur sera donc installé dans la DMZ du site d Orsay. 3. Transport HUB Tous les courriers électroniques doivent passés par ce serveur afin d être délivrés (y compris les courriers locaux), car ce rôle permet le routage des messages, la conversion des formats si nécessaire et la journalisation. Les flux internes sont chiffrés par TLS. Il intègre également un anti-spam. Les transporteurs HUB d Aristote seront installés sur les quatre sites afin qu il n y ait pas de surcharges de flux sur les réseaux WAN pour les messages inter-sites. Plus exactement ils seront implantés sur les mêmes serveurs que les Mailbox et ainsi en cluster sur le site d Orsay. 4. Accès Client (CAS) Le serveur d accès client sert de passerelle à tous les clients non MAPI (qui proviennent d Outlook Web Access (dorénavant Outlook Web App), d ActiveSync, d Outlook Anywhere, des protocoles POP3 et IMAP4). Les serveurs CAS seront présents sur tous les sites également, sur le même serveur que les Mailbox et transporteurs HUB. Donc en cluster sur le site d Orsay. Architecture Windows (Bastien Gayral, Rudy Promé) 12

13 5. Messagerie Unifiée (UM) Il stocke au même emplacement les s, fax et les messages vocaux de façon unifiée depuis un client Outlook ou un mobile. Il offre des fonctions de répondeur téléphonique, de réception des fax et l utilisation d Outlook Voice Access. Nécessitant une forte bande passante, les serveurs UM seront eux aussi présents sur tous les sites d Aristote. Tous les Exchange 2010 nécessaires seront installés physiquement sur des serveurs HP ProLiant DL120 et aucun ne seront virtualisés. Architecture Windows (Bastien Gayral, Rudy Promé) 13

14 2. Schéma logique d intégration (Rudy Promé) Suite à l étude des différents rôles d Exchange 2010 nous sommes aptes à proposer un premier schéma d architecture logique afin de mieux synthétiser l emplacement des rôles sur les différents sites de notre client. Figure 1 : Schéma logique d'intégration Windows Architecture Windows (Bastien Gayral, Rudy Promé) 14

15 3. Messagerie Exchange (Bastien Gayral, Rudy Promé) 1. Choix de la version d Exchange Nous avons directement choisi d étudier Exchange 2010 plutôt que la version 2007 pour plusieurs raisons. D une part, nous estimons qu en choisissant la dernière version en date, que notre client aura une architecture de messagerie la plus pérenne et évolutive possible car elle sera assurée et mise à jour par Microsoft régulièrement pendant encore bien des années. D autre part, Exchange 2010 possède comme nous l avions dit dans le comparatif, le système de sauvegarde des bases de données DAG qui nous permettra d assurer une haute disponibilité quoi qu il arrive. Enfin, sachant que tous nos systèmes d exploitation Microsoft seront des Windows Server 2008 R2, nous vous préconisons un niveau fonctionnel de la forêt en Windows 2008 car nous ne prévoyons pas l installation de versions de Windows Server antérieur à 2008 et parce que nous prévoyons à l avenir l utilisation de Sysvol (System Volume : dossier public partagé présent sur tous les contrôleurs de domaine accessible par tous les utilisateurs). 6. Plan de nommage des comptes Afin de créer un annuaire Exchange le plus clair et le plus simple possible, il faut définir une règle de nommage pour les comptes des utilisateurs de notre client. Nous proposons donc de définir les comptes de la manière suivante : - Nom.prénom@nom-de-l entreprise.com Par exemple, l utilisateur Jean Dupont aura une adresse de messagerie comme suit : - jean.dupont@aristote.com Grâce à ce plan de nommage, nous estimons les chances d avoir exactement la même adresse pour entreprise de votre envergure quasiment nulle. Architecture Windows (Bastien Gayral, Rudy Promé) 15

16 7. Autorisations et restrictions niveau mails Nous devons également planifier un espace de stockage nécessaire pour stocker toutes les boîtes aux lettres des utilisateurs et mettre en place des limites d envoi afin de ne pas saturer la bande passante. Nous prévoyons un espace de stockage de 1 Go par utilisateur, donc par boîte aux lettres. Pour nos 1000 utilisateurs, nous nécessitons donc un espace de stockage de 1 To. Pour palier aux risques de problèmes de bande passante, voici un tableau récapitulatif des restrictions au niveau des envois de courriers en prenant en compte les différentes directions qui composent Aristote : Limite du nombre d envoi par jour par utilisateur Limite de la taille des mails direction générale Limite de la taille des mails direction administrative et financière Limite de la taille des mails direction commerciale et marketing Limite de la taille des mails direction étude Limite de la taille des mails direction production Illimité 15 Mo 15 Mo 15 Mo 50 Mo 50 Mo Architecture Windows (Bastien Gayral, Rudy Promé) 16

17 4. Messagerie unifiée (Bastien Gayral) 1. Besoins du client L entreprise Aristote souhaite à terme intégrer la téléphonie au sein de son système de messagerie afin de diminuer les coûts de gestion à la fois de la messagerie et de la téléphonie, deux services dont le fonctionnement est devenu indispensable. L architecture proposée devra donc permettre de recevoir des documents de type télécopies ou messages téléphoniques dans la boîte aux lettres de l utilisateur afin de lui permettre de n utiliser qu un seul client pour la communication. De plus, le couplage messagerie-téléphonie pourra proposer d autres services comme la consultation de sa boîte aux lettres via téléphone, un accueil téléphonique de l entreprise 8. Introduction La messagerie unifiée, ou UM (Unified Messaging) va, comme son nom l'indique, unifier votre messagerie. Le but est de centraliser le stockage de vos s, messages vocaux et fax pour simplifier leur consultation et ainsi gagner du temps. Les messages entrants sont transférés dans votre logiciel de messagerie, sous forme de fichier attaché pour les messages vocaux et les fax. 9. Principe de la messagerie unifiée La messagerie unifiée devra impliquer l'intégration de trois systèmes différents : - la messagerie électronique (envoi et réception) - la téléphonie existante (communications vocales généralement gérée par votre PABX) - la télécopie (envoi et réception de fax). Les communications entre le serveur de messagerie unifiée et l'architecture de téléphonie et de télécopie sont établies à l'aide du protocole SIP. Architecture Windows (Bastien Gayral, Rudy Promé) 17

18 Smartphone Ou PDA Appel entrant Téléphone mobile externe Réseau téléphonique Redirection Passerelle des messages ou des SIP appels Serveur de messagerie unifiée PBX Téléphone d abonné Réseau Interne Poste de travail Serveur De messagerie Figure 2 : Fonctionnement de la messagerie unifiée Windows Dans la figure 1, le PABX est connecté à une passerelle SIP. Lorsqu'un appel est transféré à la messagerie unifiée, le PABX envoie les informations (numéro de téléphone de l'appelant, numéro de téléphone de l'appelé et un certain type de code de raison) à la passerelle SIP pour que le serveur de messagerie unifiée comprenne à qui est destiné l'appel. 10. Le rôle serveur de messagerie unifiée d Exchange 2010 Le rôle de serveur de messagerie unifiée d Exchange 2010 joue le rôle d'intermédiaire entre l'infrastructure téléphonique de l'entreprise et l'organisation Exchange. Il permet aux utilisateurs d accéder aux messages vocaux, aux courriers électroniques et aux informations de calendrier situées dans leur boîte aux lettres Exchange 2010 à partir d un client de messagerie (Microsoft Outlook ou Outlook Web Access) ou d un périphérique mobile sur lequel ActiveSync Exchange est activé (Smartphone Windows Mobile, assistant numérique personnel (PDA) ou téléphone). La messagerie unifiée d'exchange Server 2010 permet : de gérer vos systèmes de messagerie vocale et électronique à partir d'une seule plateforme d'offrir aux utilisateurs la possibilité de créer des messages d'accueil personnalisés et des options de transfert d'appel individuel de gérer la messagerie unifiée à l'aide d'un menu personnalisable de routage d'appel d'activer l'indicateur de message en attente sur votre téléphone pour annoncer l'arrivée d'un nouveau message vocal Architecture Windows (Bastien Gayral, Rudy Promé) 18

19 11. Passerelle multimédia La messagerie unifiée nécessite d'intégrer Microsoft Microsoft Exchange Server 2010 avec le système de téléphonie existant de votre organisation. Certaines technologies PABX peuvent communiquer directement avec le serveur de messagerie unifiée par le biais du protocole SIP ; d'autres nécessiteront une passerelle SIP (appelé également passerelle multimédia). Elle traduit la signalisation et les médias entre le réseau RTC et le serveur de messagerie unifiée d Exchange. 12. Architecture La plate-forme que nous mettrons en place reposera uniquement sur des serveurs Windows à l'exception de la passerelle multimédia. Pour mettre en œuvre cette infrastructure, nous mettrons en place : - Une passerelle de multimédia pour l'interconnexion de votre réseau téléphonique existant avec la messagerie unifiée. - Un serveur Exchange 2010 avec les rôles boîte aux lettres, Client Access Server, Hub Transport et Messagerie Unifié. Figure 3 - Architecture messagerie unifiée Windows La figure 2 montre les différents équipements pour la messagerie unifiée que nous déploierons sur le site d Orsay. Les rôles exchange de Mailbox, Accès Client, Transport Hub et Messagerie Unifiée seront présents afin de permettre aux utilisateurs de disposer de performances maximales pour leur système de messagerie unifiée. Votre réseau téléphonique peut nécessiter l ajout d une passerelle multimédia dans le cas d un PABX non compatible SIP. Nous utiliserons cette architecture sur les quatre sites d Aristote. Grâce à cette architecture aucun PBX ou IP-PBX supplémentaire n'est nécessaire. Vous pouvez utiliser votre réseau existant. Architecture Windows (Bastien Gayral, Rudy Promé) 19

20 13. Plan de numérotation des postes Le nombre de chiffres du plan de numérotation va indiquer le nombre de numéros de téléphone qui seront disponibles. Pour quatre chiffres, vous pourrez créer numéros de téléphone (de 0000 à 9999). Le plan de numérotation reposera sur 4 chiffres. 14. Conclusion La messagerie unifiée d Exchange propose une grande variété de fonctionnalité pour permettre à vos utilisateurs un gain de temps pour la consultation de leurs messages vocaux ou de leurs courriers mails. La configuration du client de messagerie de vos utilisateurs devient vraiment plus facile grâce à la fonction autodiscover. De plus, il n est pas nécessaire de repartir de zéro, la cohabitation avec l existant est possible grâce à la passerelle multimédia. Architecture Windows (Bastien Gayral, Rudy Promé) 20

21 5. Accès à la messagerie depuis l extérieur (Bastien Gayral) 1. Besoins du client Le logiciel client (User Agent) interne retenu sera installé sur tous les postes et devra être facilement configurable, au besoin même sans intervention d un membre de l équipe informatique de l entreprise. Un processus d auto configuration serait utile. Les collaborateurs de la société pourront accéder à leur boîte aux lettres à l intérieur de l entreprise en utilisant leur poste de travail (tout système d exploitation) mais aussi : Depuis un poste nomade (portable de l entreprise) équipé du client de messagerie Depuis un poste équipé de navigateur web à l extérieur de l entreprise. Afin de sécuriser les accès, ces communications devront être cryptées et prendre en compte les deux usages : poste privé digne de confiance ou autre poste (ordinateur d un cybercafé par exemple) D un téléphone portable permettant la synchronisation des données personnelles (courriels, documents agendas, contacts) Tout autre type d accès pourra nous être proposé (accès téléphonique par exemple). 15. Présentation des outils d Exchange 2010 Autodiscover Cette fonctionnalité permet de configurer simplement le client Outlook. Ainsi vos utilisateurs pourront eux-mêmes configurer Outlook. Ce service est disponible grâce au Server CAS (Client Access Server) qui est un des nouveaux rôles des serveurs Exchange depuis la version Accès à distance Exchange est une solution permettant d'offrir aux utilisateurs, où qu'ils soient, la possibilité d'accéder en toute sécurité à leurs communications, par courrier électronique, messagerie instantanée, à partir de la plateforme, du navigateur Web ou du périphérique de leur choix. Vos collaborateurs pourront accéder à leur boîte aux lettres Exchange : depuis leur bureau avec Outlook depuis leur navigateur Web grâce à Outlook Web App depuis leur téléphone avec Outlook Voice Access depuis leur Smartphone avec Exchange ActiveSync Outlook Web App Il s'agit d'une application Web qui permet l'accès à son compte Exchange depuis un simple navigateur. Outlook Web App est compatible avec plusieurs navigateurs tels que Safari, Firefox et bien sûr Internet Explorer. OWA permet d'accéder à la plupart des fonctions d'outlook. L'interface est quasiment identique. Vous pourrez ainsi consulter et rédiger des s, gérer votre agenda, vos contacts, vos messages vocaux Architecture Windows (Bastien Gayral, Rudy Promé) 21

