F-Secure Email and Server Security Deployment Guide - F-Secure User Guides
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
F-Secure Email and Server Security
Deployment Guide
Table des matières | F-Secure Email and Server Security
Table des matières
Chapitre 1 : Présentation...............................................................................4
1.1 Fonctionnement du produit...............................................................................................................................5
1.2 Contenu du produit............................................................................................................................................5
Chapitre 2 : Scénarios de déploiement...........................................................7
2.1 Serveur autonome.............................................................................................................................................8
2.2 Déploiement du produit via F-Secure Policy Manager......................................................................................8
2.3 Rôles serveur Exchange multiples.....................................................................................................................8
2.4 Grande structure utilisant plusieurs serveurs Exchange...................................................................................9
2.5 Gestion centralisée de la quarantaine..............................................................................................................10
2.5.1 Authentification en mode mixte dans Microsoft SQL Server............................................................10
2.6 Microsoft SharePoint Server.............................................................................................................................11
2.7 Intégration du gestionnaire de mise en quarantaine du courrier indésirable (EQM).......................................11
2.8 Autoriser les hôtes à accéder à la console Web...............................................................................................14
2.9 Restriction de l'accès aux sites Web à des adresses IP spécifiques...................................................................16
Chapitre 3 : Configuration système requise..................................................20
3.1 Configuration requise pour le système d'exploitation......................................................................................21
3.2 Configuration réseau requise pour F-Secure Email and Server Security..........................................................22
3.3 Configuration requise pour l'administration centralisée.................................................................................23
3.4 Autres exigences relatives aux composants du système.................................................................................23
3.4.1 Configuration requise pour SQL Server............................................................................................23
3.4.2 Configuration requise pour le moteur de recherche de courrier indésirable..................................24
3.4.3 Configuration système requise pour l'interface utilisateur Web......................................................24
Chapitre 4 : Installation...............................................................................26
4.1 Installation locale du produit............................................................................................................................27
4.2 Mise à niveau à partir de la précédente version de F-Secure Email and Server Security..................................33
4.3 Désinstallation du produit................................................................................................................................33
Chapitre 5 : Configuration du produit..........................................................34
5.1 Configuration du réseau ..................................................................................................................................35
5.2 Configuration de F-Secure Spam Control........................................................................................................35
Chapitre 6 : Déploiement du produit sur un cluster.......................................37
6.1 Présentation de l'installation............................................................................................................................38
6.2 Création du répertoire de quarantaine............................................................................................................38
6.2.1 Création du répertoire de quarantaine pour un environnement de cluster à copie unique............38
F-Secure Email and Server Security | Table des matières
6.2.2 Création du répertoire de quarantaine pour un environnement de réplication continue en
cluster................................................................................................................................................40
6.2.3 Création du répertoire de quarantaine pour un environnement DAG.............................................42
6.3 Installation du produit.....................................................................................................................................44
6.3.1 Installation en cluster, avec répertoire de quarantaine comme ressource de cluster.....................44
6.3.2 Installation en cluster, avec répertoire de quarantaine sur un ordinateur dédié.............................48
6.4 Administration de l'installation en cluster avec F-Secure Policy Manager.......................................................51
6.5 Utilisation de la quarantaine dans une installation en cluster..........................................................................51
6.6 Désinstallation..................................................................................................................................................51
6.7 Dépannage.......................................................................................................................................................51
Annexe A : Installation de Microsoft SQL Server...........................................53
A.1 Étapes d'installation.........................................................................................................................................54
4 | Présentation
Chapitre
1
Présentation
Sujets : F-Secure Email and Server Security est conçu pour protéger les serveurs de
messagerie et de partage de votre entreprise, ainsi que pour protéger le réseau
• Fonctionnement du produit de l'entreprise contre tout code malveillant transitant par le trafic HTTP ou SMTP.
• Contenu du produit En outre, il protège également votre entreprise contre les courriers indésirables.
Le code malveillant, comme les virus informatiques, est à l'heure actuelle l'une
des principales menaces auxquelles sont exposées les entreprises. Par le passé,
le code malveillant se répandait principalement via des disques et les virus les
plus courants étaient ceux qui infectaient les secteurs d'amorçage des disques.
Lorsque l'utilisation des applications de bureautique avec fonctions de macros
pour écrire des documents et les transmettre par courrier électronique, telles
que Microsoft Office, s'est démocratisée, les virus macro ont rapidement proliféré.
Actuellement, le mécanisme de diffusion des virus le plus commun est le Web.
Même les courriers électroniques frauduleux contiennent généralement un lien
vers un exploit de navigateur ou un site Web de hameçonnage. F-Secure Email
and Server Security inclut la Protection de la navigation, qui protège la navigation
sur Internet de tous les utilisateurs du serveur.
La protection peut être mise en œuvre au niveau de la passerelle pour analyser
tous les messages (SMTP), la navigation Web (HTTP et FTP-sur-HTTP) et les
transferts de fichiers (FTP) entrants et sortants. Elle peut également être mise
en œuvre sur des serveurs SharePoint dédiés et sur le serveur de messagerie,
afin de protéger non seulement le trafic entrant et sortant, mais aussi le trafic de
messages internes et les sources publiques, telles que les dossiers publics ou les
serveurs Microsoft Exchange.
Une protection dès le niveau de la passerelle a des avantages. La protection est
facile et rapide à mettre en place, par rapport au déploiement d'une protection
antivirus sur des centaines ou des milliers de postes de travail. La protection est
également invisible des utilisateurs finaux, ce qui garantit que le système ne peut
pas être contourné et facilite sa gestion. Évidemment, la protection au niveau
de la passerelle ne suffit pas à fournir une solution antivirus complète ; une
protection au niveau des serveurs de fichiers et des postes de travail est également
nécessaire.
Pourquoi nettoyer 1 000 postes de travail lorsque vous pouvez nettoyer une
pièce jointe au niveau de la passerelle ?
