Intégration à un serveur Exchange ou un serveur IBM Notes Traveler

Pour faire en sorte que Secure Mail reste synchronisé avec Microsoft Exchange ou IBM Notes, vous pouvez intégrer Secure Mail à un serveur Exchange ou IBM Notes Traveler qui réside sur votre réseau interne ou derrière NetScaler Gateway.

Important :

Vous ne pouvez pas synchroniser la messagerie à partir de Secure Mail avec IBM Notes Traveler (anciennement IBM Lotus Notes Traveler). Cette fonctionnalité tierce Lotus Notes n’est actuellement pas prise en charge. Par conséquent, lorsque vous supprimez un message de réunion de Secure Mail, ce message n’est pas supprimé sur le serveur IBM Notes Traveler. [CXM-47936]

La synchronisation est également disponible pour Secure Notes et Secure Tasks, comme suit.

  • Vous pouvez intégrer Secure Notes pour iOS avec un serveur Exchange.
  • Secure Notes pour Android et Secure Tasks pour Android utilisent le compte Secure Mail pour Android pour synchroniser les notes et les tâches Exchange.

Important :

Vous ne pouvez pas synchroniser la messagerie à partir de Secure Mail avec IBM Notes Traveler (anciennement IBM Lotus Notes Traveler). Cette fonctionnalité tierce Lotus Notes n’est actuellement pas prise en charge. Par conséquent, lorsque vous supprimez un message de réponse à une réunion à partir de Secure Mail, le message n’est pas supprimé sur le serveur IBM Notes Traveler. [CXM-47936]Pour en savoir plus sur les limitations avec IBM/Lotus Notes, veuillez consulter ce billet de blog Citrix.

Lorsque vous ajoutez Secure Mail, Secure Notes et Secure Tasks à Endpoint Management (anciennement XenMobile), configurez les stratégies MDX suivantes pour l’intégration avec Exchange ou IBM Notes :

  • Pour Secure Mail : définissez la stratégie Secure Mail Exchange Server sur le nom de domaine complet (FQDN) pour le serveur Exchange Server ou IBM Notes Traveler.

    Les exigences requises par Secure Mail en ce qui concerne la spécification d’une connexion à un serveur Notes Traveler diffèrent par plate-forme, comme suit :

    Secure Mail pour Android et Secure Mail pour iOS prennent en charge le chemin d’accès complet spécifié pour un serveur Notes Traveler. Par exemple : https://mail.example.com/traveler/Microsoft-Server-ActiveSync. (Il n’est plus nécessaire de configurer votre annuaire Domino avec des règles de remplacement de site Web pour le serveur Traveler.)

  • Pour Secure Notes et Secure Tasks : spécifiez des valeurs pour Secure Notes Exchange Server, le domaine utilisateur Secure Notes, Secure Tasks Exchange Server et les stratégies de domaine utilisateur Secure Tasks.

Les stratégies MDX suivantes affectent le flux de communication Secure Mail :

Accès réseau : la stratégie Accès réseau spécifie si des restrictions sont imposées sur l’accès réseau. Par défaut, l’accès à Secure Mail est tunnélisé vers le réseau interne, ce qui signifie qu’aucune restriction n’est imposée sur l’accès réseau ; les applications ont un accès illimité aux réseaux auxquels l’appareil est connecté. La stratégie Accès réseau interagit avec la stratégie Services réseau d’arrière-plan, décrite ci-après.

Services réseau d’arrière-plan : la stratégie Services réseau d’arrière-plan spécifie les adresses de service autorisées pour l’accès réseau en arrière-plan. Les adresses de service peuvent être un serveur Exchange ou ActiveSync, soit dans votre réseau interne soit dans un autre réseau auquel Secure Mail se connecte, comme mail.monentreprise.com:443.

Si vous configurez la stratégie Services réseau d’arrière-plan, définissez également la stratégie Accès réseau sur Tunnélisé vers le réseau interne. La stratégie Services réseau d’arrière-plan prend effet lorsque vous configurez la stratégie Accès réseau.

