{"id":23455,"date":"2025-12-13T18:11:00","date_gmt":"2025-12-13T16:11:00","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23455"},"modified":"2025-12-12T18:11:42","modified_gmt":"2025-12-12T16:11:42","slug":"exchange-se-hardening-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/exchange-se-hardening-2026\/23455\/","title":{"rendered":"Renforcement des serveurs Exchange"},"content":{"rendered":"<p>Peu d\u2019experts en cybers\u00e9curit\u00e9 contesteraient le fait que les attaques contre les serveurs Microsoft Exchange doivent \u00eatre consid\u00e9r\u00e9es comme in\u00e9vitables et que le risque de compromission reste constamment \u00e9lev\u00e9. En octobre, Microsoft a <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/released-october-2025-exchange-server-security-updates\/4461276\" target=\"_blank\" rel=\"noopener nofollow\">mis fin au support d\u2019Exchange Server 2019<\/a>, faisant d\u2019Exchange Server Subscription Edition (<a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/upgrading-your-organization-from-current-versions-to-exchange-server-se\/4241305\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE<\/a>) la seule solution sur site prise en charge pour 2026. Malgr\u00e9 cela, de nombreuses organisations continuent d\u2019utiliser Exchange Server 2016, 2013 et m\u00eame des versions encore plus anciennes.<\/p>\n<p>Pour les cybercriminels, Exchange est une cible irr\u00e9sistible. Sa popularit\u00e9, sa complexit\u00e9, la multitude de param\u00e8tres disponibles et, surtout, son accessibilit\u00e9 depuis des r\u00e9seaux externes le rendent vuln\u00e9rable \u00e0 un large \u00e9ventail d\u2019attaques\u00a0:<\/p>\n<ul>\n<li>Infiltration des bo\u00eetes de messagerie via des attaques par <a href=\"https:\/\/www.forbes.com\/sites\/daveywinder\/2025\/06\/13\/microsoft-users-warned-of-ongoing-password-spraying-attack---act-now\/\" target=\"_blank\" rel=\"noopener nofollow\">pulv\u00e9risation de mots de passe<\/a> ou spearphishing<\/li>\n<li>Compromission de compte via des protocoles d\u2019authentification obsol\u00e8tes<\/li>\n<li>Vol d\u2019emails sp\u00e9cifiques par l\u2019injection de r\u00e8gles de flux de messagerie malveillantes via Exchange Web Services<\/li>\n<li><a href=\"https:\/\/securelist.com\/analysis-of-attack-samples-exploiting-cve-2023-23397\/110202\/\" target=\"_blank\" rel=\"noopener\">D\u00e9tournement<\/a> des jetons d\u2019authentification des employ\u00e9s ou <a href=\"https:\/\/www.kaspersky.com\/blog\/cve-2024-49040-email-spoofing-protection\/52699\/\" target=\"_blank\" rel=\"noopener nofollow\">falsification de messages<\/a> en exploitant les failles de l\u2019infrastructure de traitement des emails Exchange<\/li>\n<li>Exploitation des vuln\u00e9rabilit\u00e9s Exchange en vue d\u2019<a href=\"https:\/\/securelist.com\/toddycat\/106799\/\" target=\"_blank\" rel=\"noopener\">ex\u00e9cuter un code arbitraire<\/a> (d\u00e9ploiement de shells Web) sur le serveur<\/li>\n<li>Mouvement lat\u00e9ral et compromission du serveur, o\u00f9 le serveur Exchange <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/pst-want-shell-proxyshell-exploiting-microsoft-exchange-servers\" target=\"_blank\" rel=\"noopener nofollow\">devient un point d\u2019ancrage pour la reconnaissance du r\u00e9seau<\/a>, l\u2019h\u00e9bergement de programmes malveillants et la tunnellisation du trafic<\/li>\n<li>Exfiltration d\u2019emails \u00e0 long terme via des dispositifs sp\u00e9cialis\u00e9s pour Exchange<\/li>\n<\/ul>\n<p>Pour bien comprendre la complexit\u00e9 et la diversit\u00e9 des attaques Exchange, il est utile de passer en revue les recherches men\u00e9es sur les menaces <a href=\"https:\/\/securelist.com\/ghostcontainer\/116953\/\" target=\"_blank\" rel=\"noopener\">GhostContainer<\/a>, <a href=\"https:\/\/securelist.com\/owowa-credential-stealer-and-remote-access\/105219\/\" target=\"_blank\" rel=\"noopener\">Owowa<\/a>, <a href=\"https:\/\/securelist.com\/cve-2022-41040-and-cve-2022-41082-zero-days-in-ms-exchange\/108364\/\" target=\"_blank\" rel=\"noopener\">ProxyNotShell<\/a> et <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-powerexchange-malware-backdoors-microsoft-exchange-servers\/\" target=\"_blank\" rel=\"noopener nofollow\">PowerExchange<\/a>.