F-Secure Email and Server Security | 5
1.1 Fonctionnement du produit
Le produit est conçu pour détecter et éliminer les virus et autres codes malveillants des transmissions par e-mail via
Microsoft Exchange Server. L'analyse s'effectue en temps réel à mesure que les messages passent par Microsoft Exchange
Server. Une analyse à la demande des boîtes aux lettres et des dossiers publics est également disponible.
Le produit analyse les pièces jointes et le corps des messages à la recherche de code malveillant. Vous pouvez également
le configurer afin de supprimer des pièces jointes spécifiques en fonction de leur nom ou de l'extension du fichier.
Installé sur Microsoft Exchange Server, le produit intercepte les messages acheminés entre les boîtes aux lettres et les
dossiers publics, analyse le trafic et traite les éléments infectés.
Si le message intercepté contient du code malveillant, le produit peut être configuré pour désinfecter ou supprimer le
contenu concerné. Tout code malveillant détecté pendant l'analyse peut être mis en quarantaine pour une analyse
approfondie. Les pièces jointes supprimées peuvent également être mises en quarantaine pour une analyse approfondie.
(1) Les messages électroniques arrivent d'Internet à F-Secure Email and Server Security, qui (2) filtre le contenu malveillant
des messages et des pièces jointes, et (3) transmet les fichiers sûrs.
Illustration 1 : Trafic de messagerie
1.2 Contenu du produit
Vous pouvez octroyer des licences du produit et le déployer en tant que F-Secure Email and Server Security (Standard)
ou F-Secure Email and Server Security Premium par connexion par terminal ou utilisateur.
Fonctionnalités associées aux différentes licences du produit :
Fonction F-Secure Email and Server Security F-Secure Email and Server Security
Premium
Protection contre les programmes X X
malveillants
Fonction F-Secure Email and Server Security F-Secure Email and Server Security
Premium
DeepGuard X X
DataGuard X
Contrôle applications X
Pare-feu X X
Analyse du trafic Web X X
Protection de la navigation X X
Software Updater X
Agent d'analyse hors ligne X X
Protection de Microsoft Exchange X X
Contrôle courrier indésirable X X
Email Quarantine Manager X X
Protection Microsoft SharePoint X X
Chapitre
2
Scénarios de déploiement
Sujets : Suivant la manière dont les rôles Microsoft Exchange Server sont déployés dans
votre environnement, envisagez diverses façons d'utiliser le produit (scénarios
• Serveur autonome de déploiement).
• Déploiement du produit via F-Secure
En fonction de l'environnement, le produit peut être déployé de différentes
Policy Manager
manières.
• Rôles serveur Exchange multiples
• Grande structure utilisant plusieurs Modes d'administration
serveurs Exchange
Vous pouvez déployer le produit en mode Autonome ou Administration
• Gestion centralisée de la quarantaine centralisée. Dans le premier, il est géré par la console Web (accessible à distance).
• Microsoft SharePoint Server Dans le second, il est généralement surveillé et administré par la console F-Secure
• Intégration du gestionnaire de mise Policy Manager.
en quarantaine du courrier
Remarque : Lorsque vous déployez le produit pour la première fois, les
indésirable (EQM) composants F-Secure Antivirus pour Microsoft Exchange et F-Secure
• Autoriser les hôtes à accéder à la Antivirus pour Microsoft SharePoint doivent être configurés. Dans la
console Web mesure où il est impossible de les préconfigurer avec F-Secure Policy
• Restriction de l'accès aux sites Web Manager, vous devez les installer localement.
à des adresses IP spécifiques
Quarantaine locale ou centralisée
F-Secure Email and Server Security peut placer des e-mails en quarantaine. Vous
pouvez installer le répertoire de quarantaine en mode local ou centralisé. En cas
d'installation locale, il utilise un dossier local pour stocker les pièces jointes
indésirables et Microsoft SQL Server à des fins de gestion. Nous recommandons
d'installer Microsoft SQL Server localement.
Lorsque le répertoire de quarantaine est installé en mode centralisé, il peut être
partagé par plusieurs instances de F-Secure Email and Server Security. Ce mode
repose sur un partage de fichiers permettant le stockage des pièces jointes
indésirables ainsi qu'une instance de Microsoft SQL Server dédiée à la gestion
de la quarantaine.
Remarque : Le répertoire de quarantaine peut être installé en mode
local ou centralisé, indépendamment du fait que le produit soit déployé
en mode Autonome ou Administration centralisée.
8 | Scénarios de déploiement
2.1 Serveur autonome
Dans les structures au sein desquelles un ou deux serveurs (Microsoft Exchange Server 2013/2016/2019) hébergent
l'ensemble des boîtes aux lettres et des dossiers publics, et envoient/reçoivent tous les messages entrants et sortants
par SMTP, vous pouvez administrer chaque serveur en mode autonome.
Assurez-vous que vos configurations système/matérielle respectent les exigences propres au réseau et au système.
Remarque : Pour utiliser la protection SharePoint, Microsoft SharePoint Server doit être installé sur le même
serveur.
1. Téléchargez le package d'installation (fichier jar) sur le site Web de F-Secure.
2. Importez le package dans Policy Manager.
3. Configurez le package avec votre clé et les fonctionnalités sélectionnées, puis exportez-le en tant que package MSI.
4. Installez F-Secure Email and Server Security à l'aide du package MSI exporté.
Pour déployer le produit, connectez-vous au serveur avec les privilèges d'administrateur locaux et exécutez le
programme d'installation.
5. Une fois le produit installé, utilisez la console Web pour le configurer.
2.2 Déploiement du produit via F-Secure Policy Manager
Nous recommandons aux structures possédant plusieurs serveurs et stations de travail d'utiliser F-Secure Policy Manager
pour administrer le produit de façon centralisée. Veillez à ce que les serveurs sur lesquels vous comptez le déployer
respectent les exigences des configurations système et réseau.