22 Outlook Voice Access Vos utilisateurs accèdent à leurs boîtes de réception depuis n'importe quel téléphone avec Outlook Voice Access via un clavier téléphonique ou des entrées vocales pour gérer leur calendrier, leurs contacts et leur messagerie électronique. Exchange ActiveSync Cette technologie permet de mettre à jour automatiquement et en temps réel les agendas, carnets d'adresses et mails des collaborateurs appartenant à un groupe d'utilisateurs. ActiveSync est compatible avec des assistants personnels, des Smartphones (utilisant Windows Mobile ou Windows CE), des périphériques compatibles (Symbian, iphone ou Android). 16. Architecture Serveur Active Directory Serveur Messagerie Unifiée Serveur Transport Hub DMZ Serveur Edge CAS Serveur Mailbox Site d Orsay Exchange ActiveSync Internet Outlook 2010 Outlook Web Access Figure 4 : Accès depuis l'extérieur Windows 17. Conclusion Exchange 2010 propose plusieurs types d accès à distance sécurisés pour correspondre avec vos besoins. Vos utilisateurs pourront accéder à leur boîte de messagerie où qu ils soient et à partir de plusieurs périphériques. Architecture Windows (Bastien Gayral, Rudy Promé) 22

23 6. Collaboration instantanée (Bastien Gayral) 1. Besoins du client Ce système de messagerie pourra être complété d un système de communication en temps réel avec indication de présence des utilisateurs. Cette présence pourra être utilisée au sein des sites intranet, des applications bureautiques, des applications propres de l entreprise. Ce système devra à terme permettre l organisation de vidéo conférences point à point ou multipoints avec partages de documents et partage d application (tableau blanc, tableurs, présentations). Les utilisateurs externes à l entreprise devront pouvoir utiliser aussi ce service dans les conditions prévues dans le chapitre précédent. 18. Microsoft Office Communications Server 2007 Présentation Microsoft Office Communications Server (OCS) 2007 est un produit en mode internalisé qui intègre des moyens de communication en temps réel. Cette solution est conforme à vos besoins puisqu elle permet : la détection de la présence des utilisateurs la conférence Web (partage de données, audio et vidéo) la messagerie instantanée et les conversations audio/vidéo l'intégration d'utilisateurs distants. Détection de présence La présence est un rôle important en entreprise. Elle permet à un utilisateur de savoir à l avance si l utilisateur distant est prêt à communiquer. Ces informations de présence sont définies automatiquement en fonction de votre calendrier Outlook, de vos activités sur votre ordinateur ou de vos appels en cours. Conférence Web Ce terme recouvre des applications de travail collaboratif en temps réel accessibles au travers du navigateur. L'organisateur a besoin d'un logiciel client spécifique. Il peut préparer une réunion virtuelle, ce qui consiste à lancer des invitations et envoyer des documents et questionnaires (afin de réaliser des sondages). Il pourra modérer la réunion en contrôlant les interventions ou l'affichage des documents présentés. Architecture Windows (Bastien Gayral, Rudy Promé) 23

24 Les principales fonctionnalités sont : le partage de documents, de tableaux blancs, de tableurs ou de présentations la prise de contrôle à distance la messagerie instantanée la réalisation de sondages l enregistrement des réunions (envoyé à chaque participant). Messagerie instantanée et conférence Audio/Vidéo/Data Avec le client Communicator, vos utilisateurs ont la possibilité de communiquer en temps réel entre eux. Vos collaborateurs peuvent avoir une conversation, effectuer de la vidéo et/ou simplement discuter. Accès client Microsoft Office Communication Server 2010 supporte quatre clients de messagerie instantanée et de collaboration de données et audio/vidéo pour les utilisateurs internes et externes : - Microsoft Office Communicator Microsoft Client Office Live Meeting - Microsoft Web Communicator Microsoft Mobile Communicator 2007 Office Communicator Microsoft Office Communicator 2007 R2 est le principal logiciel client pour Office Communications Server 2007 R2. Office Communicator prend en charge l'envoi et la réception d'appels, des fonctionnalités de présence, de messagerie instantanée et de conférence. Client Office Live Meeting Le client Microsoft Office Live Meeting est un client de collaboration de données et audio/vidéo (A/V) pour Office Communications Server et le service Microsoft Live Meeting hébergé. Il permet aux utilisateurs de participer à des réunions. Communicator Web Access 2007 R2 Office Communicator Web-Access 2007 (OWA) est une application cliente pour OCS. Il est possible de l utiliser à partir de n importe quel navigateur web et sur tous les systèmes d exploitation. En utilisant Office Communicator Web Access 2007, vous pouvez accéder aux fonctionnalités de messagerie instantanée, tout en disposant des notions de présence des utilisateurs. L avantage est qu il n est pas nécessaire d avoir un logiciel client approprié ou une connexion VPN. Les utilisateurs peuvent se connecter à OWA à l intérieur de la société ou en dehors. Pour cela, ils doivent indiquer l adresse URL du serveur Office Communications Server qui lui fournit le service Web Access approprié. Architecture Windows (Bastien Gayral, Rudy Promé) 24

25 Communicator Mobile Office Communicator Mobile 2007 est une application pour les clients qui disposent d appareils mobiles. Cette application intègre également les outils de messagerie instantanée et la notion de présence. Les utilisateurs peuvent y accéder de n importe quel endroit puisqu il suffit d avoir une connexion sans fil pour disposer de ce service. 19. Architecture mise en place Office Communication Server 2007 est constitué d un grand nombre de rôles. Les rôles Active Directory, SQL et le serveur frontal sont les trois rôles indispensables dans une architecture OCS. Nous allons détailler chaque rôle l un à la suite de l autre afin de mieux appréhender cette infrastructure Office Communications Server Serveur Frontal : ce serveur gère la connexion des utilisateurs à OCS, l initialisation des communications et le suivi des états de présence - SQL : le serveur SQL stocke l état des utilisateurs, les planifications et la configuration d OCS - Directeur : permet l authentification des utilisateurs externes - Serveur Edge d accès : ce rôle, placé dans la DMZ, permet de donner accès à l infrastructure aux utilisateurs ne figurant pas à l intérieur de la société. Grâce à ce rôle, il n est plus nécessaire de monter un réseau VPN pour se connecter - Serveur Edge de conférence web : ce rôle s installe également dans la DMZ de l entreprise. Il permet de faire transiter le trafic des conférences web - Serveur Edge de conférence A/V : ce rôle est identique au précédent, mais gère les informations vidéo et audio - Serveur Communicator Web Access : ce rôle permet à des utilisateurs d OCS de se connecter à partir d un navigateur web et d ainsi disposer des fonctions de messagerie instantanée, comme si la personne disposait du programme Office Communicator Architecture Windows (Bastien Gayral, Rudy Promé) 25

26 Figure 5 - Architecture d'intégration d'ocs sur le site d'orsay La figure 5 explique l intégration d OCS sur le site d Orsay. Certains rôles sont séparés pour une meilleure compréhension. Nous utiliserons deux serveurs OCS sur le site d Orsay : - le Serveur 1 comprendra les rôles Edge - le serveur 2 aura les rôles de Communicator Web Access, de Directeur et de Pool. 20. Conclusion Office Communications Serveur 2007 R2 permet aux utilisateurs de communiquer en temps réel avec la détection de présence. Il n est pas nécessaire de repartir de zéro, la cohabitation avec l existant est possible grâce à la passerelle multimédia. Architecture Windows (Bastien Gayral, Rudy Promé) 26

27 7. Application cliente de messagerie (Rudy Promé) 1. Besoins du client Tous les postes de travail des collaborateurs nécessitent une application cliente lourde installée afin d accéder à leur boîte de messagerie, leur calendrier et leur agenda. Cependant peu de clients sont compatibles avec Microsoft Exchange pour répondre à de tels besoins. Nous distinguons bien sûr le client de Microsoft, Outlook ainsi que Lotus Notes propriétaire à IBM. Le client Evolution de Novell est également compatible avec Exchange mais seulement jusqu à la version 2003 de ce dernier. Etant donné que nous avons retenu la version 2010, nous ne nous intéresserons qu à Outlook et Lotus Notes. 21. Microsoft Outlook 2010 Etant donné qu il s agit du client de messagerie officiel de Microsoft, la cohabitation se fera sans aucune difficulté. Il intègre tout ce qui est nécessaire aux collaborateurs, autrement les agendas, contacts, la messagerie. Et le tout se synchronise parfaitement à Exchange Server 2010, c'est-à-dire que toute modification d un planning, d une tâche ou d un contact effectué sur un client Outlook se verra synchronisée vers les serveurs Exchange. Les mails se synchronisent en natif avec le protocole propriétaire d Exchange, sans passer par les protocoles POP, IMAP et SMTP. Ceux-ci sont donc chiffrés. Il fonctionne également en adéquation avec Communicator, ce qui permet de voir le statut des contacts en temps réel et est compatible avec SharePoint. Il dispose de plus d une interface très claire et intuitive afin de favoriser une utilisation rapide et efficace pour les utilisateurs. 22. IBM Lotus notes Faire cohabiter le client de messagerie d IBM avec Exchange n est pas une mince affaire. Sur Exchange 2003, il existait un outil le permettant sans réelles difficultés, il s agissait de Connecteur Exchange pour Lotus Notes. Ainsi Lotus Notes pouvait synchroniser mails, agendas et calendriers avec le serveur de messagerie de Microsoft. Aujourd hui, il n existe pas encore de «connecteur» ou «convertisseur» pour rendre compatible les agendas et calendriers de Lotus Notes avec Exchange Seuls les mails le sont, mais en utilisant les protocoles POP, IMAP et SMTP et non le système d Exchange en lui-même. Cependant Lotus Notes est parfaitement capable de remplir toutes ces tâches à bien, s il est en adéquation avec un serveur de messagerie IBM Lotus Domino. Architecture Windows (Bastien Gayral, Rudy Promé) 27

28 23. Produit retenu Microsoft Outlook 2010 IBM Lotus Notes Synchronisation des mails Oui Oui mais pas en natif : que via POP, IMAP et SMTP Synchronisation des agendas Oui Non Synchronisation des calendriers Oui Non Anti-phishing Oui Oui Gestion du courrier indésirable Oui Oui Compatibilité Communicator Oui Non Compatibilité SharePoint Oui Non Microsoft Outlook 2010 sera donc le client de messagerie à installer sur tous les postes des collaborateurs car il répond à toutes les attentes du client dans un environnement Microsoft avec un serveur de messagerie Exchange. Son installation se fera très simplement via une règle GPO. Architecture Windows (Bastien Gayral, Rudy Promé) 28

29 8. Synchronisation des appareils mobiles (Rudy Promé) La synchronisation des appareils mobiles se fera à l aide d ActiveSync. Il permet la synchronisation des messages, des agendas, des calendriers et des contacts en temps réel. Celui-ci est inclus dans Microsoft Exchange Server 2010 et ne nécessite en aucun cas l achat de licences supplémentaires. ActiveSync est requis sur le serveur Exchange pour les configurations de tous les terminaux. 1. Windows Mobile La configuration avec les terminaux équipés de Windows Mobile est très intuitive étant donné qu il s agit du système d exploitation mobile de Microsoft. Après avoir renseigner le nom de domaine de l entreprise, l adresse du serveur et le nom et mot de passe de l utilisateur, il peut alors synchroniser son compte Exchange. Il peut également configuré à quelle fréquence s effectuera la synchronisation. 24. iphone La configuration sur iphone est très simple car elle est déjà présente dans le terminal en lui-même. Il suffit d aller dans les réglages de l iphone et d ajouter un compte de messagerie. On peut sélectionner directement un compte Microsoft Exchange puis il suffit de renseigner l adresse mail professionnelle, son nom d utilisateur précédé du nom de domaine de l entreprise et le mot de passe de la messagerie. Il demande ensuite de renseigner l adresse Internet du serveur Exchange. Vous pouvez dorénavant synchroniser votre courrier, vos contacts et vos calendriers sur l iphone avec votre compte Exchange configuré. 25. Android Même principe que les terminaux précédents. On renseigne les informations indispensables pour l identification de l utilisateur et du serveur puis la synchronisation grâce à ActiveSync sur Exchange fonctionne automatiquement à la fréquence configurée sur le terminal. Architecture Windows (Bastien Gayral, Rudy Promé) 29