Passerelle des services réseau d’arrière-plan : la stratégie Passerelle des services réseau d’arrière-plan spécifie le boîtier NetScaler Gateway que Secure Mail utilise pour se connecter au serveur Exchange interne. Si vous configurez une autre adresse de passerelle, définissez la stratégie Accès réseau sur Tunnélisé vers le réseau interne. La stratégie Passerelle des services réseau d’arrière-plan prend effet lorsque vous configurez la stratégie Accès réseau.

Expiration du ticket des services d’arrière-plan : la stratégie Expiration du ticket des services d’arrière-plan spécifie la durée pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Lorsque Secure Mail se connecte au travers de NetScaler Gateway à un serveur Exchange exécutant ActiveSync, Endpoint Management délivre un jeton que Secure Mail utilise pour se connecter au serveur Exchange interne. Ce paramètre détermine la durée pendant laquelle Secure Mail peut utiliser le jeton sans demander de nouveau jeton pour l’authentification et la connexion au serveur Exchange. Lorsque la limite de temps expire, les utilisateurs doivent ouvrir une session à nouveau pour générer un nouveau jeton. La valeur par défaut est 168 heures (7 jours).

Les figures suivantes présentent les types de connexions Secure Mail à un serveur de messagerie. Une liste des paramètres de stratégie associés s’affiche après chaque figure.

Image de la connexion de Secure Mail au serveur de messagerie

Stratégies pour une connexion directe à un serveur de messagerie :

  • Accès réseau : Non restreint
  • Passerelle de services réseau d’arrière-plan : vide
  • Expiration du ticket des services d’arrière-plan : 168
  • Passerelle de service réseau d’arrière-plan : vide

Image de Secure Mail utilisant un micro VPN

Stratégies pour une connexion directe à un serveur de messagerie :

  • Accès réseau : Tunnélisé vers le réseau interne
  • Passerelle de services réseau d’arrière-plan : vide
  • Expiration du ticket des services d’arrière-plan : 168
  • Passerelle de service réseau d’arrière-plan : vide

Image de Secure Mail utilisant une STA

Stratégies pour un accès STA à un serveur de messagerie :

  • Accès réseau : Tunnélisé vers le réseau interne
  • Services réseau d’arrière-plan : mail.exemple.com: 443
  • Expiration du ticket des services d’arrière-plan : 168
  • Passerelle de service réseau d’arrière-plan : gateway3.exemple.com:443

La figure suivante montre où ces stratégies s’appliquent :

Image des stratégies et où elles s'appliquent

Configuration du serveur IBM Notes Traveler pour Secure Mail

Dans les environnements IBM Notes, vous devez configurer le serveur IBM Notes Traveler avant de déployer Secure Mail. Cette section présente une illustration de déploiement de cette configuration ainsi que la configuration système requise.

Important :

si votre serveur Notes Traveler utilise SSL 3.0, gardez à l’esprit que SSL 3.0 contient une faille appelée attaque Padding Oracle On Downgraded Legacy Encryption (POODLE), qui est un type d’attaque « man-in-the-middle » qui affecte toute application qui se connecte à un serveur à l’aide de SSL 3.0. Pour résoudre les vulnérabilités introduites par l’attaque POODLE, Secure Mail désactive par défaut les connexions SSL 3.0 et utilise TLS 1.0 pour se connecter au serveur. En conséquence, Secure Mail ne peut pas se connecter à un serveur Notes Traveler qui utilise SSL 3.0. Pour plus de détails sur une solution recommandée, consultez la section Configuration du niveau de sécurité SSL/TLS dans Intégration à un serveur Exchange ou un serveur IBM Notes Traveler.

Dans les environnements IBM Notes, vous devez configurer le serveur IBM Notes Traveler avant de déployer Secure Mail.

Le diagramme suivant illustre l’emplacement réseau des serveurs IBM Notes Traveler et un serveur de messagerie IBM Domino dans un déploiement.