Pour installer le produit sur des serveurs :
1. Téléchargez le package d'installation à distance (fichier jar) du produit sur le site Web de F-Secure.
2. Importez le package d'installation à distance dans la console F-Secure Policy Manager.
3. Installez le produit sur les serveurs cibles.
Remarque : Vous devez procéder à l'installation initiale sur le serveur lui-même. Les mises à niveau peuvent
être quant à elles déclenchées depuis Policy Manager.
Si les serveurs cibles sont déjà situés dans le domaine de stratégie, utilisez l'installation fondée sur la stratégie. Sinon,
recourez à l'installation Push.
4. À l'issue de l'installation, de nouveaux hôtes sont automatiquement importés dans le domaine Policy Manager.
5. Installez F-Secure Email and Server Security sur les serveurs exécutant Microsoft Exchange Server et Microsoft
SharePoint Server.
Utilisez le mode d'administration centralisée et connectez le produit à la même console Policy Manager.
2.3 Rôles serveur Exchange multiples
Votre structure possède plusieurs installations Microsoft Exchange Server 2013/2016/2019. Les rôles serveur de boîtes
aux lettres et Edge sont déployés sur des serveurs distincts, tandis que le serveur Hub a quant à lui la possibilité d'être
déployé sur le même serveur que celui de boîtes aux lettres. Le serveur Edge gère les messages entrants et sortants via
F-Secure Email and Server Security | 9
le protocole SMTP. De leur côté, les serveurs Hub et de boîtes aux lettres assurent respectivement l'acheminement du
trafic de messagerie entre les serveurs Exchange et le stockage de l'ensemble des boîtes aux lettres et dossiers publics.
1. Installez le produit sur tous les serveurs où les rôles Exchange Edge, Hub et Boîte aux lettres sont déployés.
Remarque : Si le rôle serveur Exchange est modifié ultérieurement, le produit doit être réinstallé.
2. Installez F-Secure Policy Manager Server sur un serveur dédié ou sur le même que l'un des serveurs Exchange. Vous
pouvez l'administrer grâce à F-Secure Policy Manager Console.
Au moment de déployer le produit, configurez chaque installation de sorte à vous connecter au même serveur F-Secure
Policy Manager Server.
3. Les installations du produit reçoivent les mises à jour des bases de données de programmes malveillants et de courrier
indésirable de F-Secure Policy Manager Server, qui reçoit lui-même les mises à jour de F-Secure Update Server.
4. Utilisez la console Web pour gérer et rechercher le contenu placé en quarantaine.
2.4 Grande structure utilisant plusieurs serveurs Exchange
Votre structure possède plusieurs installations Microsoft Exchange Server 2013/2016/2019. Tous les rôles Exchange sont
déployés sur des serveurs dédiés, tandis que les serveurs de boîtes aux lettres sont potentiellement en cluster.
1. Installez le produit sur le serveur où les rôles Exchange Edge, Hub et Boîte aux lettres sont déployés.
N'installez pas le produit avec des rôles serveur d'accès au client ou de messagerie unifiée.
2. Installez F-Secure Policy Manager Server sur un serveur dédié. Vous pouvez l'administrer grâce à F-Secure Policy
Manager Console.
Au moment de déployer le produit, configurez chaque installation de sorte à vous connecter au même serveur F-Secure
Policy Manager Server.
10 | Scénarios de déploiement
3. Les installations du produit reçoivent les mises à jour des bases de données de programmes malveillants et de courrier
indésirable de F-Secure Policy Manager Server, qui reçoit lui-même les mises à jour de F-Secure Update Server.
4. Utilisez la console Web pour gérer et rechercher le contenu placé en quarantaine.
2.5 Gestion centralisée de la quarantaine
Votre structure possède plusieurs installations Microsoft Exchange Server. Par exemple, vous disposez d'une configuration
réseau avec des rôles serveur Edge et de boîte aux lettres exécutant Exchange Server 2013/2016/2019.
1. Installez Microsoft SQL Server sur un serveur dédié ou sur celui exécutant F-Secure Policy Manager Server.
2. Installez le produit.
Lorsque vous déployez le produit, configurez chaque installation de sorte à utiliser un serveur et une base de données
SQL identiques.
• Vérifiez que SQL Server, le nom de la base de données, le nom d'utilisateur et le mot de passe sont identiques
dans la configuration de la quarantaine de toutes les installations de F-Secure Antivirus pour Microsoft Exchange.
• Assurez-vous que l'ensemble des serveurs est autorisé à communiquer avec le serveur SQL à l'aide d'une
authentification en mode mixte.
• Dans les environnements où le trafic de messagerie est important, nous recommandons d'utiliser un serveur
distinct équipé de Microsoft SQL Server. Si vous utilisez la version gratuite de Microsoft SQL Server 2014 SP2 Express,
la taille de la base de données de quarantaine est limitée à 10 Go, la consommation d'UC est limitée à un processeur
ou quatre cœurs, et l'utilisation de la mémoire est limitée à 1 Go.
3. Utilisez la console Web pour gérer et rechercher le contenu placé en quarantaine.
2.5.1 Authentification en mode mixte dans Microsoft SQL Server
Si vous installez Microsoft SQL Server séparément, le système prend uniquement en charge l'authentification Windows
par défaut. Vous devez donc sélectionner la méthode d'authentification en mode mixte au cours de l'installation ou bien
configurer le paramètre ultérieurement via l'interface utilisateur de Microsoft SQL Server.
Le mode d'authentification mixte vous permet de vous connecter au serveur SQL avec votre nom d'utilisateur et votre
mot de passe Windows ou SQL.
Suivez ces étapes pour modifier le mode d'authentification :
1. Ouvrez Microsoft SQL Server Management Studio ou Microsoft SQL Server Management Studio Express.
Si vous ne possédez pas Microsoft SQL Server Management Studio, vous pouvez télécharger gratuitement Management
Studio Express sur le site Web de Microsoft.
