Bienvenue Serveur de messagerie Exchange Seraing, le 26 janvier 2017 1 / 50 Laurent Guelton, Administrateur Délégué Émilie Usal, Chargée de Relation Clientèle
Principe Serveur de messagerie pour remplacer o Puma (mails internes) o EGAP (mails externes) Courrier électronique accessible depuis PolAdmin et ISLP HiLDE 2 / 50 Copyright 2015-2016 Orditech. Tous droits réservés. Version 4.6
Solution Serveur de messagerie Microsoft Exchange Outlook Web App (OWA) 3 / 50 Copyright 2015-2016 Orditech. Tous droits réservés. Version 4.6
Références Zone de Police de Liège (4000) 4 / 50 Copyright 2015-2016 Orditech. Tous droits réservés. Version 4.6
Intégrateur Intégration des marques leader du marché Transparence de l offre Compétences disponibles en standard sur le marché (ex. ingénieur certifié Microsoft) Indépendance du Client vis-à-vis d Orditech 5 / 50
Protocoles DNS (Domain Name System) MUA (Mail User Agent) MTA (Mail Transfer Agent) MDA (Mail Delivery Agent) SMTP (Simple Mail Transfer Protocol) POP3 (Post Office Protocol) IMAP4 (Internet Message Access Protocol) HTTPS (HyperText Transfer Protocol Secured) 6 / 50
Protocoles 7 / 50
Protocoles Capture WireShark : mot de passe en clair! 8 / 50
DNS Domain Name System MX Record 9 / 50 MX primaire MX secondaire SPF (Sender Policy Framework) PTR (Pointer) Autodiscover
Clients Clients de messagerie : o Office Outlook 2016 o Courrier (Windows 10) o Thunderbird o Novell Evolution o Mail (Apple) o IBM Notes 10 / 50
Client Courrier électronique Calendrier Carnet d adresses (contacts) Tâches Notes 11 / 50
Serveurs Serveurs de messagerie Open Source : o SendMail o Postfix o Qmail o popd o Qpopper 12 / 50 o imapd o Dovecot o Zimbra o Zarafa
Serveurs Serveurs de messagerie commerciaux : o Microsoft Exchange o IBM Notes o Novell GroupWise 13 / 50
Puma Serveur de messagerie interne à la police Client Thunderbird (pour les PC du réseau ISLP uniquement) Serveur Linux Postfix (MTA et MDA) Accès en IMAP EOL décembre 2018, best effort 14 / 50 EGAP pour envoyer des e-mails vers l extérieur EOL juin 2016
Puma Carnet d adresse local Carnet d adresse central (contient tous les policiers) Annuaire LDAP 15 / 50
Chancellerie Microsoft Enterprise Cloud Suite Office 365 Enterprise E3, Enterprise Mobility Suite, Windows Software Assurance 384,20 par ETP 16 / 50 25,00 par boîte @police.belgium.eu Séparation des pouvoirs?!
Exchange Messagerie professionnelle collaborative : Courrier électronique Calendrier Carnet d adresses (contacts) Tâches Notes 17 / 50
Exchange MAPI (Messaging Application Programming Interface) dans le LAN 18 / 50
Outlook 2016 19 / 50
Outlook Anywhere 20 / 50
Outlook Web App 21 / 50
Outlook Web App 22 / 50
ActiveSync 23 / 50
Versions Exchange Online o Datacenters Microsoft o OPEX Hosted Exchange o Hébergeur MSPLA o OPEX 24 / 50 Exchange On-Premises o Local o CAPEX Exchange mutualisé o Sur les serveurs de la ZP Liège o CAPEX
Exchange Online Licences Exchange Online plan 2 (tarification pour le Secteur Public) 25 / 50 Datacenters de Microsoft (EMEA)
Hosted Exchange Hébergeur MSPLA (Microsoft Services Provider License Agreement) SAL (Subscriber Access Licence) o Windows Server Standard o Hosted Exchange Standard Plus 26 / 50 Datacenter en Belgique
On-Premises Prérequis : Active Directory Domain Controller séparé Licences : o Windows Server o Exchange Server o Licence CAL par utilisateur nommé qui accède à une boîte (normale, fonctionnelle, alias ) o Le client de messagerie Outlook doit être acquis séparément 27 / 50 Certificat HTTPS pour OWA Machine virtuelle VMware Peut utiliser les ressources des 3 serveurs ISLP dans le cadre du principe «Multi-Tenancy»