30 9. Schéma physique d intégration (Rudy Promé) Maintenant que nous avons étudié les différentes solutions qui s offraient à nous en ce qui concerne l architecture Windows de messagerie, et suite au premier schéma logique d intégration, nous sommes aptes à proposer un schéma physique d intégration, regroupant plus d informations. ORSAY CLUSTER PABX Passerelle multimédia DMZ ORSAY MAILBOX HUB CAS MAILBOX HUB CAS AD OCS UM EDGE Exchange et OCS PARE-FEU BAYONNE SOPHIA ANTIPOLIS PABX Passerelle multimédia AD UM MAILBOX HUB CAS PARE-FEU Interconnexion WAN MPLS PARE-FEU MAILBOX HUB CAS UM AD Passerelle multimédia PABX PARE-FEU MAILBOX HUB CAS AD UM Passerelle multimédia BRUXELLES PABX Figure 6 : Schéma physique d'intégration Windows Légende : - EDGE : Transporteurs EDGE - HUB : Transporteurs HUB - MAILBOX : Boîtes aux lettres - CAS : Serveurs d accès clients - UM : Serveurs de messagerie unifiée - AD : Contrôleurs de domaine - OCS : Serveurs Office Communications Server - PABX : PABX connectés aux serveurs UM via une passerelle SIP Architecture Windows (Bastien Gayral, Rudy Promé) 30

31 4. Sécurisation des données de l entreprise (Jérôme Teneur) 1. Clustering et haute disponibilité Introduction Garantir la pérennité des données de l entreprise est un point clé de la sécurité d une infrastructure. Les bases de données ne font pas exception à la règle. Il serait en effet très préjudiciable à l entreprise de perdre toutes ces informations. Pour ce faire plusieurs solutions peuvent être envisagées. On citera par exemple la mise en place d un cluster, d un serveur de backup, d un système de disques RAID sur les serveurs Toutes ces techniques ont leurs avantages et inconvénients, mais en tirer parti au mieux consistera avant tout à mettre en adéquation plusieurs d entre elles afin de répondre à vos besoins et attentes. Nous chercherons dans notre cas à répondre à deux critères fondamentaux : garantir la haute disponibilité, garantir le maintien fonctionnel en cas de crash d un serveur. Pour cela nous choisirons d écarter un simple système de backup pur, qui même en garantissant un copie physique de données, reste vieillissant en comparaisons avec un système de clustering. Nous nous attacherons donc à mettre en place un cluster pour les différents rôles et bases de données mail, appuyé par un système de disques RAID. Le RAID étant une technique lié au hardware des serveurs, nous ne nous attacherons pas à le détailler ici. Nous retiendrons simplement qu il permettra de répartir des données sur plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la sécurité, soit les performances de l'ensemble, ou une répartition de tout cela. Un cluster est un groupe de serveurs indépendants fonctionnant comme un seul et même système. Un client dialogue avec un cluster comme s'il s'agissait d'une machine unique. Cela permettra une gestion globale et de dépasser les limitations d'un ordinateur pour : - augmenter la disponibilité - faciliter la montée en charge - permettre une répartition de la charge - faciliter la gestion des ressources (processeur, mémoire vive, disques dur, bande passante réseau). Nous allons donc mettre en place un système de cluster couplé à des disques en RAID. Les détails technologiques liés à l implémentation et à l exploitation du custer étant dépendant du système de messagerie employé, nous détaillerons ces points dans les deux chapitres suivants. Ainsi donc nous garantissons, grâce au cluster et au RAID, une disponibilité maximale ainsi que de la tolérance aux pannes. Architecture Windows (Bastien Gayral, Rudy Promé) 31

32 2. Clustering Exchange Introduction Une des nouveautés d Exchange 2010 est de centraliser les connexions clients vers les serveurs CAS. CAS qui accueille tous les clients Exchange, le rôle de boîte aux lettres étant dédié au stockage et à la gestion des banques d informations (DAG). Le DAG permet principalement de ne plus avoir la nécessité d'utiliser un cluster Microsoft au sens propre du terme (fini les problématiques matérielles, les partages de quorum, etc.). Sous Exchange Server 2010 le DAG fonctionnera depuis n'importe quelles machines aptes à héberger le rôle Mailbox. Il permettra ainsi, de "lier" jusqu à 16 serveurs Exchange. Le DAG fonctionne de façon très intuitive. Chacune des bases se trouvant dans un DAG sera répliquée sur l'ensemble des noeuds (qui auront été sélectionnés). La base sera active sur l'un des serveurs et passive sur les autres serveurs. Ainsi, en cas de perte du serveur actif la base sera automatiquement remontée sur le serveur passif ayant la synchronisaton la plus récente de la base (de l'ordre de la dizaine de secondes). Voici un schéma représentant les connexions clients vers les serveurs CAS sous Exchange server 2010 : Figure 7 - Echange 2010 CAS/DAG (crédit : Microsoft) Architecture Windows (Bastien Gayral, Rudy Promé) 32

33 Afin d appliquer ce schéma de fonctionnement à notre cas, plusieurs paramètres sont à prendre en compte tel que : - Plusieurs sites distants, - Des débits inter-sites variables. - Un nombre d employés variables en fonction du site - Nombre de mails moyen par utilisateur - Taille maximale attribuée aux boites aux lettres des utilisateurs Nous devons donc garantir notamment les points suivants : - Chaque utilisateur de chaque site doit accéder à ses s même en cas de rupture du lien MPLS avec le siège. - Limiter la consommation en termes de bande passante. - Un système fonctionnel même en cas de crash d un serveur 26. Principes de fonctionnement Dans le principe de fonctionnement nous aurons donc un cluster de CAS qui viendront lier leurs bases de données. On peut résumer ce principe de fonctionnement avec le schéma suivant : Figure 8 - Principes du CAS et DAG Le cas ci-dessus est typiquement ce que l on va retrouver sur le site d Orsay. Ainsi nous aurons deux serveurs CAS qui intégreront un même DAG. Nous avons ici cinq bases mail, chacune recopiée à l identique sur les deux membres du DAG. De ce fait, on peut dire que le système RAID n est pas obligatoire pour les bases de données de messagerie (c est également le discours tenu par Microsoft). Nous le proposons, au choix du client de prendre la décision finale. Architecture Windows (Bastien Gayral, Rudy Promé) 33

34 27. Load balancer Concernant l utilisation des CAS, deux possibilités pour l utilisateur, mais trois approches différentes pour faire ce choix : - Round robin : Permet d inscrire dans le DNS plusieurs adresses IP pour un même nom d hôte. Une fois cette fonction activée, le serveur DNS va séquentiellement renvoyer aux clients faisant une demande de résolution de nom sur cet hôte une adresse réseau différente. - La répartition de charge matérielle : Fonctionnant sur une base de NAT inversée, le principe est d envoyer tous les flux réseaux vers une IP virtuelle qui va se charger via une translation d adresse de rediriger les données vers un membre du cluster. - Répartition de charge réseau : La répartition de charge (NLB) est un système logiciel distribué et redondant permettant de répartir la charge sur une ferme de serveur. Il ne nécessite pas de répartiteur car l ensemble des membres de la ferme du cluster reçoit les données Dans l infrastructure qui nous occupe, nous choisissons de proposer une répartition de charge matérielle qui est plus efficace. Ainsi nous aurions des utilisateurs qui iraient récupérer leurs s à l adresse , cette demande serait ensuite redirigée dynamiquement vers soit le serveur1 ( ) soit le serveur2 ( ). 28. Les bases de données Exchange Concernant le choix du nombre bases de données Exchange, cela peut être jugé de plusieurs manières. Dans le cas présent, nous envisageons plutôt de répartir toutes les directions dans des bases de données différentes. Ainsi nous aurons cinq bases : - Direction général - Direction Administrative et financière - Direction Commerciale et marketing - Direction Etude - Direction production Plusieurs raisons à ce choix, les utilisateurs n ont as le même débit de mails/jours, pour avoir différentes limites de taille par boites à lettres, et enfin cela permet au système de défragmenter les bases mails plus rapidement. Architecture Windows (Bastien Gayral, Rudy Promé) 34

35 29. Conclusion Dernier point, la répartition et le nombre de serveurs dans l architecture logique globale a été déterminé de la manière suivante : Figure 9 - Architecture logique Exchange CAS/DAG Attention, il s agit ici d une représentation logique, en réalité, les services CAS et DAG d un site seront sur une même machine physique. Nous préconisons ainsi de mettre en place des serveurs Exchange sur chaque site pour deux raisons : - Une meilleure gestion des flux réseau (et ainsi une économie en bade passante) - Réduction des effets de latences lors de la synchronisation des clients (type Outlook) De plus en ayant choisi de créer une base de données par direction, chaque serveur aura une base active. Ce qui nous permettra d associé une base active à la direction la plus représenté (en nombre d utilisateurs) pour un site. Ainsi : - les deux serveurs d Orsay auront pour bases actives la direction Commerciale & marketing et la direction Etude - le serveur de Sophia Antipolis aura la base de la direction Administrative et financière - le serveur de Bayonne aura la base active de la direction générale - Le serveur de Bruxelles aura la base active de la direction production Nous avons donc au travers de cette architecture, garanti la pérennité de l information mail ainsi que la haute disponibilité pour les utilisateurs. Architecture Windows (Bastien Gayral, Rudy Promé) 35

36 5. Estimation des coûts (Bastien Gayral, Rudy Promé) Tous les prix indiqués sont une approximation des coûts réels et sont exprimés hors taxes. Nous prenons en compte dans les coûts les 20 % d augmentation d employés de notre client pour les cinq années à venir. 1. Planning Ce projet s étalera sur 4 mois en fonction du planning suivant - Installation et configuration des serveurs Exchanges et OCS - Installation des clients Exchanges et OSC sur les ordinateurs, les ordinateurs portables, les téléphones, les PDA et les Smartphones - Migration vers l architecture existante vers l architecture Exchange et OCS. Nous vous proposons d effectuer la migration le week-end pour éviter des coupures éventuelles de votre réseau. 2. Coûts matériels et logiciels : Produit Prix unitaire Nombre Prix total Microsoft Exchange Server Exchange Client Access HP ProLiant DL Microsoft OCS 2007 R2 Enterprise Edition Licences OCS clients Passerelles Dialogic Media Gateway Total Le coût des équipements et logiciels est de Coûts humains Pour le bon fonctionnement de votre réseau et pour éviter des coupures ou des pertes de données, nous allons planifier deux types d intervenant : Des techniciens qui s occuperont des résolutions des incidents et du déploiement des postes de vos utilisateurs Des administrateurs sur chaque site pour la mise en œuvre de la solution retenue. Orsay Bayonne Sophia Bruxelles Total Nombre d'utilisateurs Nombre de techniciens Nombre d'administrateurs Le coût d un technicien est évalué à 1500 par mois et le coût d un administrateur à Le total des coûts humains s élèvent à Architecture Windows (Bastien Gayral, Rudy Promé) 36

37 6. Conclusion (Rudy Promé) Nous concluons sur l architecture Windows par un récapitulatif de toutes nos propositions retenues pour notre client Aristote sans rentrer dans la technique. Les différentes fonctionnalités d Exchange 2010 telles que la gestion d agenda, de mails, de contacts, la messagerie unifiée, la communication instantanée, le Web Access et la synchronisation mobile pour ne citer que les plus pertinentes répondent parfaitement au besoin du client Les postes informatiques des collaborateurs seront équipés d Outlook 2010 afin de faire cohabiter et d assurer la bonne synchronisation des clients et serveurs sans le moindre souci et avec une administration simple et efficace. Afin d assurer la fonction de messagerie unifiée, nous utiliserons le rôle correspondant à celle-ci déjà inclus dans Exchange Server La consultation des boîtes aux lettres des collaborateurs depuis l extérieur se fera grâce à Outlook Web App qui est compatible avec tous les navigateurs les plus utilisés sur le marché. Celui-ci permettra également la consultation des agendas, et des contacts dans une interface ressemblant au client lourd Outlook. La collaboration instantanée fonctionnera par le biais des serveurs Office Communications Server 2007 de Microsoft également. Ils permettront de faire de la communication instantanée textuelle, visuelle et vocale si nécessaire, ainsi que du partage d écran. Enfin, la synchronisation des appareils mobiles s effectuera grâce à ActiveSync afin de retrouver sur les mobiles Android, Windows Mobile ou iphone, la liste de contacts, les agendas et calendriers des collaborateurs. Bien sûr, afin de ne pas impacter le fonctionnement de votre entreprise, toute migration ou modification majeure du réseau sera effectuée sur plusieurs week end. Pour rappel, nous estimons cette solution d architecture de messagerie à un coût d environ hors taxes. Architecture Windows (Bastien Gayral, Rudy Promé) 37

