La NSA et la CISA ont publié conjointement un guide de bonnes pratiques pour aider les administrateurs à renforcer la sécurité de leur serveur de messagerie Microsoft Exchange. Étant donné qu’il reste une cible privilégiée par les cybercriminels, ce document est le bienvenu. Voici les principales recommandations.

Ces dernières années, les serveurs Microsoft Exchange ont été au cœur de nombreuses campagnes d’attaques. On ne peut pas oublier l’exploitation des vulnérabilités ProxyLogon et ProxyShell, qui ont fait beaucoup de dégâts. Le serveur de messagerie, étant exposé sur Internet, il représente une cible idéale, car au-delà d’offrir un accès aux boîtes mail, il peut servir de point d’entrée pour accéder à d’autres serveurs internes.

Les recommandations pour sécuriser Exchange Server

Le nouveau guide de la NSA et de la CISA s’adresse à toutes les organisations qui ont un serveur Exchange on-premise (ou en mode hybride). Découvrons les principales recommandations présentées dans ce guide.

Adopter une posture préventive

• Appliquer les dernières mises à jour de sécurité

À juste titre, il est recommandé de veiller à ce que tous les serveurs Exchange fonctionnent avec leur version la plus récente via l’installation des Cumulative Updates (CU) et des correctifs de sécurité. Le guide rappelle qu’il y a 2 CU par an pour Exchange Server, ainsi que des correctifs de sécurité mensuels (hotfix).

• Utiliser une version supportée de Microsoft Exchange

N’utilisez pas en production de version non prise en charge (EOL), donc si c’est le cas, vous devez migrer vers une version plus récente ou une solution alternative. L’occasion de rappeler que la dernière version est Exchange Server SE et que deux versions ne sont plus supportées depuis le 14 octobre 2025 : Exchange Server 2016 et Exchange Server 2019. Les serveurs EOL doivent idéalement être isolés, ne pas être exposés directement à Internet.

• Exchange Emergency Mitigation

Garder activé le service Exchange Emergency Mitigation (EM) qui permet d’appliquer des règles d’atténuation en attendant un correctif de sécurité. Pour autant, il ne remplace pas les mises à jour de sécurité, mais il permet d’être très réactif, notamment via l’ajout de règles de réécritures dans IIS.

“EM est un service installé automatiquement sur les serveurs de boîtes aux lettres Exchange et nécessite une connectivité sortante avec Office Config Service (OCS) de Microsoft, basé sur le Cloud.“, précise le guide.

• Appliquer les Security Baselines

Le guide recommande d’appliquer les bonnes pratiques de sécurité en suivant un référentiel de type “Security Baselines“, que ce soit celui de Microsoft, du CIS ou encore de la DISA (Defense Information Systems Agency). À ce sujet, la NSA encourage les administrateurs à appliquer ces bonnes pratiques au niveau du serveur Exchange, mais aussi au niveau de Windows et des applications, en particulier la suite Microsoft Office. Grâce à la baseline, on peut détecter les configurations non conformes et corriger les écarts.

Voici la liste des ressources proposées dans le guide.

• Activer les protections intégrées

Il est recommandé d’utiliser une solution de sécurité adaptée, comme un EDR, mais aussi de s’appuyer sur les fonctions intégrées pour lutter contre les virus et malwares, comme : l’antivirus Microsoft Defender, Windows Antimalware Scan Interface (AMSI), la fonction de réduction de la surface d’attaque (ASR) et AppLocker / App Control for Business.

“Le contrôle des applications pour Windows (App Control for Business et AppLocker) est une fonction de sécurité importante qui renforce la sécurité des serveurs Exchange en contrôlant l’exécution du contenu exécutable. L’utilisation de ces fonctions de contrôle des applications permet de refuser de manière proactive toute exécution non approuvée, ce qui renforce la cybersécurité des serveurs Exchange.“, précise le guide.

• Restreindre l’accès à l’interface d’administration

Limitez l’accès aux consoles d’administration (Exchange Admin Center, Remote PowerShell) aux postes de travail dédiés. Cette restriction des accès s’effectue par l’intermédiaire de Client Access Rules.

“L’accès au site web EAC et à PowerShell à distance peut être limité par des règles de pare-feu sur le serveur Exchange, tout en autorisant les autres ports et protocoles nécessaires au flux de courrier et à l’accès des clients.“, peut-on lire.

Renforcer l’authentification et le chiffrement

• Configuration de TLS

La NSA et le CISA invitent tous les administrateurs à consulter cette documentation de Microsoft pour configurer correctement le TLS sur leur serveur Exchange. L’idée étant d’utiliser des versions de TLS adaptées face aux risques de sécurité actuels, tout en maximisant la compatibilité avec les clients.

Pour rappel, le support de TLS 1.3 a été introduit dans Exchange Server 2019 avec la CU15. Il est donc pris en charge nativement par Exchange Server SE.