Rôles Edge Transport Server Mailbox Server 28 / 50
AVAS Protection anti-virus et anti-spam Sur courrier entrant et sortant En amont : MX primaire et SMTP relay de tierce partie (économie de bande passante) Sur pare-feu Passerelle en DMZ En aval : sur les boîtes Exchange 29 / 50
Services MX primaire filtrant avec filtres anti-virus et anti-spam. Notre MX filtrant défini dans votre DNS reçoit vos courriers électroniques entrants, les nettoie des virus et des spams et les transfère vers vos boîtes. Par nom de domaine. Relai SMTP avec filtres anti-virus et anti-spam. Notre relai SMTP défini dans votre serveur de messagerie reçoit vos courriers électroniques sortants, les nettoie des virus et des spams et les transfère vers vos destinataires. Par nom de domaine. 30 / 50 MX secondaire : si vous hébergez vous-même un serveur de mail, il se peut qu'il soit indisponible (coupure de connexion WAN, crash de la machine). Notre MX secondaire défini dans votre DNS stocke pour une durée déterminée vos mails le temps que votre serveur soit de nouveau en ligne.
.Cloud Symantec Email Security.Cloud 31 / 50
Pare-feu 32 / 50
Passerelle 33 / 50
SMG Symantec Messaging Gateway 8340 Appliance physique + licences Appliance virtuelle (gratuite) sur VMware + licences Propres statistiques et quarantaine 34 / 50
FortiMail Fortinet FortiMail-200E Appliance physique Pas de licences 61.000 messages par heure Propres statistiques et quarantaine 35 / 50
Boîtes Symantec Mail Security Protection en temps réel de la messagerie Exchange contre les virus, les spywares, le phishing et autres types d'attaques 36 / 50
ATP Advanced Threat Protection Zero-day Ransomware (Peyta, Jigsaw, Locky, CTB-Locker ) 37 / 50
Symantec ATP En amont : Symantec.cloud Advanced Threat Protection Email (Symantec Cynic sandbox) 38 / 50
Fortinet ATP En amont : FortiGuard FortiSandbox Cloud Service 39 / 50
SMTP in FortiMail-200E Passerelle 40 / 50
HTTP Admin Passerelle 41 / 50
HTTP ISLP Passerelle 42 / 50
HTTPS OWA Passerelle 43 / 50
SMTP out Passerelle 44 / 50
Active Directory Internet Routeur Pare-feu 1 DMZ 1 Passerelle Accès Internet depuis le réseau administratif PolAdmin Active Directory Postes de travail des agents administratifs LDAP Kerberos DNS... 45 / 50 Pare-feu 2 DMZ 2 Exchange Pas de trafic autorisé ISLP - HiLDE Serveur LDAP ISLP Postes de travail des agents administratifs IT Management
RDP Passerelle 46 / 50
ZP Liège Exchange pour 1.000 boîtes Filtrage anti-virus et anti-spam en DMZ Symantec Messaging Gateway en appliance virtuelle «Multi-Tenancy» Upgrade des 3 serveurs ISLP existants : o Disques durs pour la baie de stockage virtuelle o RAM o NIC Upgrade du NAS de backup DNS Certificat SSL 48 / 50
Mutualisation Présentée au Collège des Chefs de Corps de la Province de Liège Ouverture de la solution à d autres ZP OWA en HTTPS : o Via HiLDE à 2 ou 10 Mbps (routage existant 18.41.x.y Liège vers 18.w.x.y). Le service proposé par le Fédéral à la Chancellerie se fait par cet intermédiaire o Via la connexion Internet, par un VPN établi par le pare-feu Fortinet de la zone mutualisée 49 / 50
Contacts Émilie Usal Chargée de Relation Clientèle +32 69 67 25 38 +32 479 34 03 72 emilie.usal@orditech.be 50 / 50 Laurent Guelton Administrateur Délégué +32 69 67 25 21 +32 478 97 45 76 laurent.guelton@orditech.be