38 4. Solution Linux Un environnement informatique d entreprise orienté Linux est dans la majeure partie basé sur Samba. Ce type d environnement s apparente à un environnement Windows Active Directory. Samba fonctionne avec un annuaire LDAP, qui centralise les informations afin que les clients (utilisateurs ou machines) puissent les retrouver et les utiliser facilement. On y trouve notamment les comptes utilisateurs, les groupes et les comptes d'ordinateurs. L annuaire LDAP qui sera déployé est Open LDAP. Grace à OpenLDAP et SaMBa, nous avons là un contrôleur de domaine totalement opérationnel et fonctionnant sous Linux. Les machines et utilisateurs que ce soit sous Windows ou Linux pourront rejoindre et participer à ce domaine. Dans le cadre de cette étude, nous ne rentrerons pas plus dans les détails qui seront étudiés lors de la MIR Linux. Même si l utilisation de samba comporte des inconvénients par rapport à l architecture Windows Active Directory, dans nôtre cas d étude, nous nous appuierons sur ce type d environnement. Il convient de noter que chaque site dispose de son contrôleur de domaine et que par conséquent, ils disposent chacun de leur propre service d annuaire. En ce qui concerne la distribution Linux, nous nous appuierons sur Red Hat Enterprise Linux, il nous permettra par la suite de mettre la fonction de haute disponibilité abordé dans le chapitre Sécurisation du système de messagerie. Solution Linux 38

39 1. Système de messagerie (Vincent Desseaux & Arnaud Hamon) 1. Rappel des besoins Aristote souhaite disposer d une architecture de messagerie complète, fiable et évolutive et s intégrant au mieux dans sa nouvelle organisation informatique, mais aussi dans l environnement de travail des utilisateurs Voici la liste des besoins exprimés par Aristote : Système de messagerie collaborative. Gestion des agendas, contacts personnels, tâches et demandes de réunions Consultation de l utilisation des ressources (matériels, salles, voitures de fonction, etc ) Envoi de courriers signés et/ou cryptés. Un utilisateur de l entreprise aura la possibilité de donner accès à la consultation et/ou à la modification de ses données personnelles à un ou plusieurs de ses collègues Possibilité d une aide aux utilisateurs pour l organisation de réunion Possibilité de mettre en place un dispositif de gestion des droits numériques des documents échangés Possibilité de mettre en place un système de respect de stratégies d entreprise tel que la destruction automatique des messages, l archivage de courriels dans un dossier spécifique ou bien encore l archivage légal. Il devra être possible depuis l extérieur de l entreprise, d accéder de façon sécurisé via un navigateur web à une plateforme de messagerie, mais aussi via un téléphone portable permettant la synchronisation des données personnelles. Solution Linux 39

40 2. Comparatif de diverses solutions 1. Lotus Domino Lotus Domino est un produit IBM, intégrant une plate forme de messagerie électronique, de travail collaboratif et de gestion documentaire, destiné à faciliter la coordination entre les membres d'un groupe de travail ou d'une organisation. Le produit comprend un serveur de pages Web, des serveurs POP3, IMAP et SMTP pour la gestion de la messagerie, un annuaire intégré, un agenda collectif et un gestionnaire de documents organisé en base, pouvant être programmé afin d être capable de répondre au plus prêt des besoins. Lotus Domino fonctionne sur la plupart des systèmes d'exploitation et présente l'avantage de ne nécessiter que peu de ressources matérielles. C'est un produit réputé fiable, sécurisé et robuste. Cependant, il souffre d'un certain manque de documentation et d'une communauté quasiment inexistante. 2. Kerio Connect Kerio Connect est un outil de messagerie collaboratif se présentant comme le remplaçant de Microsoft Exchange, il propose les mêmes possibilités d'accès au calendrier partagé, aux contacts et tâches partagées de Microsoft Outlook. Sécurisé et peu gourmand en ressource, Kerio est une solution mature capable de gérer plusieurs domaines, il fonctionne avec tous les logiciels clients POP3 et IMAP sous Windows, Linux ou Mac et dispose d une interface Webmail se rapprochant de celui proposé par son concurrent Microsoft et dispose d un MiniWebmail qui est une version allégé, optimisé pour visualiser les sur des organiseurs/smartphones privilégiant le confort et la rapidité tout en fonctionnant avec la plupart des navigateurs internet modernes. L administration, relativement faible s opère grâce à une console d administration accessible via le protocole https. Une communauté existe autour de ce produit, mais elle reste encore très limitée lorsqu on rencontre des soucis techniques critiques. Un support est compris dans l offre qui se situe à un niveau tarifaire acceptable. Tarification de Kerio Connect : Nouvel achat Renouvellement d abonnement Serveur (5 utilisateurs inclus) Utilisateurs supplémentaires (5 utilisateurs) 19 / utilisateur 6 / utilisateur Solution Linux 40

41 3. Zimbra Collaboration Suite Zimbra est un produit serveur collaboratif qui ambitionne de concurrencer Lotus Notes et Microsoft Exchange. Son interface, entièrement programmé en Ajax, permet de profiter de nombreuses fonctionnalités le rendant à la fois très simple et convivial à utiliser. Le serveur de messagerie peut être consulté via un navigateur internet ou via un client de messagerie lourd. Zimbra présente trois produits qui se décline en version proposant diverses fonctionnalités, ci dessous un tableau recensant les offres qui nous sont proposés. Produit ZCS Open Zimbra Appliance ZCS Network Edition Source Edition Version Basic Standard Starter Standard & Pro Nombre d utilisateurs Max illimité POP/IMAP Cryptage des mails Carnet d addresses Calendrier Gestion des tâches Documents partagés Compatibilité Microsoft Outlook Web Browser Compatibilté Windows Phone, Iphone et autres smartphone Compatibilité Blackberry Sauvegarde en temps réel et restauration Clustering / Haute - Disponibilité Archivage des courriels Support Licence pour 1000 utilisateur Gratuit / an Coût du support pour une durée d un an Solution Linux 41

42 4. Zarafa Zarafa est un logiciel serveur collaboratif ayant pour ambition d être une alternative à la solution proposé à Microsoft, en associant les fonctionnalités qu offre Outlook avec la stabilité et la flexibilité d'un serveur Linux. L accès à Zarafa via un navigateur web s apparente à ce qu offre l interface graphique du client Outlook, ceci afin que les gens habitués à travailler avec ce dernier soient en mesure d'utiliser le client de Zarafa. Les fonctionnalités proposées par Zarafa sont des plus triviales. Le produit dispose du Carnet d'adresses, du calendrier, des notes, des tâches, de la gestion des dossiers personnel/publics, de la convocation à une réunion et de la planification des ressources. Prise en charge Outlook WebAccess Compatibilité Push-Mail & Activesync Passerelle Imap/pop3 Agenda avancé multi-utilisateur Sauvegarde boîtes individuelles Intégration Active Directory Gestion des périphériques mobiles Déploiement automatique Haute disponibilité Multi-serveur Standard Professionnelle Entreprise Zarafa est un produit encore jeune, il commence tout juste à percer sur le marché des grands comptes visant l open source. Néanmoins, le peu de retours d expériences en fait un produit trop risqué pour être utilisé en production. De plus, il ne dispose pas d une tarification attractive, même suite à remise. Un tableau afin de mettre en avant ce point qui est tout de même crucial. Standard Prix 1ère année 150 euros + 30 euros / utilisateur Prix maintenance / 30 euros + souscription (2e ou 3e 6 euros / année) utilisateur Professionnelle 28 euros / utilisateur 28 euros / utilisateur Remise de groupe > 100 utilisateurs -5% -5% > 250 utilisateurs -10% -10% > 1000 utilisateurs -15% -15% Solution Linux 42

43 3. Solution retenue Suite au comparatif de différentes solutions de messagerie nous avons décidé d écarter les solutions suivantes : - Lotus Domino : malgré qu il soit performant et complet, ce produit n a pas été retenu car il n existe aucune communauté autour de ce produit. - Zarafa : nous n avons pas retenu ce produit car il est peu mature et ne dispose pas d autant de fonctionnalité que ses concurrents - Kerio : Son offre suscite un intérêt particulier, complet et disposant d un bon retour d expérience, il a tout de même été écarté car il ne dispose pas d une communauté aussi importante et performante que son concurrent Zimbra. L architecture de messagerie que nous avons donc retenue pour cet environnement est «Zimbra Collaboration Suite» car elle fournit d une part un service complet et de qualité qui se constate par les différents retours d expériences rencontrés, et d autre part sa communauté active et abondante qui renforce l image même du produit. De plus, cette solution a le mérite d être compatible avec une très large gamme de Smartphones L offre la plus en accord avec les besoins d Aristote est «ZCS Network Edition». Sachant que la solution doit au moins être pérenne pour les cinq prochaines années, et que d après les tarifications annoncés, cette offre est plus avantageuse dès la 3 ème année par rapport à l offre «Zimbra Aplliance», nous pouvons déjà mettre en avant un retour sur investissement notable qui en fait une offre tarifaire des plus avantageuses malgré un coût d achat trois fois supérieur et un coût de support nettement plus important. Solution Linux 43

44 4. Architecture mise en œuvre L architecture de Zimbra se compose de différents modules qui peuvent être séparé selon les besoins techniques sur différents serveurs. Ce principe améliore non seulement les performances générales du système, mais assure aussi une meilleure disponibilité du service. Voici les modules dont nous avons besoin dans une architecture Zimbra pour entreprise de grande taille : - Zimbra Core : Ce package inclut les librairies de base au fonctionnement du serveur, les utilitaires, les outils de monitoring et les fichiers de configurations de base. Le paquet Zimbra Core est installé automatiquement sur tout serveur Zimbra. - Zimbra LDAP : L'authentification des utilisateurs est assurée à travers le logiciel OpenLDAP. Chaque compte sur le serveur Zimbra dispose d'un identifiant de boîte aux lettres unique qui devient le point de référence principal d'identification des comptes. Il est possible de configurer une réplication pour que le Zimbra LDAP se synchronise avec un autre serveur OpenLDAP, c'est-à-dire celui du contrôleur de domaine. - Zimbra MTA : L'agent de transfert de mails (MTA : Mail Transfert Agent) est le logiciel PostFix. Il reçoit les mails via protocole SMTP et route chaque message au serveur Zimbra Store approprié en utilisant LMTP (Local Mail Transfert Protocol). Le Zimbra MTA dispose de composants anti-spam et anti-virus qui peuvent être complété de solutions alternatives. - Zimbra Store : Le Zimbra Store dispose de modules pour le stockage des boîtes aux lettres. Les données sont stockées dans une base de données MySQL. C'est aussi le Zimbra Store qui gère les recherches puisqu'il contient tous les fichiers d'indexation des boîtes aux lettres. - Zimbra Proxy : Le Zimbra proxy est un front-end qui va récupérer toutes les connections des clients POP3 et IMAP4, et va ensuite contacter le serveur Zimbra Store adéquat en fonction de l utilisateur. Cette fonctionnalité est très intéressante, voire primordial dans le cas où nous disposons de plusieurs serveurs Zimbra Store. Implémenté dans une DMZ, il devient primordial car l utilisateur n a pas besoin de savoir sur quel mail store ses mails sont référencés et peut accéder à sa messagerie depuis l extérieur. De plus, il supporte le protocole sécurisé SSL/TLS qui se situe au niveau de la couche session et offre une authentification, une intégrité des données et la confidentialité aux couches applicatives. Solution Linux 44

45 1. Infrastructure mise en place pour chaque site Avant d aborder la mise en place de l infrastructure de messagerie pour notre client Aristote, il convient de présenter de façon succincte l architecture réseau existante afin de comprendre nos choix au niveau de l intégration de l infrastructure de messagerie. Généralité sur l architecture réseau d Aristote: Figure 10 - Schéma global de l architecture réseau d Aristote Nous pouvons remarquer que les sites d Orsay, Bayonne, Sophia Antipolis et Bruxelles sont connectés au moyen d un réseau architecturé autour de MPLS et que seul Orsay dispose d un accès vers l extérieur, que profitent bien évidement les autres sites. Nous pouvons également noter que chaque site dispose de son annuaire LDAP. Solution Linux 45

46 2. Fonctionnement par site Dans l optique de réduire les besoins de bande passante entre les sites de Aristote, il faut optimiser son utilisation. La solution est de procéder à un fonctionnement par site. Le fonctionnement, par site, consiste à mettre en place des mailstores sur chaque site. Ces mails stores seront configurés de manière à ce que chaque utilisateur soit inscrit sur le mail store sur lequel il est en poste. Pour les utilisateurs dits nomades, ils sont inscrits sur les mails store d Orsay. - Les utilisateurs seront répertoriés sur un annuaire LDAP. Grâce à cela, une synchronisation sera mise en place entre l annuaire LDAP et le serveur Zimbra. Il y aura un serveur LDAP sur chaque site de manière à permettre un gain de bande passante. Cette architecture permet, en cas de coupure, de pouvoir consulter ses mails (qui ont été reçu avant la coupure), et d avoir accès aux autres fonctionnalités tels que : - l agenda - les pièces jointes - les contacts. Cette coupure peut-être une coupure de liaison internet provenant du site central comme du lien MPLS d un des sites distant. Voici un bref récapitulatif des fonctions qu aura chaque serveur de messagerie sur les sites : - Zimbra Core - Zimbra LDAP (qui sera synchronisé avec l annuaire Open LDAP de son site) - Zimbra MTA - Zimbra Store Cette architecture peut-être observé par les schémas ci-dessous représentant le site principal d Orsay ainsi qu un schéma représentant les autres sites. Solution Linux 46