<\/p>\n<p>Il est possible de compliquer la t\u00e2che des pirates informatiques qui chercheraient \u00e0 compromettre Exchange et de r\u00e9duire l\u2019impact d\u2019une attaque fructueuse, mais il faut pour cela mettre en \u0153uvre toute une s\u00e9rie de mesures, allant de simples modifications de configuration \u00e0 des migrations laborieuses de protocoles d\u2019authentification. Une analyse conjointe des mesures de d\u00e9fense prioritaires a <a href=\"https:\/\/www.cisa.gov\/resources-tools\/resources\/microsoft-exchange-server-security-best-practices\" target=\"_blank\" rel=\"noopener nofollow\">r\u00e9cemment \u00e9t\u00e9 publi\u00e9e<\/a> par le CISA, le Centre canadien pour la cybers\u00e9curit\u00e9 et d\u2019autres organismes de r\u00e9glementation en mati\u00e8re de cybers\u00e9curit\u00e9. Alors, comment renforcer la s\u00e9curit\u00e9 de votre serveur Exchange sur site\u00a0?<\/p>\n<h2>Migration depuis les versions en fin de vie<\/h2>\n<p>Microsoft et le CISA recommandent tous deux de passer \u00e0 <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/upgrading-your-organization-from-current-versions-to-exchange-server-se\/4241305\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE<\/a> afin de b\u00e9n\u00e9ficier \u00e0 temps des mises \u00e0 jour de s\u00e9curit\u00e9. Pour les organisations incapables d\u2019effectuer la transition imm\u00e9diatement, un abonnement payant aux mises \u00e0 jour de s\u00e9curit\u00e9 \u00e9tendues (ESU) est disponible pour les versions 2016 et 2019. Microsoft souligne que la mise \u00e0 niveau de 2016 ou 2019 vers Exchange SE est comparable en termes de complexit\u00e9 \u00e0 l\u2019installation d\u2019une mise \u00e0 jour cumulative standard.<\/p>\n<p>Si, pour une raison quelconque, il est n\u00e9cessaire de continuer \u00e0 utiliser une version non prise en charge, celle-ci doit \u00eatre compl\u00e8tement isol\u00e9e des r\u00e9seaux internes et externes. Tout le flux de messagerie doit \u00eatre achemin\u00e9 via une <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-security-appliance?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">passerelle de s\u00e9curit\u00e9<\/a> sp\u00e9cialement configur\u00e9e.<\/p>\n<h2>Mises \u00e0 jour r\u00e9guli\u00e8res<\/h2>\n<p>Microsoft publie deux mises \u00e0 jour cumulatives (CU) par an, ainsi que des correctifs de s\u00e9curit\u00e9 mensuels. Une t\u00e2che essentielle pour les administrateurs Exchange consiste \u00e0 mettre en place un processus permettant de d\u00e9ployer rapidement ces mises \u00e0 jour, car les cybercriminels n\u2019h\u00e9sitent pas \u00e0 exploiter les vuln\u00e9rabilit\u00e9s connues. Vous pouvez suivre le calendrier de publication et le contenu de ces mises \u00e0 jour sur la <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/new-features\/build-numbers-and-release-dates\" target=\"_blank\" rel=\"noopener nofollow\">page officielle de Microsoft<\/a>. Pour v\u00e9rifier l\u2019\u00e9tat de sant\u00e9 et le statut des mises \u00e0 jour de votre installation Exchange, utilisez des outils comme <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Setup\/SetupAssist\/\" target=\"_blank\" rel=\"noopener nofollow\">SetupAssist<\/a> et <a href=\"https:\/\/aka.ms\/ExchangeHealthChecker\" target=\"_blank\" rel=\"noopener nofollow\">Exchange Health Checker<\/a>.