• Configurer Extended Protection

La NSA recommande d’activer et de configurer la fonctionnalité Extended Protection pour renforcer la sécurité des communications HTTP entre les clients et les serveurs Exchange. Elle sert notamment à contrer certaines attaques Adversary-in-the-Middle, des attaques de type relais d’authentification (NTLM relay), qui exploitent le mécanisme d’authentification Windows pour usurper des identités et obtenir un accès non autorisé.

“Des paramètres TLS cohérents et des configurations NTLM sont nécessaires pour qu’EP fonctionne correctement sur tous les serveurs Exchange existants. NTLM doit être désactivé ou configuré pour n’utiliser que NTLMv2 tout en refusant les anciennes versions de NTLM.“, peut-on lire.

• Configurer Kerberos et SMB à la place de NTLM

Ce guide recommande de désactiver l’authentification NTLM et de configurer Kerberos ainsi que SMB à la place. L’idée étant de renforcer la sécurité des communications entre les serveurs Exchange et les autres composants du réseau.

Sans surprise, la NSA insiste sur le fait que le NTLM est un protocole ancien et vulnérable à plusieurs techniques d’exploitation. À l’inverse, Kerberos offre une authentification mutuelle et basée sur des tickets, qui est beaucoup plus robuste.

“SMBv1 et NTLMv1 sont désactivés dans les dernières versions du système d’exploitation Windows (serveur et client) et obsolètes dans les versions antérieures.“, peut-on lire.

• Configurer l’authentification moderne

L’authentification moderne (OAuth 2.0) doit être privilégiée, et l’authentification basique désactivée. Le guide rappelle que la Modern Auth est disponible depuis Exchange Server 2019 CU13. Elle apporte à la fois le support de OAuth 2.0 et du MFA, notamment en s’appuyant sur AD FS.

“Pour les organisations qui utilisent des identités Microsoft Entra ID basées sur le cloud, Hybrid Modern Authentication peut être configuré pour l’accès aux boîtes aux lettres Exchange sur site à l’aide de Modern Authentication.“, précise la NSA.

• Configurer la signature basée sur des certificats

L’Exchange Management Shell (EMS), basée sur PowerShell, constitue un outil d’administration très intéressant pour les administrateurs, mais il représente aussi une surface d’attaque. La NSA recommande d’activer la signature par certificat des données sérialisées, afin de prévenir toute manipulation non autorisée des échanges entre sessions PowerShell.

Par ailleurs, il est recommandé de désactiver l’accès PowerShell à distance pour les utilisateurs non-administrateurs, sauf nécessité particulière. Ceci afin de limiter les risques d’exploitation et de renforcer la sécurité globale du serveur Exchange.

“À partir de la mise à jour de sécurité du serveur Exchange de novembre 2023, la signature par certificat des données sérialisées a été activée par défaut. Tous les serveurs Exchange au sein d’un réseau doivent avoir cette défense activée et utiliser le même certificat d’authentification Exchange Server actif.“, précise le guide.

• Configurer le HSTS

La NSA recommande d’activer le HTTP Strict Transport Security (HSTS) au niveau de IIS afin d’imposer l’utilisation exclusive du protocole HTTPS pour toutes les connexions aux interfaces web d’Exchange, comme Outlook on the Web ou l’EAC. Ce mécanisme repose sur l’envoi de l’en-tête Strict-Transport-Security (STS), qui indique au navigateur de refuser toute communication non chiffrée pendant une période donnée.

“De même, toutes les connexions SMTP pour l’envoi et la réception d’e-mails entre les serveurs Exchange et les serveurs de messagerie externes doivent être chiffrées et authentifiées.“, précise le guide.

• Configurer les domaines de téléchargement

Une autre bonne pratique consiste à configurer les Download Domains pour protéger Outlook on the Web contre les attaques de type Cross-Site Request Forgery (CSRF). Cette mesure fait en sorte que les pièces jointes soient chargées depuis un sous-domaine distinct de celui utilisé pour la messagerie, empêchant ainsi tout accès non autorisé aux cookies d’authentification. Grâce à cette séparation, un pirate ne peut plus exploiter une session existante pour voler les identifiants d’un utilisateur connecté.

• Utiliser l’approche RBAC

La NSA recommande d’utiliser la gestion des rôles (RBAC) pour appliquer le principe du moindre privilège au sein d’Exchange. Ce modèle permet d’attribuer uniquement les droits nécessaires à chaque utilisateur et de séparer les permissions entre l’administration Exchange et celle d’Active Directory. Il est également important de réviser régulièrement les rôles afin d’éviter toute accumulation de privilèges non justifiés. Il s’agit d’une bonne pratique globale, non limitée à Exchange Server.

• Les en-têtes P2 FROM

Activer la détection de manipulation de l’en-tête P2 FROM (technique de spoofing) : depuis novembre 2024, Exchange peut ajouter l’en-tête et actionner des règles de transport.

Vous pouvez retrouver le guide complet sur cette page du site de la NSA.