2. Connectez-vous au serveur SQL.
3. Dans l'Explorateur d'objets, accédez à Sécurité > Connexions.
4. Faites un clic droit sur SA et sélectionnez Propriétés.
5. Ouvrez l'onglet Général et modifiez le mot de passe. Confirmez ensuite le nouveau mot de passe que vous venez de
saisir.
Remarque : Assurez-vous que le mot de passe de l'administrateur système (SA) est fort lorsque vous passez
d'une méthode d'authentification Windows à une authentification en mode mixte.F-Secure Email and Server Security | 11
6. Ouvrez l'onglet État et sélectionnez Activé dans la section Connexion.
7. Cliquez sur OK.
8. Dans l'Explorateur d'objets, faites un clic droit sur le nom du serveur et sélectionnez Propriétés.
9. Ouvrez l'onglet Sécurité et sélectionnez Mode d'authentification Windows et SQL Server sous Authentification
du serveur.
10. Cliquez sur OK.
11. Faites un clic droit sur le nom du serveur et sélectionnez Redémarrer.
Attendez que le service redémarre avant de continuer.
12. Utilisez Management Studio pour tester la connexion au serveur SQL à l'aide du compte SA et du nouveau mot de
passe créé.
2.6 Microsoft SharePoint Server
Votre structure possède un ou plusieurs serveurs SharePoint 2013/2016/2019 dédiés.
1. Installez le produit localement sur toutes les machines SharePoint avec le rôle Serveur Web (serveur Web frontal
SharePoint).
Cela garantit que l'analyse sur accès protège le serveur.
Remarque : Avec le rôle Serveur Web frontal, le trafic redirigé ne traverse pas F-Secure Email and Server
Security. Si un serveur Web frontal redirige le trafic vers un autre rôle SharePoint dans la batterie, le produit
doit être installé sous les rôles Serveur Web frontal et Serveur SharePoint cible.
2. Afin d'administrer Microsoft Sharepoint lors de l'installation, vous devez renseigner les détails du compte. Vous pouvez
pour cela utiliser un compte dédié dans le domaine et l'ajouter au groupe Administrateurs de batterie. Vérifiez que
le compte dispose bien de droits d'administration locaux sur le serveur.
2.7 Intégration du gestionnaire de mise en quarantaine du courrier indésirable (EQM)
Ce document fournit des informations de base sur l'installation du gestionnaire de mise en quarantaine du courrier
indésirable F-Secure.
Cette section décrit les étapes nécessaires à l'intégration du produit avec Internet Information Services (IIS) en vue d'une
exploitation au sein de votre réseau.
Après avoir installé F-Secure Email and Server Security, vous pouvez trouver les binaires EQM dans l'archive suivante
: \Sécurité de la messagerie et du serveur\EQM\.
Remarque : Il est possible que certains services de rôle serveur Web (IIS) soient manquants sur votre serveur.
Le cas échéant, vous devrez les ajouter à l'aide de la console Server Manager pour achever le processus
d'installation.
1. Sous Outils d'administration, lancez Utilisateurs et ordinateurs Active Directory.
2. Créez le groupe d'utilisateurs EqmAllowed et ajoutez les utilisateurs requis.
3. Créez un dossier nommé EQM sous IIS et copiez le contenu de \Email and Server
Security\EQM\ là (C:\inetpub\wwwroot\eqm).
4. Sous Outils d'administration, lancez Gestionnaire des services Internet (IIS).
5. Faites un clic droit sur Site Web par défaut et sélectionnez Ajouter une application.
6. Saisissez EQM dans le champ Alias, puis C:\inetpub\wwwroot\eqm dans le champ Chemin d'accès physique.12 | Scénarios de déploiement
7. Sélectionnez OK.
8. Dans le volet de navigation, sélectionnez EQM puis Authentification sur la droite.
9. Définissez l'état des différentes méthodes d'authentification comme suit :
• Authentification de base : Activé
• Authentification Windows : Activé
• Toutes les autres méthodes : Désactivé
10. Dans le volet de navigation, sélectionnez EQM puis Règles d'autorisation .NET sur la droite.
11. Définissez les modes des règles d'autorisation comme suit :
• Administrateurs : Autoriser
• EqmAllowed: Autoriser
• Tous les utilisateurs : RefuserF-Secure Email and Server Security | 13
Remarque : Sous Windows Server 2008 SP2 OS, il est inutile d'ajouter la règle suivante : Tous les utilisateurs
: Refuser.
12. Dans le volet de navigation, sélectionnez EQM puis Chaînes de connexion sur la droite.
13. Sous Chaînes de connexion, modifiez la chaîne FSecureFqmConnectionString comme suit :
a) Modifiez le nom ou l'adresse du serveur SQL. Le paramètre Local est défini par défaut et correspond à un
déploiement de SQL Express 2014 via le package d'installation du produit.
b) Modifiez ou créez le mot de passe pour FQMUSER.
14. Sélectionnez OK.
15. Sous Windows Server 2008 SP2 uniquement : dans le volet de navigation, sélectionnez EQM puis Types MIME.
a) Dans la fenêtre Ajouter un type MIME, saisissez .svg dans le champ Extension de nom de fichier et
image/svg+xml dans le champ Type MIME.14 | Scénarios de déploiement
b) Sélectionnez OK.
2.8 Autoriser les hôtes à accéder à la console Web
Pour accéder à la console Web à partir d'autres hôtes du réseau, vous devez les autoriser via Internet Information Services
(IIS).
Pour autoriser l'accès à la console Web pour tous les hôtes :
1. Sous Outils d'administration, lancez Gestionnaire des services Internet (IIS).
2. Accédez à Sites > EssWebConsole.F-Secure Email and Server Security | 15 3. Sélectionnez Liaisons. 4. Cliquez sur Ajouter.