<\/p>\n<h2>Mesures d\u2019att\u00e9nuation d\u2019urgence<\/h2>\n<p>Pour les vuln\u00e9rabilit\u00e9s critiques activement exploit\u00e9es, des conseils d\u2019att\u00e9nuation temporaires sont g\u00e9n\u00e9ralement publi\u00e9s sur le <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/bg-p\/Exchange\" target=\"_blank\" rel=\"noopener nofollow\">blog Exchange<\/a> et sur la page des <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-emergency-mitigation-service\" target=\"_blank\" rel=\"noopener nofollow\">mesures d\u2019att\u00e9nuation Exchange<\/a>. Le service Emergency Mitigation (EM) doit \u00eatre activ\u00e9 sur vos serveurs de messagerie Exchange. Le service EM se connecte automatiquement au service Office Config afin de t\u00e9l\u00e9charger et d\u2019appliquer les r\u00e8gles d\u2019att\u00e9nuation pr\u00e9vues en cas de menaces urgentes. Ces mesures permettent de d\u00e9sactiver rapidement les services vuln\u00e9rables et de bloquer les requ\u00eates malveillantes \u00e0 l\u2019aide des r\u00e8gles de r\u00e9\u00e9criture d\u2019URL dans <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Internet_Information_Services\" target=\"_blank\" rel=\"noopener nofollow\">IIS<\/a>.<\/p>\n<h2>Bases s\u00e9curis\u00e9es<\/h2>\n<p>Il convient d\u2019appliquer un ensemble uniforme de configurations optimis\u00e9es pour les besoins de l\u2019organisation non seulement aux serveurs Exchange, mais \u00e9galement aux clients de messagerie sur l\u2019ensemble des plateformes et leurs syst\u00e8mes d\u2019exploitation sous-jacents.<\/p>\n<p>\u00c9tant donn\u00e9 que les bases recommand\u00e9es en mati\u00e8re de s\u00e9curit\u00e9 diff\u00e8rent selon les syst\u00e8mes d\u2019exploitation et les versions d\u2019Exchange, le guide du CISA fait r\u00e9f\u00e9rence aux <a href=\"https:\/\/downloads.cisecurity.org\/#\/\" target=\"_blank\" rel=\"noopener nofollow\">benchmarks CIS<\/a> et aux instructions <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/microsoft-365-apps\/security\/security-baseline\" target=\"_blank\" rel=\"noopener nofollow\">Microsoft<\/a>, qui sont largement utilis\u00e9s et disponibles gratuitement. Le dernier benchmark CIS a \u00e9t\u00e9 cr\u00e9\u00e9 pour Exchange 2019, mais il est \u00e9galement enti\u00e8rement applicable \u00e0 Exchange SE, car l\u2019\u00e9dition Subscription Edition actuelle est semblable \u00e0 Exchange Server 2019 CU15 pour ce qui est des options configurables.<\/p>\n<h2>Solutions de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9es<\/h2>\n<p>Une erreur critique commise par de nombreuses organisations consiste \u00e0 ne pas installer d\u2019agents EDR et EPP sur leurs serveurs Exchange. Pour emp\u00eacher l\u2019exploitation des vuln\u00e9rabilit\u00e9s et l\u2019ex\u00e9cution de shells Web, le serveur doit \u00eatre prot\u00e9g\u00e9 par une solution de s\u00e9curit\u00e9 comme <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/endpoint-detection-response-edr?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Detection and Response<\/a>. Exchange Server s\u2019int\u00e8gre \u00e0 l\u2019interface <a href=\"https:\/\/support.kaspersky.com\/KESWin\/12.5\/fr-FR\/173854.htm\" target=\"_blank\" rel=\"noopener\">AMSI (Antimalware Scan Interface)<\/a>, qui permet aux outils de s\u00e9curit\u00e9 de traiter efficacement les \u00e9v\u00e9nements c\u00f4t\u00e9 serveur.<\/p>\n<p>La mise sur liste d\u2019autorisation des applications peut consid\u00e9rablement entraver les tentatives des pirates visant \u00e0 exploiter les vuln\u00e9rabilit\u00e9s d\u2019Exchange. Cette fonctionnalit\u00e9 est int\u00e9gr\u00e9e par d\u00e9faut dans la plupart des solutions EPP avanc\u00e9es. Toutefois, si vous devez la mettre en \u0153uvre \u00e0 l\u2019aide d\u2019outils Windows natifs, vous pouvez restreindre les applications non fiables via App Control for Business ou AppLocker.<\/p>\n<p>Pour prot\u00e9ger les employ\u00e9s et leurs machines, le serveur doit utiliser une solution du type <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-server?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_link____mailserver___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Mail Server<\/a> afin de filtrer le trafic de messagerie. Cela r\u00e9pond \u00e0 plusieurs d\u00e9fis pour lesquels la version sur site d\u2019Exchange, en configuration standard, ne dispose pas des outils n\u00e9cessaires, comme l\u2019authentification de l\u2019exp\u00e9diteur via les protocoles SPF, DKIM et DMARC, ou la protection contre le spam sophistiqu\u00e9 et le phishing cibl\u00e9.