47 Présentation de l infrastructure pour le site d Orsay Figure 11 - Schéma de l architecture de la Zimbra pour le site d Orsay Présentation de l infrastructure pour les sites de Bayonne, Bruxelles et Sophia Antipolis Figure 12 - Schéma de l architecture de la messagerie Zimbra pour les sites distants Solution Linux 47

48 3. Zone démilitarisée Nous pouvons constater sur le schéma ci-dessus qu un serveur sera placé dans la zone démilitarisée (DMZ) d Orsay, celui-ci permettra de faire le médiateur entre le système d information d Aristote et l extérieur. Il aura pour de mettre en place les besoins en termes d accès depuis l extérieur. Ce serveur contiendra les rôles suivant: - Zimbra MTA qui servira de relais SMTP pour les mails envoyés en interne de SMTP périphérique pour router les mails à destination ou en provenance de l'extérieur - Zimbra Proxy qui servira de relai pour les connexions POP et IMAP depuis l extérieur avec une obligation d utiliser le protocole SSL/TLS - Le Web Access pour l accès via un navigateur Web qui sera exclusivement disponible via le protocole HTTPS. 4. Gestion des quotas La gestion des quotas est un point important dans une infrastructure de messagerie, elle permet d éviter la saturation d un serveur en allouant un espace de stockage définit, et permet de responsabiliser l utilisateur sur l entretient de ses mails. Au vue des besoins actuels en matière de messagerie, il est bon d allouer un espace de stockage d un Go par utilisateur, ce qui est devenu un standard. Un tableau nous permettra de définir les besoins d espace disque sur chaque serveur de messagerie, celui-ci prendra en compte l évolution prévue de 20% du personnel sur les 5 prochaines années. Site Nombre d utilisateur Espace nécessaire (en go) Orsay Bayonne Sophia Antipolis Bruxelles Nous décidons d intégrer pour une plus grande souplesse, mais aussi pour maintenir une solution pérenne des disques durs de 1 go sur chaque serveur contenant le service Zimbra Store. Solution Linux 48

49 5. Coûts d intégration et d administration de la solution Voici un bref récapitulatif des coûts pour les serveurs, les licences, ainsi que les coûts liés à l administration : 1. Coût d achat Serveur Licence Red Hat Entreprise Licence Zimbra Disque dur pour le stockage des mails Orsay 2 2* To, SAS : 530 Bayonne 1 1* To, SAS : 530 Sophia Antipolis 1 1* To, SAS : 530 Bruxelles 1 1* To, SAS : 530 Sous Total 5* *530 Support à l année Total En ce qui concerne la durée d intégration de la solution, nous estimons à 5 jours/homme pour le site d Orsay et à 3 jours/homme pour les 3 autres sites, soit un total de 14 jours/homme pour l ensemble des sites qu on arrondira à Coût d administration Cette solution comporte un coût d administration et de gestion modérée. Pour l ensemble des tâches, nous estimons le coût d administration à 3 journées homme par mois et par site. Solution Linux 49

50 2. Client de messagerie (Vincent Desseaux & Arnaud Hamon) 1. Rappel des besoins Un client de messagerie devra être installé sur tous les postes et devra être facilement configurable et si possible sans intervention d un personnel informatique. Ce client devra bien entendu assurer l envoi et la réception de courriers électroniques, mais aussi gérer : - L agenda - La liste des contacts de l entreprise et sa liste personnelles - Les tâches ainsi que des demandes de réunions. - L accès à des données personnelles que ce soit en mode lecture ou en écriture - Consulter l utilisation des ressources de l entreprise 2. Accès à la messagerie depuis l extérieur La solution de messagerie Zimbra offre la possibilité d être accessible depuis un client Web. Pour augmenter l interactivité, ce client est basé sur AJAX, celui-ci qui permet de charger dynamiquement des informations sans recharger la page. Il fonctionne en mode connecté et non connecté, ce qui permettra à un utilisateur nomade possédant un ordinateur portable, mais ne disposant pas à certains moments d un accès à l Internet, la possibilité de préparer ses mails et d actualiser son agenda sans être connecté au serveur, et lorsqu il pourra avoir accès au serveur, tous les mails seront envoyés et l agenda sera mis à jour. 3. Comparatif des clients lourds de messagerie 1. Zimbra Desktop Zimbra Desktop est l application cliente de messagerie développée par les concepteurs du serveur de messagerie Zimbra. Gratuit, ce client n'est autre qu'une application Web lancée dans une fenêtre indépendante (il utilise pour cela la technologie Prism de Mozilla). Assez particulier, il n en est pas moins complet, il permet en effet la synchronisation des contacts, intègre la fonction de calendrier, prend en charge la gestion des tâches, met à disposition un porte-documents et est disponible hors connexion. Son interface est agréable, personnalisable au travers de thèmes graphiques, il adopte un affichage des s par fils de conversation. Il supporte les protocoles POP et IMAP + les messageries Zimbra, Yahoo! Mail, Gmail, AOL et Hotmail Néanmoins, il reste un logiciel un peu lourd pour ce qu on peut y attendre et quelques bugs résident encore Solution Linux 50

51 2. Kmail Kmail est un client mail intégrée à l environnement KDE. Robuste et complet, il permet l'organisation et la gestion du courrier électronique, des calendriers, permet la gestion des contacts et supporte l envoi de mail crypté via OpenPGP Il met à disposition une interface utilisateur intuitive qui permet de contrôler rapidement et efficacement l'ensemble des informations qui transitent par la boîte aux lettres électronique. 3. Mozilla Thunderbird Thunderbird est un progiciel libre, conçu par la fondation Mozilla, et dont le fonctionnement est modulaire. En effet, il intègre des fonctions d anti-spam, d anti-phishing, de calendrier, de gestion de flux RSS, la gestion des contacts. Il également possible de lui ajouter des fonctionnalités via des modules, le rendant ainsi plus complet, plus personnalisé, et plus sécurisé que les autres clients de messagerie. La communauté, très imposante, a déjà développé un grand nombre d extensions téléchargeable gratuitement. De plus, l évolution du logiciel est régulière et n a rien à envier aux solutions payantes telles que Microsoft Outlook. Son moteur permet notamment de lutter contre la propagation de virus et est capable d apprendre progressivement ce que l utilisateur considère comme messages indésirables, et de les filtrer automatiquement. Sa prise en main est intuitive, simple et attrayante, ce qui sera un atout lors de la migration pour les utilisateurs. 4. Evolution Evolution est un client de messagerie libre et intégrée à l environnement GNOME. Ce client gère les carnets d adresses et les agendas. Son interface utilisateur, très standard et semblable à la plupart des clients actuels se distinguent par une fonctionnalité qu est l indexation du texte de tous les s arrivant, ainsi qu une autre fonctionnalité de "Dossiers virtuels", c est-à-dire des recherches sauvegardées qui ressemblent à des dossiers d' s normaux. En utilisant le module gnome-pilot il peut être synchronisé avec un Palm Pilot et Multisync permet de le synchroniser avec des téléphones portables et autres PDAs. Solution Linux 51

52 4. Solution retenue Thunderbird est le logiciel le plus à même de répondre aux besoins d Aristote, sa capacité à personnaliser ses fonctionnalités en font un produit redoutable. Nous verrons quelles sont les extensions et paramétrages que nous allons apporter à Thunderbird afin de répondre aux besoins fonctionnels. 5. Architecture du client de messagerie Thunderbird Thunderbird sera déployé sur l ensemble des postes clients linux, 1. Enigmail Cette extension va permettre aux utilisateurs d accéder aux fonctions d authentification et de cryptage du très populaire GnuPG. GnuPG (ou GPG), pour GNU Privacy Guard, est un logiciel qui permet à ses utilisateurs de transmettre des messages signés et/ou chiffrés. Cela permet ainsi de garantir l'authenticité dans le premier cas et/ou, dans le second cas, la confidentialité du message. GPG étant un logiciel en ligne de commande, c est Enigmail qui fournit une interface graphique pour l utiliser dans Thunderbird. GPG est un remplacement libre de la suite PGP (Pretty Good Privacy) de logiciels cryptographique et plus précisément, de cryptographie asymétrique (couple clé privée/clé publique) OpenPGP fonctionne avec une clé publique, et une clé privée : - la clé qui est envoyé dans le message est la clé publique du destinataire - la clé privée sert à déchiffrer les messages que l émetteur à envoyé avec la clé publique du récepteur. Cette clé n est pas transmise sur le réseau, ce qui permet de garantir une sécurité lors d échange de données, dans notre cas de mail GPG s intègre très bien dans Thunderbird, à tel point que l on n a pas l impression d utiliser une extension. Ainsi il est facile de créer des règles pour chaque destinataire, ce qui permet d effectuer automatiquement les opérations de chiffrage et d authentification si le destinataire est répertorié. De plus si vous possédez la clef d une personne, alors son message sera déchiffré automatiquement. Solution Linux 52

53 2. Lightning Cette extension intègre les fonctions d'agenda et de calendrier dans l'interface de Thunderbird. Les utilisateurs pourront gérer différents calendriers. Pour chaque agenda, on peut préciser des rendez-vous ou des tâches. Si la gestion des rendez-vous est assez évoluée (choix de catégorie et de statut, participants et invitations, répétitions...), la gestion des tâches reste basique. 3. Auto-Configuration Thunderbird permet un premier niveau d auto-configuration : un paramétrage de toutes les options hormis le nom de l utilisateur. Cela est possible grâce à l écriture personnalisée des fichiers de préférences du logiciel. Une configuration complètement automatique comme peut le faire Outlook 2007 n est pas possible avec Thunderbird. Il pourra cependant être possible de mettre en place un script automatisant l installation de celui-ci. 6. Coûts Les coûts qui sont engendrés par le déploiement de ce système de messagerie sont d ordre administratif. En effet, il convient de paramétrer le client de messagerie, mais aussi d intégrer les différents modules nécessaires qui apporteront les différentes fonctionnalités demandées. Ainsi, pour le déploiement et le paramétrage de l ensemble des clients de messagerie, nous préconisons une durée de 20 jours homme pour l ensemble des sites et son coût d administration est estimé à 5 jours homme par mois. Solution Linux 53

54 3. Intégration d une messagerie unifiée (Vincent Desseaux & Arnaud Hamon) La messagerie unifiée permet de centraliser les messages, écrits ou vocaux, issus de différentes sources tel que le courrier électronique, le fax et la téléphonie vers un seul serveur accessible à tout type de terminal (ordinateur, téléphone, mobile, PDA), ceci afin de pallier aux difficultés rencontrées par les employés bombardés de messages électroniques, d'appels téléphoniques et de télécopies, qui ont de plus en plus de mal à faire le tri et à assurer la cohérence des informations entre ses multiples périphériques de communication. 1. Rappel des besoins Aristote souhaite à terme intégrer la téléphonie au sein de son système de messagerie afin de diminuer les coûts de gestion de messagerie et de téléphonie. Il nous est donc demandé de mettre en place une solution permettant de recevoir dans la boite mail de l utilisateur : - Des documents de type télécopies - Des messages téléphoniques Il peut être proposé d autres services tels que la consultation de ses mails via téléphone, ou bien encore la mise en place d un accueil téléphonique. 2. Etude de la solution Asterisk Lors de notre phase d étude, nous nous sommes confrontés à un problème : peu de solutions linux existent en termes de messagerie unifiée, et seul Asterisk qui est une solution Open Source propose un produit englobant l ensemble des fonctionnalités demandées en un seul produit. Des solutions s appuyant sur celui-ci existent, mais ne procure guère de valeur ajoutée dans le sens où le produit open source peut tout aussi bien le faire. Il nous est donc apparu évident de proposer la solution open source et gratuite. Asterisk est un autocommutateur téléphonique privé IP (IPBX) open source pour systèmes UNIX. Rappelons qu un IPBX a pour fonction principale de relier les postes téléphoniques d'un établissement (lignes internes) au réseau téléphonique public (lignes externes). C est un logiciel très complet disposant d un nombre très élevé de fonctions, permettant de répondre à la majorité des besoins en matière de téléphonie. Parmi elles, ont retrouve la possibilité : - d insérer des messages vocaux dans les courriels - de transmettre et recevoir des télécopies - de mettre en place en place d un accueil téléphonique De plus, Asterisk supporte de nombreux protocoles et dispose d une forte interopérabilité matérielle (Ethernet, Wifi, RTC, RNIS ) ainsi que d une forte interopérabilité avec la téléphonie traditionnelle. Solution Linux 54