16 | Scénarios de déploiement
5. Sélectionnez HTTPS en tant que type, puis saisissez l'adresse IP du serveur et définissez le port sur 25023.
6. Sélectionnez le certificat SSL, puis cliquez sur OK.
Remarque : Les certificats SSL 2.0 ne sont pas pris en charge en raison de vulnérabilités.
2.9 Restriction de l'accès aux sites Web à des adresses IP spécifiques
Après avoir autorisé l'accès à la console Web depuis d'autres hôtes de votre réseau, vous pouvez décider de le restreindre
à une adresse IP ou une plage d'adresses IP spécifique.
Procédez comme suit pour autoriser uniquement certains hôtes à accéder à la console Web :
1. Assurez-vous qu'Internet Information Services (IIS) dispose bien de la fonctionnalité Restrictions IP et de domaine.F-Secure Email and Server Security | 17 2. Accédez à Sites > EssWebConsole. 3. Ouvrez Restrictions IP et de domaine. 4. Sélectionnez Ajouter une entrée d'autorisation.
18 | Scénarios de déploiement
5. Saisissez l'adresse IP ou la plage d'adresses IP.
Remarque : Assurez-vous d'ajouter l'adresse IP locale si vous avez besoin d'ouvrir la console Web localement.
6. Cliquez sur OK.
7. Sélectionnez Modifier les paramètres de la fonctionnalité.F-Secure Email and Server Security | 19 8. Définissez Accès pour les clients non spécifiés sur Refuser. 9. Cliquez sur OK. 10. Relancez le site EssWebConsole.
20 | Configuration système requise
Chapitre
3
Configuration système requise
Sujets :
• Configuration requise pour le
système d'exploitation
• Configuration réseau requise pour
F-Secure Email and Server Security
• Configuration requise pour
l'administration centralisée
• Autres exigences relatives aux
composants du systèmeF-Secure Email and Server Security | 21
3.1 Configuration requise pour le système d'exploitation
Vous pouvez installer le produit sur tout ordinateur répondant à la configuration requise pour le système d'exploitation
pris en charge.
Système d'exploitation : Remarque : Microsoft .Net 4.7.2 doit être installé
dans le système.
• Microsoft Windows Server 2008 R2
• Microsoft® Windows Small Business Server 2011
• Microsoft Windows Server 2012
• Microsoft Windows Server 2012 Essentials
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012 R2 Essentials
• Microsoft Windows Server 2012 R2 Foundation
• Microsoft Windows Server 2016 Standard
• Microsoft Windows Server 2016 Essentials
• Microsoft Windows Server 2016 Datacenter
• Microsoft Windows Server 2016 Core
• Microsoft Windows Server 2019 Standard
• Microsoft Windows Server 2019 Essentials
• Microsoft Windows Server 2019 Datacenter
• Microsoft Windows Server 2019 Core
• Norme Microsoft® Windows Server 2022
• Centre de données Microsoft® Windows Server 2022
Remarque : Windows Server 2016 Nano n'est pas
pris en charge.
Toutes les versions de Microsoft Windows Server sont prises
en charge, à l'exception de :
• Windows Server pour processeur Itanium
• Versions de Windows HPC pour un matériel spécifique
• Versions de Windows Storage
• Windows MultiPoint Server
• Windows Home Server
Remarque : Tous les systèmes d'exploitation
doivent disposer de la dernière version du Service
Pack.
Remarque : Pour des raisons de performance et
de sécurité, vous pouvez uniquement installer le
produit sur une partition NTFS.22 | Configuration système requise
Versions de Microsoft Exchange Server prises en charge : • Microsoft® Exchange Server 2013 sans Service Pack,
Service Pack 1 (CU23, CU22, CU21)
• Microsoft® Exchange Server 2016 (jusqu'à CU21)
• Microsoft® Exchange Server 2019 (jusqu'à CU10)
Les mises à jour cumulatives (CU) qui prennent en charge
.NET Framework 4.7.2 sont indiquées entre parenthèses.
Pour en savoir plus, consultez les pages d'assistance
Microsoft.
Remarque : Microsoft Exchange
Server 2013 SP1 nécessite un correctif
spécifique,qui permet d'installer correctement les
agents de transport tiers ou personnalisés. Le
correctif et les instructions d'installation sont
disponibles dans l'article 2938053 de la Base de
connaissances de Microsoft.
Versions de Microsoft SharePoint Server prises en charge : • Microsoft SharePoint 2013 avec le dernier Service Pack
• Microsoft SharePoint 2016
• Microsoft SharePoint 2019
Serveurs Terminal Server pris en charge : • Services Windows Terminal/Bureau à distance (sur les
plateformes Windows Server mentionnées ci-dessus)
Espace disque pour le traitement : 10 Go ou plus. L'espace disque requis dépend du nombre
de boîtes aux lettres, de la quantité de trafic de données et
de la taille du Stockage d'informations.
Connexion Internet : Requis pour recevoir des mises à jour et utiliser le Security
Cloud
Navigateur Web : • Microsoft Internet Explorer 11 / Microsoft Edge (versions
à jour)
• Mozilla Firefox (versions à jour)
• Google Chrome (versions à jour)
Pour utiliser Email Quarantine Manager, Microsoft Internet Information Server doit s'exécuter dans votre environnement.
Cette fonctionnalité est disponible dans Microsoft Exchange Server.
Environnements de cluster
La version actuelle du produit prend en charge les solutions haute disponibilité Microsoft Exchange
Server 2013, 2016 et 2019 basées sur les groupes de disponibilité de base de données (DAG).
3.2 Configuration réseau requise pour F-Secure Email and Server Security
Cette configuration réseau est valide pour tous les scénarios décrits dans ce chapitre.