<\/p>\n<p>Si, pour une raison quelconque, un EDR complet n\u2019est pas d\u00e9ploy\u00e9 sur le serveur, il est essentiel d\u2019activer au moins l\u2019antivirus par d\u00e9faut et de s\u2019assurer que la r\u00e8gle <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/defender-endpoint\/attack-surface-reduction-rules-reference\" target=\"_blank\" rel=\"noopener nofollow\">ASR (Attack Surface Reduction)<\/a> \u00ab\u00a0Bloquer la cr\u00e9ation de webshells pour les serveurs\u00a0\u00bb est activ\u00e9e.<\/p>\n<p>Pour \u00e9viter toute d\u00e9gradation des performances du serveur lors de l\u2019ex\u00e9cution de l\u2019antivirus par d\u00e9faut, Microsoft <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/antispam-and-antimalware\/windows-antivirus-software\" target=\"_blank\" rel=\"noopener nofollow\">recommande<\/a> d\u2019exclure certains fichiers et dossiers des analyses.<\/p>\n<h2>Limitation de l\u2019acc\u00e8s administratif<\/h2>\n<p>Les pirates informatiques \u00e9l\u00e8vent souvent leurs privil\u00e8ges en abusant de l\u2019acc\u00e8s au Centre d\u2019administration Exchange (EAC) et \u00e0 la commande \u00e0 distance PowerShell. Les meilleures pratiques recommandent de rendre ces outils accessibles uniquement \u00e0 partir d\u2019un nombre fixe de postes de travail \u00e0 acc\u00e8s privil\u00e9gi\u00e9 (PAW). Cette mesure peut \u00eatre appliqu\u00e9e via les r\u00e8gles de pare-feu sur les serveurs Exchange eux-m\u00eames ou \u00e0 l\u2019aide d\u2019un pare-feu. Les <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/clients\/client-access-rules\/client-access-rules\" target=\"_blank\" rel=\"noopener nofollow\">r\u00e8gles d\u2019acc\u00e8s client<\/a> int\u00e9gr\u00e9es \u00e0 Exchange peuvent \u00e9galement offrir une utilit\u00e9 limit\u00e9e dans ce sc\u00e9nario, mais elles ne peuvent pas contrer les abus de PowerShell.<\/p>\n<h2>Adoption de Kerberos et SMB au lieu de NTLM<\/h2>\n<p>Microsoft supprime progressivement les anciens protocoles r\u00e9seau et d\u2019authentification. Les installations Windows modernes d\u00e9sactivent les protocoles SMBv1 et NTLMv1 par d\u00e9faut, et les versions futures devraient d\u00e9sactiver le protocole NTLMv2. \u00c0 partir d\u2019<a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/exchange-server-roadmap-update\/4132742\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE CU1<\/a>, le protocole NTLMv2 sera remplac\u00e9 par Kerberos, mis en \u0153uvre \u00e0 l\u2019aide de MAPI sur HTTP, comme protocole d\u2019authentification par d\u00e9faut.<\/p>\n<p>Les \u00e9quipes informatiques et de s\u00e9curit\u00e9 se doivent de proc\u00e9der \u00e0 un audit approfondi de l\u2019utilisation des protocoles h\u00e9rit\u00e9s au sein de leur infrastructure et d\u2019\u00e9laborer un plan de migration vers des m\u00e9thodes d\u2019authentification modernes et plus s\u00e9curis\u00e9es.<\/p>\n<h2>M\u00e9thodes d\u2019authentification modernes<\/h2>\n<p>\u00c0 partir d\u2019Exchange 2019 CU13, les clients peuvent combiner le protocole OAuth 2.0, une authentification \u00e0 plusieurs facteurs et le service ADFS pour renforcer l\u2019authentification serveur. Ce mod\u00e8le est appel\u00e9 \u00ab\u00a0<a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">authentification moderne<\/a>\u00a0\u00bb ou \u00ab\u00a0Modern Auth\u00a0\u00bb en abr\u00e9g\u00e9. De cette mani\u00e8re, un utilisateur ne peut acc\u00e9der \u00e0 une bo\u00eete aux lettres qu\u2019apr\u00e8s avoir r\u00e9ussi l\u2019authentification \u00e0 plusieurs facteurs via ADFS, le serveur Exchange recevant alors un jeton d\u2019acc\u00e8s valide du serveur ADFS. Une fois que tous les utilisateurs ont migr\u00e9 vers Modern Auth, l\u2019authentification de base doit \u00eatre <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/disable-basic-authentication-on-exchange-server-virtual-directories\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9sactiv\u00e9e<\/a> sur le serveur Exchange.<\/p>\n<h2>Activation de la protection \u00e9tendue<\/h2>\n<p>La <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-extended-protection?