55 Asterisk s est beaucoup développé est sa compatibilité avec les principaux protocoles de téléphonie sont : - IAX (Inter-Asterisk Exchange), est utilisé dans les communications entre client et serveur Asterisk ainsi qu entre deux serveurs Asterisk. Il permet de transporter de la voix et des données à travers un réseau IP en surmontant les problèmes souvent associés aux autres protocoles tels que SIP, à savoir les problèmes classiques rencontrés avec le NAT. - H.323, est une association de plusieurs protocoles différents qui peuvent être regroupés en trois catégories : la signalisation, la négociation de codec, et le transport de l information. - SIP (Session Initiation Protocol), est un protocole qui a été conçu pour établir, modifier et terminer des sessions multimédia. SIP remplace progressivement H MGCP (Media Gateway Control Protocol), est un protocole asymétrique (client-serveur) de VoIP. Il se distingue des protocoles SIP et H323 qui, eux, sont symétriques (client-client). - SCCP (Skinny Client Control Protocol), est un protocole développé par Cisco pour alléger la TOIP par rapport au protocole H.323 considéré comme trop rigoureux. L utilisation conjointe de Zimbra et d Asterisk est rendu possible par l utilisation de modules prévu à cet effet nous étudierons donc ces modules. Ce dernier va permettre de transférer les messages téléphoniques via pièce jointe directement dans la boite mail de l utilisateur destinataire. Asterisk se décline en trois solutions, dont deux gratuites Asterisk et AsteriskNOW : La différence entre Asterisk et AsteriskNOW repose sur l ajout d une interface web dans AsteriskNOW qui ne peut être que bénéfique pour l entreprise. Celui-ci permettra un gain de temps pour la configuration de l équipement, les fichiers de configurations sont modifiables directement sur l interface et tous les commentaires sont retirés ce qui offre une bien meilleure visibilité. La version Asterisk Business Edition comprend un support ainsi que des certifications pour certaines fonctionnalités. Cette version est payante (995$ pour une licence). Il existe aussi une appliance Asterisk avec des interfaces RJ45 et RJ11 (ports FXO et FXS) mais son utilisation est limitée à 50 utilisateurs. La solution choisie sera AsteriskNOW, il dispose des fonctionnalités nécessaires et l interface graphique offrira un confort d exploitation suffisant. De plus, il est gratuit et dispose d une communauté active. Pour les besoins d Aristote, nous proposons d implémenter Asterisk sur chaque site, nous concentrerons notre étude sur le site d Orsay, mais la configuration sera identique pour chaque IPBX Asterisk. De plus, notre étude se portant sur l aspect de la messagerie unifié, nous écartons l étude approfondie du système de téléphonie sur IP pour nous concentrer sur les fonctions qui viennent s attacher à l architecture de messagerie que nous avons proposé. Solution Linux 55

56 3. Fonctionnalités mise en œuvre L ensemble des fonctionnalités que nous allons mettre en avant s intègre à Asterisk, elles devront donc être présentes sur chaque sites. 4. FoIP (Fax over IP) Les fax sont originellement envoyés par l intermédiaire du protocole T30 qui permet la transmission de documents par télécopie sur le réseau téléphonique public commuté. Par la suite, deux autres protocoles ont vu le jour afin de répondre à des besoins interne en termes d émission et réception de télécopies. Pour utiliser le fax sur IP, deux protocoles peuvent être utilisées : - T37 qui à été conçu pour permettre d envoyer des fax sur le réseau IP. Pour ce type de télécopie, un appareil de télécopie prenant en charge ifax ou T.37 est requis, en plus d une adresse de messagerie, pour l appareil de télécopie émetteur et récepteur. - T.38 est une norme et un protocole de télécopie qui permet de transmettre des télécopies sur un réseau de type IP. Un réseau de type IP utilisant le protocole T.38 utilise SMTP (Simple Mail Transfer Protocol) et MIME pour envoyer le message à la boîte aux lettres d un destinataire. Figure 13 - Schéma fonctionnel des protocoles de fax Pour les besoins d Aristote en termes d unification du système de télécopie avec l architecture de messagerie, nous utiliserons le protocole T38 au sein de la société, ce protocole permettra aux utilisateurs d envoyer et recevoir des fax sur leur client de messagerie. Nous utiliserons également le protocole T30 quand il s agira d envoyer et recevoir des fax hors du périmètre de la société. Le module Asterfax permet d envoyer et de recevoir des fax sur une adresse mail, il utilise le protocole T38. Asterfax transforme les fax reçus en mail et permet aussi de faire l opération inverse. Solution Linux 56

57 Figure 14 - Schéma d intégration et de fonctionnement pour Aristote 5. Mail et téléphonie Redirection des messages vocaux La fonctionnalité Voic , intégré à Asterisk permet d enregistrer un message vocal qui sera envoyé ensuite par mail. L IPBX Asterisk devra connaitre l adresse du serveur mail et disposer d une table de correspondance entre les numéros et les adresses mails afin qu il puisse les retransmettre. Celui-ci devra être configuré par l administrateur au moyen de l interface graphique d Asterisk Now. Accueil téléphonique La fonctionnalité «Automated Attendant» présente dans Asterisk permet de rediriger automatiquement un utilisateur sans l intervention d un standardiste, l utilisateur aura juste besoin de faire un choix en fonction de des propositions qui lui seront faites. Cette implémentation devra se faire sur les serveurs contenant Asterisk. Hormis une configuration du service, celui-ci ne nécessite par la suite pas d administration particulière. Solution Linux 57

58 6. Qualité de service (QoS) Il est possible, et même vivement recommandé de mettre en place de la QoS pour spécifier quel type de trafic doit être prioritaire par rapport à un autre. Par exemple, si on fait une vidéoconférence, les flux téléphonique seront prioritaires par rapport à la vidéo car la fonctionnalité première d Asterisk est de fournir un service téléphonique. 1. Pré Requis Les packages suivants doivent être installés sur votre système avant de procéder à l'installation d'asterisk - Linux 2.4 kernel sources or kernel 2.6 header files - bison et bison-devel - ncurses et ncurses-devel - zlib et zlib-devel - openssl et openssl-devel Pour l utilisation du protocole T30 qui sera utilisé pour l envoi de fax vers l extérieur, il convient de disposer d une carte analogique si on utilise le réseau RTC, ou d une carte numérique si on utilise le réseau RNIS. Chez le constructeur Digium, il faut compter 250 pour une carte hybride (analogique et numérique) contenant 8 lignes. Celui-ci est fourni exclusivement en France par la société Opcom. Il convient de même qu il faut disposer d une ligne de type RNIS ou RTC pour l envoi de fax vers l extérieur. Nous ne prendrons pas en compte ce critère dans notre étude qui se concentre sur l architecture de messagerie. Solution Linux 58

59 2. Coûts d intégration et d administration Voici la récapitulation des coûts pour le serveur, la carte RNIS et la licence, ainsi que les coûts liés à l administration : Coût d achat Serveur Licence RedHat Carte RNIS/RTC Orsay 1* *279 1*250 Bayonne 1* *279 1*250 Sophia Antipolis 1* *279 1*250 Bruxelles 1* *279 1*250 Sous Total Total En ce qui concerne l intégration, nous estimons à 10 jours/homme et par site pour la mise en place de cette solution, soit un total de 40 jours/homme pour l ensemble des sites. Coût d administration Cette solution comporte un coût d administration et de gestion modérée, en effet il convient d ajouter l ensemble des utilisateurs dans l environnement Asterisk avec un numéro interne et l adresse de messagerie associée. Hormis ce point, l administration reste relativement simple et est conforté par l interface d administration. Pour l ensemble des tâches, nous estimons le coût d administration à 5 journées homme par mois et par site. Solution Linux 59

60 4. Système de collaboration instantanée (Vincent Desseaux & Arnaud Hamon) réel. Ce système de messagerie pourra être complété d un système de communication en temps 1. Rappel des besoins Aristote a besoin qu on intègre un système de collaboration instantanée. Ce système doit comporter un indicateur de présence des utilisateurs. On pourra l utiliser au sein : - Des sites intranet - Des applications bureautiques - Des applications propres de l entreprise Ce système se doit être évolutif afin de permettre à terme l organisation de vidéo conférence : Avec : - Point à point - Multi points - Partage de documents - Partage d applications De plus, l accès à la messagerie instantanée doit pouvoir se faire à partir : - D un poste nomade - D un téléphone portable - Un navigateur WEB Un client de messagerie devra être installé sur tous les postes et devra être facilement configurable et si possible sans intervention d un personnel informatique. Solution Linux 60

61 2. Comparatif L objectif est de déterminer la solution qui répond le mieux aux besoins du client. Le choix de cette solution est basé sur des solutions reconnus par leur utilisation. Les solutions proposées : - Unison - Openfire - Zimbra/DimDim Un tableau comparatif a été mis en place pour recouper les besoins client avec les fonctionnalités des solutions. 1. Tableau comparatif Besoins du client Unison Openfire Zimbra/DimDim Système de messagerie complété d un système de communication en temps réel Indicateur de présence utilisateur Accès depuis un poste nomade Accès depuis un mobile Visioconférence point à point ou multi point Partage de documents et d applications Accès depuis un navigateur WEB 2. Openfire Openfire est un serveur de système de collaboration instantanée Jabber sous licence GPL écrit en Java, autrefois connu sous le nom de JiveMessenger, puis de Wildfire. Totalement administrable depuis une interface web, il est simple d'accès et dispose de plugins très intéressants. Il est stable et est réputé pour sa facilité d'installation et d'administration. Cependant, cette solution est non intégrée à une solution de messagerie ( ), c est pourquoi elle n a pas été réellement envisagé. Solution Linux 61

62 3. Unison Unison est un logiciel de communication unifiée qui remplace les anciens systèmes comme les serveurs , serveurs de messagerie instantanée, et le PBX. Unison Server regroupe l ensemble des fonctionnalités ce qui permet de réduire les coûts (matériels et logiciels). Le serveur gère l'unisson tous les appels téléphoniques et de routage, , messages instantanés, des calendriers et des contacts et les distribue à vos employés. Unison Desktop, qui fonctionne sur Windows ou Linux, donne à vos utilisateurs de communications totalement unifié (téléphonie, , messagerie instantanée, visioconférence et plus) en un seul client lourd interfacé sur leur bureau. La licence «Unison Desktop» vous donne accès à l ensemble des fonctionnalités voix et données sans supplément (37 euros la licence pour un utilisateur). L inconvénient de cette solution est qu elle ne donne pas la possibilité aux utilisateurs d utiliser un navigateur web pour se connecter à Unison server. La solution Unison est très complète dans ces fonctionnalités mais l absence d un navigateur web est un inconvénient ayant un fort impact par rapport aux besoins client. 3. Solution retenue :Zimbra/DimDim Dans l étude du système de messagerie, Zimbra Collaboration Suite est la solution qui a été conseillé. Elle intègre une messagerie instantanée. De manière à être en accord avec le cahier des charges, Zimbra Collaboration Suite va être enrichi, pour sa partie de messagerie instantanée, par des fonctionnalités. DimDim est proposé sous forme de trois versions : Eléments Coûts Licence Gratuite Pro Entreprise Prix Gratuit 19$/mois 11400$/mois Nombre d utilisateurs simultanés Pour les besoins d Aristote, nous préconisons l édition entreprise qui correspond au dimensionnement du site. 1. Architecture de fonctionnement Vu dans le chapitre 2.1, un serveur Zimbra sera mis en place sur chaque site. Il sera fait de même pour la mise en place de la messagerie instantanée. La solution Zimbra/DimDim sera implantée sur un même serveur. L annuaire LDAP sera l active Directory déjà mis en place durant la MIR Sécurité. Solution Linux 62

63 Voici le schéma de fonctionnement de la solution au niveau du site d Orsay ainsi que celui des autres sites : Figure 15 - Architecture de la messagerie instantanée Linux pour le site d Orsay Figure 16 - Architecture de la messagerie instantanée Linux pour les sites distants Solution Linux 63