Vérifiez que le trafic réseau suivant peut être acheminé :F-Secure Email and Server Security | 23
Service Processus Ports entrants Ports sortants
25023
F-Secure Email and Server Processus de travail DNS (53, UDP et TCP), 1433
Security WebUI IIS/W3wp.exe (TCP), uniquement avec le
serveur SQL dédié
-
Processus hôte F-Secure %ProgramFiles%\F-Secure\Email DNS (53, UDP et TCP), HTTP
and Server (80), HTTPS (443) ou tout
Security\fshoster32.exe autre port utilisé pour le
proxy HTTP(S)
-
Gestionnaire de quarantaine %ProgramFiles%\F-Secure\Email DNS (53, UDP/TCP), 1433
F-Secure and Server (TCP), uniquement avec le
Security\Anti-Virus For serveur SQL dédié
Microsoft
Services\F-Secure.Ess.Fqm.exe
-
Client F-Secure ORSP %ProgramFiles%\F-Secure\Email DNS (53, UDP/TCP), HTTP
and Server (80) ou tout autre port utilisé
Security\Ultralight\ulcore\\fsorsp64.exe
-
F-Secure Software Updater. %ProgramFiles%\F-Secure\Email DNS (53, UDP/TCP), HTTPS
and Server (443), HTTP (80) ou tout
Security\swup\fssua.exe autre port utilisé pour le
proxy HTTP
3.3 Configuration requise pour l'administration centralisée
F-Secure Policy Manager 15.20 est requis pour gérer de manière centralisée F-Secure Email and Server Security version
15.x.
Si vous utilisez une version précédente de F-Secure Policy Manager, effectuez la mise à niveau vers la dernière version
avant d'installer le produit.
3.4 Autres exigences relatives aux composants du système
F-Secure Email and Server Security a besoin de Microsoft SQL Server pour pouvoir gérer le répertoire de quarantaine.
Selon la méthode de déploiement et d'administration sélectionnée, d'autres logiciels peuvent être requis.
3.4.1 Configuration requise pour SQL Server
Le produit nécessite Microsoft SQL Server pour la gestion de la quarantaine.
Les versions suivantes de Microsoft SQL Server sont recommandées :
• Microsoft SQL Server 2008 (édition Enterprise, Standard, Workgroup ou Express)
• Microsoft SQL Server 2008 R2 (édition Enterprise, Standard, Workgroup ou Express)
• Microsoft SQL Server 2012 (édition Entreprise, Business Intelligence, Standard ou Express)
• Microsoft SQL Server 2014
• Microsoft SQL Server 2016
• Microsoft SQL Server 2017
• Microsoft SQL Server 201924 | Configuration système requise
Important : Nous ne recommandons pas d'utiliser MSDE ou Microsoft SQL Server Express Edition avec la gestion
centralisée de la quarantaine ou si votre entreprise envoie et reçoit une grande quantité d'e-mails.
Quelle version de SQL Server utiliser pour la base de données de quarantaine ?
La base de données de quarantaine doit au moins pouvoir stocker les informations relatives aux messages entrants et
sortants de votre entreprise sur une période de 2 à 3 jours.
L'installation de la mise à niveau ne met pas à niveau SQL Server si vous choisissez d'utiliser la base de données existante.
De son côté, la mise à niveau à distance n'installe ni ne met à niveau SQL Server, et ne modifie pas non plus la base de
données de quarantaine.
Si vous souhaitez mettre à niveau la version de SQL Server que vous utilisez, suivez les recommandations du site Web de
Microsoft : http://www.microsoft.com/sqlserver/en/us/default.aspx
Important : Si vous exécutez une version précédente de F-Secure E-mail and Server Security et utilisez Microsoft
SQL Server 2005 pour la quarantaine, mettez à jour Microsoft SQL Server vers la version 2008 R2 ou une version
ultérieure avant de mettre à jour F-Secure E-mail and Server Security.
Tenez compte des considérations spécifiques suivantes relatives à SQL server lors du choix du SQL server à utiliser :
Microsoft SQL Server Express
• Si vous utilisez Microsoft SQL Server Express Edition, la taille de la base de données de quarantaine est limitée à 10 Go.
• Nous déconseillons d'utiliser Microsoft SQL Server Express Edition si vous prévoyez d'utiliser la gestion centralisée
de la quarantaine avec plusieurs installations du produit.
Microsoft SQL Server
• Si votre entreprise envoie et reçoit de grandes quantités de courrier électronique, nous recommandons d'utiliser la
version sous licence de Microsoft SQL Server.
• Nous recommandons d'utiliser Microsoft SQL Server si vous prévoyez d'utiliser la gestion centralisée de la quarantaine
avec plusieurs installations du produit.
• Notez que le produit ne prend pas en charge l'authentification Windows pour la connexion à Microsoft SQL Server.
Le serveur Microsoft SQL Server utilisé par le produit pour la base de données de quarantaine doit être configuré pour
utiliser l'authentification mixte.
Remarque : Si vous prévoyez d'utiliser Microsoft SQL Server, vous devez l'acheter et obtenir votre propre
licence avant de déployer le produit. Pour acheter Microsoft SQL Server, contactez votre revendeur Microsoft.
3.4.2 Configuration requise pour le moteur de recherche de courrier indésirable
Pour utiliser le moteur de détection de courriers indésirables, vous devez modifier les règles de pare-feu.
Autorisez les connexions HTTPS sortantes à aspam.sp.f-secure.com (port TCP 443).
Remarque : Si vous préférez ne pas modifier ces règles, vous pouvez également utiliser un proxy HTTPS CONNECT.
Test de connectivité cloud
Pour que le moteur puisse faire quelque chose d'utile, il doit pouvoir se connecter au service cloud. Pour vérifier que la
connexion fonctionne correctement, vous pouvez tenter de récupérer une URL à partir du serveur de détection cloud
par d'autres moyens.
Si vous pouvez vous connecter avec succès à https://aspam.sp.f-secure.com/bdnc/config et récupérez un morceau de
JSON, la connexion fonctionne. Sinon, vous avez un problème de réseau.
Si la connexion échoue, vous devez autoriser *.f-secure.com et *.fsapi.com sur votre pare-feu.
3.4.3 Configuration système requise pour l'interface utilisateur Web
Le rôle de serveur Web (IIS) est requis pour l'exécution de l'interface utilisateur Web.
Procédez comme suit :F-Secure Email and Server Security | 25 • Vérifiez que le Contenu statique La fonctionnalité Windows est activée. • Vérifiez que le Authentification Windows La fonctionnalité Windows est activée.
26 | Installation
Chapitre
4
Installation
Sujets :
• Installation locale du produit
• Mise à niveau à partir de la
précédente version de F-Secure Email
and Server Security
• Désinstallation du produitF-Secure Email and Server Security | 27
4.1 Installation locale du produit
Pour installer le produit, procédez comme suit.
Utilisez un compte d'utilisateur qui répond aux conditions suivantes pour l'installation :
Microsoft Exchange
• Le compte doit appartenir au groupe Administrateurs local.
• Le compte doit disposer des autorisations d'ajout et de configuration des applications dans le dossier Program
Files.
• Le compte doit disposer des autorisations d'installation et de configuration des services locaux.
• Le compte doit disposer de l'autorisation d'exécution des scripts PowerShell.
• Le compte doit appartenir au groupe de rôles Gestion de l'organisation. Il peut être ajouté dans le groupe de sécurité
Microsoft Exchange ou via Centre d'administration Exchange > Autorisations.
• Le compte doit disposer de l'autorisation Se connecter en tant que service.
• L'utilisateur doit être membre du Administrateurs groupe et avoir la permission d'accéder et de modifier les éléments
dans les dossiers publics
Microsoft SharePoint
• Le compte doit appartenir au groupe Administrateurs local.
• Pour effectuer une analyse et accéder au service (les identifiants sont saisis au cours de l'installation ou via l'outil de
configuration à l'issue de cette dernière) :
• Le compte doit appartenir au groupe SharePoint Administrateurs de batterie.
• Le compte doit disposer de l'autorisation Se connecter en tant que service.
1. Téléchargez le fichier d'installation exporté depuis F-Secure Policy Manager.
2. Exécutez le fichier d'installation pour commencer l'installation.28 | Installation
3. Lorsque vous installez le composant Microsoft SharePoint, saisissez les détails du compte qui le gère. Ce compte doit
disposer des autorisations d'administration locales sur le serveur SharePoint.
4. Au moment d'installer le composant Microsoft Exchange, commencez par définir votre configuration SQL Server.F-Secure Email and Server Security | 29 Cliquez sur Parcourir pour sélectionner le serveur dans une liste d'options détectées automatiquement. 5. Saisissez le nom de la base de données de quarantaine.
30 | Installation
Si le nom de base de données que vous avez saisi existe déjà, choisissez la façon dont vous souhaitez procéder.
6. Saisissez les informations d'identification utilisateur à utiliser pour accéder à la base de données de quarantaine.F-Secure Email and Server Security | 31
7. Sélectionnez la façon dont vous souhaitez gérer la quarantaine.
• Si vous souhaitez gérer localement la base de données de quarantaine, sélectionnez Gestion locale de la
quarantaine.
• Sélectionnez Gestion centralisée de la quarantaine si vous avez installé le produit sur plusieurs serveurs.
8. Saisissez le chemin d'accès au répertoire de quarantaine.32 | Installation
9. Sélectionnez un certificat.
10. Saisissez les détails d'un compte de gestion Exchange.
Remarque : L'utilisateur doit être membre du Administrateurs groupe et ont la permission d'accéder et
de modifier les éléments dans les dossiers publics.
Remarque : Cet utilisateur est utilisé dans le service d'analyse du stockage. Par conséquent, nous vous
recommandons de créer un nouvel utilisateur partagé par l'entreprise pour ce service.
11. Cliquez sur Terminé pour terminer l'installation.
Dans certains cas, il peut être nécessaire de redémarrer l'ordinateur pour terminer l'installation. Nous vous
recommandons de redémarrer le serveur dès que possible, car le produit ne protège pas le serveur tant que celui-ci
n'a pas redémarré.
Remarque : Après avoir installé le produit sur Windows Server 2016 ou une version ultérieure, vous devez
désactiver explicitement ou désinstaller Windows Defender.F-Secure Email and Server Security | 33
Si vous avez besoin de reconfigurer les produits, lancez l'assistant de configuration avec l'outil suivant à l'aide d'un compte
d'administrateur Windows : C:\Program Files (x86)\F-Secure\Email and Server
Security\ui\F-Secure.Ess.Config.exe.
4.2 Mise à niveau à partir de la précédente version de F-Secure Email and Server
Security
Pour mettre le produit à niveau, vous pouvez utiliser le package d'installation MSI ou exécuter l'opération depuis Policy
Manager.
Remarque : Lors des mises à niveau, le produit redémarre IIS sur les serveurs dotés de SharePoint et Microsoft
Exchange Transport pour enregistrer le nouveau scanner et le nouvel agent de transport.
Important : Pour définir les informations d'identification de l'utilisateur pour le service ODS, l'outil F-Secure
Config doit être démarré localement après la mise à niveau d'une ancienne version vers la version 15.10 de Email
and Server Security (mises à niveau locales et basées sur des stratégies). Le chemin vers l'outil de
configuration : \Email and Server
Security\ui\F-Secure.ESS.Config.exe.
Méthodes de mise à niveau prises en charge
Pour Microsoft Exchange :
• Mise à niveau locale avec MSI
• Mise à niveau locale silencieuse avec MSI
• Mise à niveau fondée sur la stratégie depuis Policy Manager
Remarque : Utilisez toujours le lien Mettre à niveau dans Policy Manager Console pour les mises à niveau
fondées sur la stratégie.
Pour Microsoft SharePoint :
• Mise à niveau locale avec MSI
• Mise à niveau locale silencieuse avec MSI
Remarque : Les mises à niveau fondées sur la stratégie ne sont pas prises en charge pour la protection de
Microsoft SharePoint.
4.3 Désinstallation du produit
Vous pouvez désinstaller le produit via le panneau de configuration Windows.
Pour désinstaller le produit :
1. Accédez à Panneau de configuration Windows > Programmes et fonctionnalités.
2. Sélectionnez F-Secure Email and Server Security Premium (standard), puis cliquez sur Désinstaller.
Remarque : Certains fichiers et répertoires peuvent être toujours présents après la désinstallation, et vous
pouvez les supprimer manuellement.34 | Configuration du produit
Chapitre
5
Configuration du produit
Sujets : Le produit utilise principalement les paramètres par défaut après l'installation et
la première mise à jour. Nous vous recommandons de passer en revue l'ensemble
• Configuration du réseau des paramètres des composants installés.
• Configuration de F-Secure Spam
Le produit n'est entièrement fonctionnel qu'après la première mise à jour
Control
automatique. La première mise à jour peut prendre plus de temps que les
suivantes.
1. Ouvrez la console Web pour configurer les paramètres du produit.
2. Si vous prévoyez de gérer le produit avec d'autres ordinateurs via la console
Web, suivez les instructions indiquées sous Autoriser les hôtes à accéder à la
console Web page 14 .
3. Spécifiez les adresses IP des hôtes appartenant à votre entreprise. Pour en
savoir plus, consultez Configuration du réseau page 35 .
4. Vérifiez que le produit est capable de récupérer les mises à jour de la base de
données des définitions de virus et de courrier indésirable.
Si nécessaire, reconfigurez le pare-feu et les autres dispositifs susceptibles
de bloquer le téléchargement des bases de données. Pour en savoir plus, voir
Configuration réseau requise pour F-Secure Email and Server Security page
22 .
5. Si l'entreprise dispose de plusieurs installations de Microsoft Exchange Server
et si les serveurs de messagerie sont déployés sur des serveurs dédiés, vous
devez configurer les serveurs Hub et de messagerie de sorte que les messages
en quarantaine puissent être transmis.F-Secure Email and Server Security | 35
5.1 Configuration du réseau
Lorsque vous spécifiez les adresses IP des hôtes appartenant à votre entreprise, le produit peut utiliser différents paramètres
pour gérer les messages entrants, sortants et internes.
Déterminez l'acheminement des messages comme suit :
1. Configurez la direction des messages à l'aide de la console Web.
L'acheminement des messages se base sur les paramètres Domaines internes et Expéditeurs SMTP internes.
2. Spécifiez les adresses électroniques internes.
Un message électronique est considéré comme interne s'il provient d'un expéditeur SMTP interne et si les destinataires
appartiennent à l'un des domaines internes spécifiés (destinataires internes).
a) Spécifiez les Domaines internes et séparez chaque nom de domaine par un espace. Vous pouvez utiliser une
astérisque (*) en guise de caractère générique. Par exemple, *exemple.com interne.exemple.net.
b) Spécifiez tous les hôtes de l'entreprise qui envoient des message aux serveurs Exchange Edge ou Hub via SMTP
en tant qu'Expéditeurs SMTP internes.
Séparez chaque adresse IP par un espace. Voici comment définir une plage d'adresses IP :
• une paire réseau/masque de réseau (par exemple, 10.1.0.0/255.255.0.0),
• une spécification CIDR réseau/nnn (par exemple, 10.1.0.0/16), ou
• Adresse IPv6 (par exemple, 1::, 2001::765d 2001::0-5, 2001:db8:abcd:0012::0/64, 2001:db8:abcd:abcd::/52, ::1).
Vous pouvez utiliser une astérisque (*) pour remplacer un nombre quelconque ou un tiret (-) pour définir une
plage de nombres.
Remarque : Si les utilisateurs finaux de l'organisation utilisent un client de messagerie électronique différent
de Microsoft Outlook pour l'envoi et la réception de messages, il est recommandé de spécifier leurs postes
de travail en tant qu'expéditeurs SMTP internes.
Remarque : Si l'organisation possède des serveurs Exchange Edge et Hub, le serveur Hub doit être ajouté à
l'expéditeur SMTP interne sur le serveur Edge.
Remarque : Ne spécifiez pas le serveur Edge en tant qu'expéditeur SMTP interne.
3. Spécifiez les messages électroniques sortants.
Un message électronique est considéré comme sortant s'il provient d'un hôte expéditeur SMTP interne et si les
destinataires n'appartiennent à aucun des domaines internes spécifiés (destinataires externes).
4. Spécifiez les messages électroniques entrants.
Un message électronique provenant d'un hôte non défini en tant qu'expéditeur SMTP interne est considéré comme
entrant.
5. Les messages électroniques soumis via MAPI ou le dossier Pickup sont traités comme s'ils étaient envoyés par l'hôte
expéditeur SMTP interne.
Remarque : Si des messages électroniques proviennent d'hôtes expéditeur SMTP internes et contiennent
des destinataires internes et externes, ils sont alors respectivement divisés et traités en tant que messages
internes et sortants.
5.2 Configuration de F-Secure Spam Control
Lorsque F-Secure Spam Control est activé, les messages entrants considérés comme indésirables peuvent être marqués
automatiquement en tant que tels.
Pour marquer des messages comme indésirables, le produit ajoute un X en en-tête avec l'indicateur de courrier indésirable
ou un texte prédéfini dans l'en-tête du message, afin que les utilisateurs finaux puissent créer des règles de filtrage qui
renvoient le courrier indésirable vers un dossier spécifique.Vous pouvez aussi lire