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">protection \u00e9tendue<\/a> (EP) offre une protection contre les attaques par <a href=\"https:\/\/web.archive.org\/web\/20251010130732\/https:\/www.microsoft.com\/en-us\/msrc\/blog\/2024\/12\/mitigating-ntlm-relay-attacks-by-default\/\" target=\"_blank\" rel=\"noopener nofollow\">relais NTLM<\/a>, les attaques de type \u00ab\u00a0Adversary-in-the-Middle\u00a0\u00bb et autres techniques similaires. Elle renforce la s\u00e9curit\u00e9 du protocole TLS en utilisant un jeton de liaison de canal (CBT). Si un pirate vole des identifiants ou un jeton et tente de les utiliser dans une autre session TLS, le serveur met fin \u00e0 la connexion. Pour activer la protection \u00e9tendue, tous les serveurs Exchange doivent \u00eatre configur\u00e9s pour utiliser la m\u00eame version du protocole TLS.<\/p>\n<p>La protection \u00e9tendue est activ\u00e9e par d\u00e9faut sur les nouvelles installations de serveur \u00e0 partir d\u2019Exchange 2019 CU14.<\/p>\n<h2>Versions s\u00e9curis\u00e9es du protocole TLS<\/h2>\n<p>L\u2019ensemble de l\u2019infrastructure serveur, y compris tous les serveurs Exchange, doit \u00eatre configur\u00e9 pour utiliser la m\u00eame version du protocole TLS\u00a0: 1.2 ou, id\u00e9alement, 1.3. Microsoft fournit des <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-tls-configuration\" target=\"_blank\" rel=\"noopener nofollow\">conseils d\u00e9taill\u00e9s<\/a> sur la configuration optimale et les v\u00e9rifications pr\u00e9alables n\u00e9cessaires. Vous pouvez utiliser le script <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Diagnostics\/HealthChecker\/TLSConfigurationCheck\/\" target=\"_blank\" rel=\"noopener nofollow\">Health Checker<\/a> pour v\u00e9rifier l\u2019exactitude et l\u2019uniformit\u00e9 de ces param\u00e8tres.<\/p>\n<h2>HSTS<\/h2>\n<p>Pour vous assurer que toutes les connexions sont prot\u00e9g\u00e9es par le protocole TLS, vous devez \u00e9galement configurer le protocole HTTP Strict Transport Security (HSTS). Cette mesure permet de pr\u00e9venir certaines attaques AitM. Une fois que vous aurez configur\u00e9 Exchange Server conform\u00e9ment aux <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/configure-http-strict-transport-security-in-exchange-server\" target=\"_blank\" rel=\"noopener nofollow\">recommandations de Microsoft<\/a>, toutes les connexions \u00e0 Outlook sur le Web (OWA) et au Centre d\u2019administration Exchange seront chiffr\u00e9es.<\/p>\n<h2>T\u00e9l\u00e9chargement de domaines<\/h2>\n<p>La fonctionnalit\u00e9 <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-download-domains\" target=\"_blank\" rel=\"noopener nofollow\">T\u00e9l\u00e9chargement de domaines<\/a> offre une protection contre certaines attaques de falsification de requ\u00eates intersites et le vol de cookies en transf\u00e9rant les t\u00e9l\u00e9chargements de pi\u00e8ces jointes vers un domaine autre que celui qui h\u00e9berge Outlook sur le Web de l\u2019organisation. Cela s\u00e9pare le chargement de l\u2019interface utilisateur et de la liste des messages du t\u00e9l\u00e9chargement des pi\u00e8ces jointes.<\/p>\n<h2>Mod\u00e8le d\u2019administration bas\u00e9 sur les r\u00f4les<\/h2>\n<p>Exchange Server met en \u0153uvre un mod\u00e8le de contr\u00f4le d\u2019acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC) pour les utilisateurs privil\u00e9gi\u00e9s et les administrateurs. Le CISA constate que les comptes disposant de privil\u00e8ges d\u2019administrateur AD sont souvent \u00e9galement utilis\u00e9s pour g\u00e9rer Exchange. Dans une telle configuration, une compromission du serveur Exchange entra\u00eene imm\u00e9diatement une compromission de l\u2019ensemble du domaine. Il est donc essentiel d\u2019utiliser des <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/permissions\/split-permissions\/configure-exchange-for-split-permissions?