64 2. Zimbra Zimbra intègre une messagerie instantanée. Elle est intégrée par défaut. Mais elle n est pas activée. Son activation se fait sur chaque site par une simple commande, en utilisant l utilisateur Zimbra. su - zimbra zmprov mcf zimbraxmppenabled TRUE Cette commande permet l activation du protocole XMPP (Extensible Messaging and Presence Protocol) pour Zimbra. Le protocole XMPP est un ensemble de protocoles standards ouverts pour la messagerie instantanée, et plus généralement une architecture décentralisée d échange de données. Le protocole XMPP va permet à la messagerie instantanée Zimbra d indiquer la présence ou non des utilisateurs. Une fonctionnalité de Zimbra est la possibilité de sauvegarder les conversations, ce qui d après notre expérience, peut être très convivial pour les utilisateurs afin de retrouver, par exemple, des informations envoyés durant une conversation. Jusqu à présent, on a vu les grands besoins du client concernant la messagerie instantanée étant le produit lui-même et l indicateur de présence des utilisateurs. Rappel des besoins client à valider : - Utilisation au sein des sites intranet, des applications bureautiques et applications propres de l entreprise - Organiser des vidéo conférences point à point ou multi points avec partage de documents et partage d application. La réponse à ses besoins sera solutionnée par DimDim. Solution Linux 64

65 3. DimDim Dimdim est une application intranet-internet de réunion à distance. Dimdim est accessible à partir d un navigateur web et ne requiert aucune installation pour fonctionner. Un simple clic suffit pour organiser ou participer à une réunion. Dimdim permet d organiser des présentations et de collaborer en partageant des applications. Il permet d afficher : son écran un tableau blanc un document au format PDF un document au format PowerPoint un document au format Word un document au format Excel Afin de mettre en place DimDim, un pré requis de logiciels est nécessaire. Voici la liste de ses logiciels : Openoffice.org 3 Java v1.6 Modules Python CherryPy Flup Pycurl demjson Ensuite, Aristote a besoin à terme l organisation de vidéo conférences point à point ou multi points. DimDim intègre, par défaut, cette fonctionnalité de vidéoconférences. Ceci est un point important pour une question d évolution, il n y aura pas de changement ou modification d infrastructure pour la mise en place de cette fonctionnalité. DimDim sera intégré à Zimbra avec l utilisation d un Zimlet. Solution Linux 65

66 4. Zimlet Les Zimlets forment une couche applicative permettant d ajouter des fonctionnalités supplémentaires au sein de Zimbra. Ils fournissent des services intégrés à la messagerie: Le Zimlet Dimdim permet d intégrer, en autre, de: - démarrer une réunion en un seul clic, à partir d un - glisser-déplacer un contact pour démarrer une réunion - glisser-déplacer un rendez-vous pour programmer une réunion - participer à une réunion sans quitter Zimbra La solution Zimbra/DimDim répond aux besoins client dans son intégralité. 5. Besoin au niveau réseau Les composants DimDim ont besoin, pour communiquer en interne, des ports : / 1935 / 8088 / 4000 / Du port de l interface WEB, généralement 80 qui sera modifié en 8080 Pour l accès externe, il faudra autoriser au niveau du pare-feu, l interface WEB et le port Coûts Site Serveur Licence Red Hat Entreprise Entreprise Orsay 1*1000 1* /mois Bayonne 1*1000 1*279 Sophia Antipolis 1*1000 1*279 Limité à 1000 Bruxelles 1*1000 1*279 utilisateurs Sous Total simultanés Total En ce qui concerne l intégration, nous estimons à 15 jours/homme la mise en place de cette solution. 7. Coût d administration Dimdim représente une économie importante par rapport aux réunions traditionnelles : absence de frais de déplacement, de temps perdu à voyager. Comme toute solution open source, Dimdim représente un coût nettement inférieur aux autres solutions de web conferencing. La version non supportée est gratuite et les versions pro et entreprise sont très largement compétitives. Pour l ensemble des tâches, nous estimons le coût d administration à 1heure/homme par jour et par site. Solution Linux 66

67 5. Sécurisation des données de l entreprise (Jérôme Teneur) 1. Présentation Il existe plusieurs systèmes de backup compatibles avec Zimbra. Cependant, Zimbra pouvant être déployé sur une distribution Redhat, nous avons tout intérêt de profiter des avantages en termes de clustering et backup offerte par cette distribution. Tout d abord il faut savoir qu il existe quatre grands types de clusters : - Stockage - Haute disponibilité - Load balancing - Haute performance Le cluster de stockage permets de synchroniser un espace de stockage partagé être les membres. Ainsi lorsqu une modification d un fichier intervient sur l un des membres, une synchronisation incrémentielle est automatiquement appliquée grâce à la technologie Global File System (GFS). Figure 17- Cluster de stockage Le cluster de haute disponibilité permet de garantir la disponibilité permanente d un service en éliminant un point de défaillance unique. Ainsi si l un des membres du cluster venait à âtre indisponible, le second prend le relais automatiquement. Du fait que le service de messagerie soit en lecture/écriture en permanence, nous devons également garantir l intégrité des données. Pour cela, ce mode de fonctionnement permet également de maintenir une synchronisation différentielle entre ses membres. Le cluster en load balancing permet de dispatcher les requêtes au niveau réseau, en les répartissant entre les membres du cluster. Cet équilibrage de charge est rendu possible grâce à LVS (Linux Virtual Server). Le problème est qu il ne fourni pas de système de synchronisation des données entre les serveurs. Enfin le cluster de haute performance s attache lui à permettre les calcules en parallèle entre les membres du cluster. Mais nous ne l implémenterons pas dans le cadre de l architecture messagerie. Solution Linux 67

68 On notera également qu il est tout à fait possible de combiner plusieurs rôles afin d obtenir la solution la plus adaptée aux besoins. 2. Bases de données Etant données la configuration des 4 sites distants, ainsi que les liaisons d interconnexion, nous recommandons la mise en place d un serveur de messagerie par site distant. Les cinq directions se verront attribué une base de données différente. Chaque site distant aura également ses propres bases. 3. Choix de la solution Au regard de l architecture globale, de la répartition des utilisateurs sur les quatre sites, nous recommandons l utilisation de deux types de cluster s appuyant sur trois modes de fonctionnement Redhat. Orsay Nous avons dans un premier temps un cluster de deux machines à Orsay. Ce dernier devra assurer une copie de sauvegarde des bases de données mail, mais également garantir de la haute disponibilité vu le nombre conséquent d utilisateurs sur ce site. Nous implémenterons donc deux types de cluster Redhat : le cluster de load balancing pour garantir la haute disponibilité et le cluster de stockage pour garantir la synchronisation des données entre les deux serveurs. Figure 18 - Cluster Linux Orsay Sites distants Concernant les sites distants, nous préconisons une autre philosophie. Nous partons du postula que tous les sites distants aurons un serveur de messagerie, pour une meilleur fluidité du service mail. Le problème est de garantir une continuité de service en cas de crash d un des serveurs, et de garantir la pérennité des bases de données mail, tout est évitant d utiliser un serveur secondaire sur chaque site pour des raisons de coût. Pour cela nous recommandons d utiliser des machines virtuelles en tant que serveur de secours. Ainsi nous comptons implémenter trois machines virtuelles à Orsay qui seront les serveurs de backup des sites distants. Nous aurons donc trois clusters distincts composés d un serveur d un site distant Solution Linux 68

69 et d une machine virtuelle à Orsay. Ces trois clusters seront configurés en tant que cluster haute disponibilité, permettant de garantir la continuité de service en cas de crash, et en cluster de stockage pour garantir la pérennité des bases de données mail. De cette manière si le serveur mail de Bayonne venait à être indisponible, le second membre du cluster, à savoir l une des VM d Orsay, prendrait le relais pour tous les clients mail du site. Et ainsi de suite pour Sophia Antipolis et Bruxelles. Figure 19 - Redondance intersites 4. Architecture générale Figure 20 - Architecture intersites Solution Linux 69

70 6. Conclusion Afin de conclure sur l étude de l architecture de messagerie dans un environnement basé sur Linux, nous allons résumer les coûts liés à l achat, à l intégration et à l exploitation pour rebondir sur la présentation du schéma global de l infrastructure proposé. 1. Coûts d achat 1. Ponctuel Quantité Prix Serveur 15* Licence Red Hat 17* Licence Asterisk 4 0 Licence Zimbra Disque Dur 1To SAS Carte RNIS/RTC Coût total Annuel Prix Support Zimbra Licence DimDim Coût total à l année Coût total pour 5 ans Coût d intégration Le coût total d intégration est estimé à 70 jours homme, qui seront répartit à l ensemble de l équipe technique de Media Network et qui amène une durée de 14 jours le déploiement de la solution. 3. Coût d administration Le coût total d administration est estimé à 17 jours homme, ce qui nous amène à conseiller à Aristote de charger une personne à temps plein pour gérer l infrastructure de messagerie sur l ensemble des sites. Solution Linux 70

71 4. Infrastructure Globale Figure 21 - Schéma globale de l architecture de messagerie d Aristote Solution Linux 71

72 5. Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 1. Introduction 1. Quelles menaces? L entreprise étant nécessairement connecté au réseau public, un utilisateur malveillant peut envoyer des courriers électroniques non sollicités et piégé les utilisateurs d une entreprise. La contamination s effectue de deux manières : - Le message comporte une pièce jointe compromise. A l exécution de celle-ci, le poste est infecté. - Le message comporte un lien (image, url) vers un site Web compromis. Lorsque l on clique sur le lien, le fait de naviguer sur le site internet nous fait télécharger et exécuter un programme malveillant à notre insu. De plus, les courriers électroniques non sollicités peuvent provoquer des dénis de services pour une entreprise en saturant leur serveur de courrier entrant. 2. Quatre principes de protection 1. La première contre mesure consiste à mettre en place un serveur anti-virus qui analyse tous les flux de messageries. Il sera capable de neutraliser une pièce jointe compromise 8 fois sur 10 en utilisant la technique de signature. Il sera aussi capable de détecter une page web compromise. 2. La deuxième contre mesure consiste à mettre en place un serveur Anti-Spam. Il sera capable de neutraliser 90% des courriers non sollicités grâce à différents procédés. 3. La troisième contre mesure consiste à mettre un place un serveur Anti-Spoofing : il sera capable de détecter les tentatives d usurpation d identité. 4. La quatrième contre mesure consiste à mettre en place un système qui permettra : - De vérifier l intégrité du message pour être sure qu une personne n a pas altéré les données, - De chiffrer le message afin d être sure qu un tiers n a pas lu le message. - De signer le message pour être sure de l émetteur du message. Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 72

73 2. Implémentation L implémentation de toutes ces solutions de protection se fera au travers du relais SMTP situé dans la DMZ. Ce sera une zone tampon où toutes les données de messagerie entrantes seront analysées à la recherche de virus, de spam et d usurpation d identité Une solution complémentaire consistera à s appuyer sur une infrastructure à clé publique (PKI) qui permettra de gérer des certificats pour l intégrité, la confidentialité et la signature des messages dans une organisation de confiance. Enfin, le dernier rempart de protection consistera à mettre en place une solution antivirale sur les postes de travails. Figure 22 - Principe des relais SMTP Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 73

74 3. Solution Microsoft Exchange Edge La solution Microsoft correspond au produit Exchange server dans le Rôle Edge. Il s intègre parfaitement dans un environnement Microsoft, il est facile à administrer et à maintenir. 1. Fonctionnalités Anti-Spam Filtrage des connexions : Permet la configuration et la gestion des listes d'adresses IP autorisées ou non. Filtrage de contenu : Le filtre de messages intelligent Exchange, utilise une technologie d'apprentissage automatique brevetée de Microsoft SmartScreen, qui évalue les messages entrants et détermine la probabilité de leur caractère légitime, frauduleux ou indésirable. Mise en quarantaine du courrier indésirable : La mise en quarantaine du courrier indésirable fournit un emplacement de stockage temporaire pour les messages identifiés comme courrier indésirable, qui ne doivent pas être remis à une boîte aux lettres d'utilisateur au sein de l'organisation. ID de l'expéditeur : L'ID de l'expéditeur vérifie que chaque message électronique provient bien du domaine Internet dont il prétend provenir en examinant l'adresse IP de l'expéditeur et en la comparant à l'enregistrement d'id de l'expéditeur dans le serveur DNS (Domain Name System) public de l'expéditeur. Réputation de l'expéditeur : La réputation de l'expéditeur utilise une technologie Microsoft brevetée pour calculer la fiabilité d'expéditeurs inconnus. La réputation de l'expéditeur collecte des données analytiques de sessions SMTP (Simple Mail Transfer Protocol), de contenu de message, de vérification de l'id de l'expéditeur et de comportement général de l'expéditeur, et crée un historique des caractéristiques de l'expéditeur. Service de réputation d'ip : Ce service, fourni par Microsoft, est une liste d'adresses IP bloquées offerte exclusivement aux clients Exchange. Les administrateurs peuvent choisir d'implémenter et d'utiliser le service de réputation d'ip en plus d'autres services de listes rouges en temps réel. Agrégation de listes de filtrage du courrier indésirable Outlook : Cette fonction permet de réduire les faux positifs dans le filtrage du courrier indésirable en propageant des listes de filtrage du courrier indésirable Outlook vers des serveurs de boîtes aux lettres et des serveurs de transport Edge. Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 74

75 2. Fonctionnalités Anti-virus Filtrage des attachements : Pour empêcher que certains virus ne soient délivrés dans les boîtes aux lettres des utilisateurs, Exchange peut filtrer certains types de pièces jointes en fonction de leur extension, de leur taille ou de leur contenu. De même, certains fichiers compressés peuvent être analysés afin de s assurer de leur contenu. Règles sur le serveur Edge : Les règles protocolaires appliquées au niveau du serveur Edge permettent de fournir une couche de défense supplémentaire avant même que les signatures de votre antivirus ne soient mises à jour. Le suivi antiviral : Lorsqu un message est analysé par le serveur Exchange Server, celui-ci ajoute au courriel par quel moteur antiviral et par signature, il a été analysé et quand il a été analysé pour la dernière fois. Meilleure intégration des solutions antivirales : Les solutions antivirales sont mieux intégrées avec Exchange Server. Celles-ci peuvent analyser le contenu MIME (Multipurpose Internet Mail Extensions) sur les serveurs Edge et sur les serveurs possédant le rôle Hub Transport. Les virus sont ainsi éradiqués avant même qu ils ne parviennent dans la boîte aux lettres de l utilisateur. La VSAPI (Virus Scanning API) a été amélioré afin de rendre cette intégration plus performante en intervenant au niveau du transport. Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 75

76 4. Solution Linux Zimbra Zimbra MTA (Mail Transfert Agent) reçoit les mail via le protocole SMTP avant de les router vers le serveur Zimbra MailBox avec LMTP (Local Mail Transfer Protocol). Ce relais SMTP inclut les services suivants : - Postfix MTA, pour le routage des mails et le contrôle des pièces jointes - Kaspersky Anti-Virus, pour scanner les mails et les pièces jointes de tout virus - SpamAssassin et DSPAM, pour l identification des courriers indésirables et le filtrage des mails - Amavisd-New, composent Postfix permettant de faire l interface entre Postfix / Kaspersky / SpamAssassin 1. Postfix MTA Utilisé avec les expressions rationnelles dans un fichier junk et une liste publique anti-spam, il permet d'éviter bon nombre de spams sans même devoir scanner les contenus des messages. Principaux fichiers de configuration : - main.cf - virtual - aliases - access - master.cf - Fichier junk 2. Kaspersky Anti-Virus L'application s'intègre au système de messagerie déjà en place sous la forme d'un module supplémentaire et recherche, en temps réel, la présence d'éventuels virus dans les messages électroniques transmis via le protocole SMTP. Elle peut également analyser à la demande le système de fichiers du serveur. Le produit nous permet d implémenter plusieurs fonctions : - Analyse antivirus avancée : recherche la présence d'éventuels virus dans tous les composants du message électronique. - Notifications : En cas de découverte d'un objet suspect ou infecté, l'administrateur système, l'expéditeur et le destinataire du message reçoivent un avertissement dont le contenu et le format sont définis par l'administrateur. - Analyse du système de fichiers du serveur. En plus du trafic de messagerie, Kaspersky Anti-Virus for Linux Mail Servers peut réaliser l'analyse à la demande du système de fichiers du serveur. - Selon les groupes d'utilisateurs. L administrateur peut créer des groupes d utilisateurs du système de messagerie et définir pour chacun d entre eux des règles individuelles de traitement des messages ainsi que différentes restrictions. - Administration à distance. La configuration de Kaspersky Anti-Virus for Linux Mail Servers peut s'opérer de manière traditionnelle via le fichier de configuration ou via l'interface Web du logiciel Webmin. Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 76

77 3. SpamAssassin SpamAssassin est un programme (en Perl) qui fait passer un certain nombre de tests au message. En fonction du résultat de ces tests, il attribue un score au message. Si le score dépasse un certain seuil, le courriel est alors considéré comme du Spam. SpamAssassin modifie alors le titre du message (il l'encadre par ***** SPAM *****). De plus, il positionne deux nouveaux en-têtes au message : X-Spam-Status et X-Spam-Level. Ces deux en-têtes permettent alors de créer des filtres dans Postfix pour orienter le message (par exemple la corbeille). Tous les messages doivent donc passer par SpamAssassin pour être traités, avant d arriver dans leur dossier définitif. 4. Solution retenu Par expérience, la solution que nous jugeons la plus efficace est celle basé sur l environnement linux. Nous préconisons de l implémenter avec un second serveur en cluster. En effet, tous les flux SMTP y étant traité, il serait préjudiciable pour l entreprise qu il soit hors service. Pour pallier à cela, la solution la plus simple consiste à mettre en place un cluster Actif/Passif du type round robin DNS. Ainsi si l un des membres du cluster venait à être hors service, le second prendrait le relais. Figure 23 - Relais SMTP, solution retenue Implémentation Relay SMTP pour les données entrantes (Jérôme Teneur) 77

78 6. Chiffrement, authentification et intégrité des messages (Jérôme Teneur) Comme décrit dans Mir Sécurité, la PKI nous permettra de gérer, de créer, de distribuer et de révoquer les certificats dans l entreprise. Dans le cadre de la sécurité de la messagerie électronique, la PKI nous délivrera des certificats pour chiffrer, authentifier et vérifier l intégrité des messages électronique. Nous allons utiliser la technologie S/Mime (Secure Multipurpose Mail Extension) pour établir ces fonctionnalités. C est une norme pour la cryptographie et pour la signature numérique de courriel qui sont encapsulés en format MIME. Elle assure l'intégrité, l'authentification, la non-répudiation et la confidentialité des données. Apres avoir fait une demande de certificat auprès de la PKI, la signature d un message est très simple, il suffira de cliquer sur le bouton "Sign S/MIME" de la barre d'outils avant d'envoyer le message. Concernant le chiffrement du message, il faut que votre correspondant dispose lui-aussi d'un logiciel de messagerie capable de faire ceci et qu'il ait obtenu son propre certificat numérique S/MIME. Ensuite, il faudra que vous ayez échangé une première fois votre clé publique avec votre correspondant. Il faut simplement lui envoyer un signé S/MIME, et lui demandez d'en faire de même. La clé publique est ainsi transportée avec la signature. Dès que vous aurez reçu l' signé de votre correspondant, vous pourrez lui envoyer des messages cryptés que lui seul pourra lire. Il vous suffira pour cela de cliquer sur le bouton "Encrypt S/MIME" en rédigeant votre . Le logiciel de messagerie Outlook de Microsoft et Thunderbird sous linux dispose de la technologie S/mime. Chiffrement, authentification et intégrité des messages (Jérôme Teneur) 78

79 7. Gestion des flux (Jérôme Teneur) Figure 24 - Gestion des flux réseaux Le schéma ci-dessus représente une liste exhaustive des flux réseaux lié à l utilisation de la messagerie et de la messagerie unifié. On notera cependant que les flux liés à la synchronisation instantanée ne sont pas représentés ici. Cela nous permet de mettre en avant les protocoles utilisés, et donc les ports TCP/UDP associés, qui traverseront les différents équipements réseau tels que les firewalls. Ces informations seront réutilisées lors de la MIR intégration. L accès client mail depuis l extérieur n est pas représenté ici, car cela se fera au travers de VPN, ce qui rendra le protocole messagerie transparent pour le Firewall. Gestion des flux (Jérôme Teneur) 79

80 1. Etude de flux mail (Arnaud Hamon) Afin de mettre en place l architecture de notre système de messagerie Zimbra, on va estimer de la volumétrie des échanges entre Internet et l infrastructure. L estimation du nombre de mail échangés par les utilisateurs par jour est dépendent de l activité d Aristote. En l absence d information précise sur la volumétrie exacte des échanges mails, on propose une règle de calcul standard selon 4 hypothèses de volumétrie d échange de mail par jour. Afin d être au plus près de chiffres correspondant à la taille de la société Aristote, nous effectuerons notre estimation sur une base de 1000 utilisateurs. Nombre de 20 Mail 40 Mail 60 Mail 100 Mail mail/utilisateur/jour Nombre de mail total/jour Mail Mail Mail Mail 10% des mails avec une 4000 Mo 8000 Mo Mo Mo pièce jointe à 2 Mo Total des mails sans pièce 2000 Mo 4000 Mo 6000 Mo Mo jointe 10% des pièces jointes 400 Mo 800 Mo 1200 Mo 2000 Mo téléchargées par le navigateur Consultation WEB des 1000 Mo 2000 Mo 3000 Mo 5000 Mo utilisateurs Volumétrie en Mo/Jour 7400 Mo/J Mo/J Mo/J Mo/J Plage d échange : 8-20H : secondes secondes secondes secondes 12H/jours Bande passante consommée en moyenne par heure de 8H à 20H 1370 Kbits/s 2740 Kbits/s 4110 Kbits/s 6850 Kbits/s On peut constater que la consommation de bande passante peut-être très importante. De plus, les liens MPLS sur les sites distants à Orsay ne sont pas très élevés d où une augmentation des risques de latences si un seul serveur de messagerie était mis en place. Nous avons décidé de proposer à notre client une infrastructure de messagerie autonome pour chaque site, afin d optimiser l utilisation de la bande passante qui sera dans notre cas utilisé pour le routage des mails. Gestion des flux (Jérôme Teneur) 80

81 8. Sécurité des accès clients externes (Jérôme Teneur) Comme décrit dans le Mir sécurité, les clients nomades pourront avoir accès à leur messagerie grâce au réseau privé virtuel. Ce type de connexion offre aux clients l avantage d être virtuellement dans leur réseau local. Dans le cas où les clients ne disposent pas de leur machine pour monter le tunnel, une solution consiste à publier leur messagerie via un serveur web (Webmail). Afin de sécuriser la présente, nous pouvons utiliser le protocole SSL. Pour se faire, il faut une infrastructure à clé publique qui pourra nous fournir un certificat SSL pour le serveur Web. Pour éviter les alertes de sécurités lié au certificat lors de la connexion des clients, il faut qu ils fassent confiance à l autorité de certification qui a signé le certificat serveur, il ne faut pas que le certificat soit périmé et il faut que le FQDN du certificat soit à l identique que le FQDN du serveur. Par suite, les clients pourront s authentifier au serveur grâce à leur identifiant du domaine ou grâce à leur certificat utilisateur. La couche SSL sur le serveur web de la messagerie s effectue facilement sous Windows et linux (respectivement sous IIS et Apache). Le choix de cette technologie s effectuera en fonction du serveur de messagerie choisi. Bien entendu, et comme vu dans le Mir sécurité, un pare-feu sera mis en place afin d autoriser les flux de la messagerie ainsi que les clients VPN. Sécurité des accès clients externes (Jérôme Teneur) 81

82 9. Solution Finale (Bastien Gayral & Jérôme Teneur) D après l étude menée, on remarque que les deux solutions proposées correspondent aux attentes de notre client Aristote. Dans un premier temps, sur l architecture de messagerie en elle-même, nous retenons la solution Microsoft Exchange Server 2010 pour son coût d administration inférieur à ses concurrents. En effet, grâce à la fonctionnalité Autodiscover de Windows, l administration et la gestion des comptes utilisateurs sont simples et procurent un réel gain de temps contrairement à Zimbra qui requiert des administrateurs plus compétents et dont l administration devient vite complexe. La solution Windows intègre la plupart des fonctionnalités demandées sur deux produits uniquement, Microsoft Exchange 2010 et Office Communicator 2007 R2. L avantage est de permettre une interopérabilité et une meilleure administration et gestion des différentes fonctionnalités. D autre part, Windows dispose d une interface graphique plus ou moins identique entre ces différents logiciels clients pour permettre à vos utilisateurs d être plus performants. A l opposé, la solution Linux se compose d un nombre important de produits pour répondre aux différents besoins du client. Cela demande à vos utilisateurs et administrateurs des compétences multiples. Au niveau des coûts matériels et logiciels, on constate que la solution Windows est la plus chère mais nous vous proposons une solution pérenne et évolutive avec un faible coût d administration et disposant des dernières technologies du marché. Pour conclure, la solution Linux reste complète et riche en fonctionnalités mais demande des compétences techniques appropriées et son administration peut devenir fastidieuse alors que la solution Windows est plus simple d utilisation, de gestion, d administration et correspond mieux à vos attentes en termes de performances et de gains de temps. Solution Finale (Bastien Gayral & Jérôme Teneur) 82

83 Figure 25 - architecture finale Solution Finale (Bastien Gayral & Jérôme Teneur) 83