Image des serveurs IBM Notes Traveler et du déploiement du serveur de messagerie Domino de IBM avec XenMobile

Configuration système requise

Configuration requise pour le serveur d’infrastructure

  • Serveur de messagerie IBM Domino 9.0.1
  • IBM Notes Traveler 9.0.1

Protocoles d’authentification

  • Base de données Domino
  • Protocole d’authentification Lotus Notes
  • Protocole LDAP

Configuration requise pour les ports

  • Exchange : le port SSL par défaut est 443.
  • IBM Notes : SSL est pris en charge sur le port 443. Non-SSL est pris en charge par défaut sur le port 80.

Configuration du niveau de sécurité SSL/TLS

Citrix a apporté des modifications à Secure Mail pour résoudre les problèmes de vulnérabilité introduits par l’attaque POODLE, comme décrit dans la section Remarque importante qui suit. Si votre serveur Notes Traveler utilise SSL 3.0, il est recommandé, pour activer les connexions, d’utiliser TLS 1.2 sur le serveur IBM Notes Traveler 9.0.

IBM a publié un correctif pour empêcher l’utilisation de SSL 3.0 dans les communications serveur à serveur sécurisées de Notes Traveler. Le correctif, disponible en novembre 2014, est inclus en tant mise à jour provisoire pour les versions suivantes du serveur Notes Traveler : 9.0.1 IF7, 9.0.0.1 IF8 et 8.5.3 Upgrade Pack 2 IF8 (et sera inclus dans les versions ultérieures). Pour de plus amples informations sur le correctif, consultez LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION.

Une autre solution consiste à modifier la stratégie Niveau de sécurité de la connexion sur SSLv3 et TLS lorsque vous ajoutez Secure Mail à Endpoint Management. Pour obtenir plus d’informations sur ce problème, veuillez consulter la section Connexions SSLv3 désactivées par défaut sur Secure Mail 10.0.3.

Le tableau suivant indique les protocoles pris en charge par Secure Mail, par système d’exploitation, en fonction de la valeur de la stratégie Niveau de sécurité de la connexion. Votre serveur de messagerie doit également être en mesure de négocier le protocole.

Le tableau suivant montre les protocoles pris en charge pour Secure Mail lorsque le niveau de sécurité de connexion est SSLv3 et TLS.

Type de système d’exploitation SSLv3 TLS
versions antérieures à iOS 9 Oui Oui
iOS 9 et versions ultérieures Non Oui
Versions antérieures à Android M Oui Oui
Android M et Android N Oui Oui
Android O Non Oui

Le tableau suivant montre les protocoles pris en charge pour Secure Mail lorsque le niveau de sécurité de connexion est TLS.

Type de système d’exploitation SSLv3 TLS
versions antérieures à iOS 9 Non Oui
iOS 9 et versions ultérieures Non Oui
Versions antérieures à Android M Non Oui
Android M et Android N Non Oui
Android O Non Oui

Configuration du Serveur Notes Traveler

Les informations suivantes correspondent aux pages du client IBM Domino Administrator.

  • Sécurité : l’authentification Internet est définie sur Fewer name variations with higher security. Ce paramètre est utilisé pour mapper UID sur AD User ID dans les protocoles d’authentification LDAP.
  • NOTES.INI Settings: ajoutez NTS_AS_ENFORCE_POLICY=false. Cela permet aux stratégies Secure Mail d’être gérées par Endpoint Management plutôt que par Traveler. Ce paramètre peut entrer en conflit avec les déploiements clients actuels, mais permet de simplifier la gestion des appareils dans les déploiements Endpoint Management.
  • Protocoles de synchronisation : SyncML sur IBM Notes et la synchronisation d’appareils mobiles ne sont pas pris en charge par Secure Mail pour le moment. Secure Mail synchronise la messagerie, le calendrier et les contacts via le protocole Microsoft ActiveSync intégré aux serveurs Traveler. Si SyncML est forcé en tant que le protocole principal, Secure Mail ne peut pas se reconnecter au travers de l’infrastructure Traveler.
  • Configuration de l’annuaire Domino - sites Internet Web : remplacez l’authentification de session pour /traveler pour désactiver l’authentification basée sur les formulaires.