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">autorisations s\u00e9par\u00e9es<\/a> et le mod\u00e8le RBAC pour s\u00e9parer la gestion d\u2019Exchange des autres privil\u00e8ges administratifs. Cette mesure permet de r\u00e9duire le nombre d\u2019utilisateurs et d\u2019administrateurs disposant de privil\u00e8ges trop \u00e9lev\u00e9s.<\/p>\n<h2>Signature de flux PowerShell<\/h2>\n<p>Les administrateurs utilisent fr\u00e9quemment des scripts PowerShell appel\u00e9s cmdlets pour modifier les param\u00e8tres et g\u00e9rer les serveurs Exchange via Exchange Management Shell (EMS). L\u2019acc\u00e8s \u00e0 distance \u00e0 PowerShell devrait de pr\u00e9f\u00e9rence \u00eatre d\u00e9sactiv\u00e9. Lorsque cette option est activ\u00e9e, les flux de donn\u00e9es de commande envoy\u00e9s au serveur doivent \u00eatre prot\u00e9g\u00e9s par des <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-serialization-payload-sign?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">certificats<\/a>. \u00c0 partir de novembre\u00a02023, ce param\u00e8tre sera activ\u00e9 par d\u00e9faut pour Exchange 2013, 2016 et 2019.<\/p>\n<h2>Protection des en-t\u00eates des messages \u00e9lectroniques<\/h2>\n<p>En novembre\u00a02024, Microsoft a introduit une protection renforc\u00e9e contre les attaques consistant \u00e0 falsifier les en-t\u00eates P2 FROM des emails, qui donnaient l\u2019impression aux victimes que les messages provenaient d\u2019un exp\u00e9diteur de confiance. Les nouvelles r\u00e8gles de d\u00e9tection signalent d\u00e9sormais les emails dont les en-t\u00eates sont susceptibles d\u2019avoir \u00e9t\u00e9 manipul\u00e9s. Les administrateurs <a href=\"https:\/\/learn.microsoft.com\/fr-fr\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-non-compliant-p2from-detection?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">ne doivent pas d\u00e9sactiver cette protection<\/a> et sont invit\u00e9s \u00e0 transmettre les emails suspects comportant l\u2019en-t\u00eate X-MS-Exchange-P2FromRegexMatch aux experts en s\u00e9curit\u00e9 pour une analyse plus approfondie.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Voici comment att\u00e9nuer les risques d&rsquo;attaques cibl\u00e9es sur les serveurs de messagerie de votre organisation.<\/p>\n","protected":false},"author":2722,"featured_media":23457,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9],"tags":[1135,3698,87,906,136,4091,204,31,89,322],"class_list":{"0":"post-23455","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-attaques-ciblees","9":"tag-bec","10":"tag-conseils","11":"tag-email","12":"tag-entreprise","13":"tag-exchange","14":"tag-menaces","15":"tag-microsoft","16":"tag-phishing","17":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-se-hardening-2026\/23455\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-se-hardening-2026\/29882\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-se-hardening-2026\/24962\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-se-hardening-2026\/29769\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-se-hardening-2026\/28827\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-se-hardening-2026\/31718\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-se-hardening-2026\/30373\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-se-hardening-2026\/40949\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-se-hardening-2026\/14096\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-se-hardening-2026\/54835\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-se-hardening-2026\/32989\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-se-hardening-2026\/35691\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-se-hardening-2026\/35319\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/email\/","name":"email"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23455"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23455\/revisions"}],"predecessor-version":[{"id":23459,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23455\/revisions\/23459"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23457"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}