Corriger les problèmes S/MIME avec les e-mails sécurisés sous Windows
IntroductionS/MIME (Secure/Multipurpose Internet Mail Extensions) permet de signer et chiffrer des e-mails à l’aide de certificats numériques. Dans un environnement Windows et Outlook/Exchange, des dysfonctionnements S/MIME peuvent apparaître à cause d’un certificat mal installé, d’une autorité non approuvée, ou d’une configuration incorrecte. Ce guide vous propose des méthodes concrètes pour identifier et résoudre ces problèmes.
Prérequis• Connaissance de la gestion des certificats numériques
• Familiarité avec Outlook, Exchange Online ou Exchange Server
• Droits administrateur sur le poste ou le serveur mail concerné
Différentes Approches• Approche #1 : CMD pour diagnostiquer l’état des certificats installés
• Approche #2 : PowerShell pour lister, vérifier et associer les certificats S/MIME
• Approche #3 : Script .ps1 pour automatiser l’inspection des certificats utilisateurs
Niveau de difficulté• Approche #1 : Facile
• Approche #2 : Intermédiaire
• Approche #3 : Avancé
Les Avantages• Approche #1 : Vérification rapide de la présence du certificat
• Approche #2 : Audit détaillé sur l’utilisateur et la validité
• Approche #3 : Centralisation des résultats pour environnement d’entreprise
Les Inconvénients• Approche #1 : Ne fournit pas de détails sur la compatibilité avec S/MIME
• Approche #2 : Requiert l’accès à la session de l’utilisateur
• Approche #3 : Demande des droits élevés et une infrastructure bien préparée
Approche #1
Ouvrir CMD en tant qu’administrateur
Lister les certificats installés pour l’utilisateur courant
Code:
certutil -user -store my
Vérifier que le certificat S/MIME est présent, valide et issu d’une autorité approuvée
Supprimer les anciens certificats expirés si présents Approche #2 Ouvrir PowerShell avec les droits administrateur Vérifier la présence d’un certificat valide dans le magasin personnel
Code:
Get-ChildItem -Path Cert:\CurrentUser\My | Where-Object { $.EnhancedKeyUsageList.FriendlyName -contains "Secure Email" }
Code:
Get-ChildItem Cert:\CurrentUser\My | Select-Object Subject, NotAfter
Code:
$log = "C:\Logs\Cert_SMIME_Status$(Get-Date -Format yyyyMMdd_HHmm).log"
Get-ChildItem -Path Cert:\CurrentUser\My | Where-Object { $_.EnhancedKeyUsageList.FriendlyName -contains "Secure Email" } |
Select-Object Subject, NotAfter, Issuer | Out-File $log
Start-Process notepad.exe $log
AstuceUtilisez l’autorité de certification interne pour émettre des certificats S/MIME avec les attributs mail et User Principal Name (UPN) bien définis.
Mise en gardeL’utilisation de certificats tiers doit être validée avec les systèmes d’inspection TLS et de protection des e-mails (ex. Exchange Online Protection) pour éviter les blocages.
ConseilAjoutez l’autorité racine dans le magasin de certificats de confiance des machines et utilisateurs pour éviter les erreurs d’approbation S/MIME.
Solution alternativePour une gestion avancée et automatisée des certificats S/MIME :
Gestion de certificats
Configurer Outlook
Références• Support Microsoft
• Microsoft Learn
• Recherche Google
• Recherche Github
ConclusionLes certificats S/MIME sont essentiels à la sécurité des communications par e-mail, mais nécessitent une configuration rigoureuse et des certificats valides et reconnus. En combinant des vérifications manuelles et automatisées via CMD, PowerShell et des scripts, il est possible de garantir le bon fonctionnement du chiffrement et de la signature numérique. Une bonne gestion des autorités et des politiques de déploiement centralisées via GPO assurent une expérience fluide et sécurisée pour les utilisateurs.
Dernière édition:
