Aller au contenu principal

Migration pour les clients Vade Cloud

  • Mise à jour

Cet article décrit les modifications nécessaires au niveau du réseau, du DNS et du flux d'email lors de la migration de Vade Cloud vers le Control Panel Hornetsecurity.

Configuration entrante

 

Autoriser les adresses IP du Control Panel

Pour assurer une bonne réception des e-mails entrants, les clients doivent autoriser les plages d’adresses IP du Control Panel Hornetsecurity dans leur pare-feu et/ou la configuration de leur fournisseur de messagerie.

Plages IP recommandées

  • 94.100.128.0/20 (Plage IP générale Hornetsecurity, mondiale)

  • 185.140.204.0/22 (États-Unis - Atlanta)

  • 173.45.18.0/24 (États-Unis - Washington)

  • 83.246.65.0/24 (Allemagne - Hanovre)

Plages IP minimales requises

Si vous préférez autoriser un ensemble plus restreint d’adresses IP, vous pouvez utiliser la configuration minimale suivante :

  • 94.100.128.0/24 (Allemagne - Francfort)

  • 94.100.136.0/23 (Allemagne - Hanovre)

  • 94.100.138.0/23 (France - Lille)

  • 83.246.65.0/24 (Allemagne - Hanovre)

⚠️ Nous recommandons fortement d’autoriser la plage IP complète lorsque cela est possible.

Exigences du pare-feu

Si un pare-feu est utilisé, les ports suivants doivent être autorisés :

Port Protocole
TCP/25 SMTP
TCP/389 LDAP (optionnel)
TCP/636 LDAPS (recommandé)

Des ports personnalisés peuvent être utilisés si nécessaire pour atteindre le relais entrant du client ou le serveur LDAP.

 

Considération pour les règles de pare-feu sortantes

Si l’envoi d’e-mails sortants est activé, assurez-vous que vos serveurs SMTP sont autorisés à envoyer des e-mails aux plages IP du Control Panel Hornetsecurity, et pas uniquement à Vade Cloud.

Mise à jour des enregistrements MX (flux d'e-mail entrant)

 

Préparation recommandée : réduire le TTL des MX

Avant de modifier les enregistrements MX, nous recommandons fortement de réduire la valeur de TTL (Time To Live) à l’avance pour accélérer la propagation.

  • Exemple :
    • TTL actuel : 86400 (24 heures)
    • TTL recommandé avant modification : 300 (5 minutes)
Si le TTL actuel est plus élevé (par exemple 604800 = 7 jours), vous devez attendre la durée complète du TTL original après avoir modifié la valeur TTL avant de modifier les enregistrements MX.

Si le TTL n’est pas réduit, les e-mails peuvent être livrés à la fois à Vade Cloud et au Control Panel pendant la transition.

Nouveaux enregistrements MX

AVERTISSEMENT CRITIQUE – À LIRE AVANT LA MIGRATION MX
Avant de procéder à la migration des enregistrements MX, vous devez impérativement vous assurer que tous les paramètres ont été entièrement migrés de Vade Cloud vers le Control Panel.
Cette étape de configuration est obligatoire et doit être réalisée avec l’aide de votre partenaire ou d’un représentant Hornetsecurity.
  • Ne modifiez PAS vos enregistrements MX tant que cette étape n’est pas terminée et validée.
Le non-respect de cette consigne entraînera des perturbations de messagerie et une possible perte d’e-mails entrants.
Effectuez la modification des MX uniquement après confirmation que le Control Panel est entièrement configuré et opérationnel.

Tous les domaines clients doivent être mis à jour avec les enregistrements MX suivants :

Priorité Enregistrement MX
10 vade-mx-fr01.hornetsecurity.com
10 vade-mx-fr02.hornetsecurity.com
20 vade-mx-eu-fallback01.hornetsecurity.com
20 vade-mx-eu-fallback02.hornetsecurity.com

Transparence de la localisation des données

  • Enregistrements MX principaux (priorité 10)
    • Datacenter : France
  • Enregistrements MX de secours (priorité 20)
    • Datacenter : Allemagne
    • Utilisés uniquement si les enregistrements MX principaux ne sont pas disponibles

Le stockage des e-mails est toujours effectué en France.
Les datacenter allemands sont utilisés exclusivement pour le transit temporaire des e-mails dans les scénarios de secours.

Les clients peuvent choisir de ne pas configurer les enregistrements MX de secours ; cependant, cela augmente le risque de perte d'e-mail en cas d’incident.

Après la modification des MX

  • Le changement prend effet en quelques minutes.
  • Pendant la transition, certains e-mails peuvent encore être livrés à Vade Cloud.
  • Après 1 à 2 jours, vous pouvez en toute sécurité réaugmenter la valeur du TTL à sa valeur initiale.

Configuration sortante

Mettre à jour les relais SMTP

Vous n’avez pas besoin de mettre à jour les enregistrements SPF avant de changer les relais SMTP, à condition que votre SPF inclue déjà :

include:spf.cloud.vadesecure.com

ou

include:_spf.cloud.vadesecure.com

Si aucun des deux n’est présent, mettez d’abord à jour le SPF.

 

Tous les serveurs SMTP utilisant précédemment les relais suivants :

smtp.cloud.vadesecure.com
smtp-fr.cloud.vadesecure.com

Doivent être mis à jour vers :

vade-relay-fr01.hornetsecurity.com
vade-relay-fr02.hornetsecurity.com
vade-relay-eu-fallback01.hornetsecurity.com
vade-relay-eu-fallback02.hornetsecurity.com

Après ce changement, tous les e-mails sortants sont envoyés au Control Panel Hornetsecurity.
Cela est effectif immédiatement.

Des guides de configuration technique sont disponibles pour Microsoft 365, Google Workspace, OVH en bas de cet article.

Mettre à jour l’enregistrement SPF

Après que tous les serveurs SMTP ont basculé avec succès vers les relais du Control Panel, vous pouvez mettre à jour l’enregistrement SPF.

Nous recommandons d’attendre 7 jours pour s’assurer qu’aucun e-mail ne reste en file d’attente sur Vade Cloud.

Remplacez :

include:spf.cloud.vadesecure.com

ou

include:_spf.cloud.vadesecure.com

Par :

include:spf.hornetsecurity.com

 

Configurer DKIM et DMARC (fortement recommandé)

Vade Cloud ne supporte pas le DKIM ou le DMARC.

Après la migration vers le Control Panel Hornetsecurity, nous recommandons fortement de configurer le DKIM et le DMARC pour améliorer la sécurité et la délivrabilité des e-mails.

Veuillez vous référer à :

Guides de configuration technique

Microsoft 365

Flux entrant

L’objectif de cette procédure est de préparer le connecteur entrant à être mis en place avant la bascule de Vade Cloud vers Hornetsecurity.

Cette configuration s’effectue dans la section administration de votre console Microsoft 365 : https://admin.exchange.microsoft.com/

 

Connecteur de courrier entrant

  1. Cliquez sur le menu Accueil
  2. Puis Flux de courrier
  3. Et enfin Connecteurs

  1. Cliquez sur Ajouter un connecteur
  2. Cliquez sur Organisation partenaire
  3. Puis sur Suivant
  4. Ajoutez le nom du connecteur : "Connecteur entrant".
  5. Puis cliquez sur Suivant
  6. Cliquez sur "Vérifier que l’adresse IP du serveur d’envoi correspond...".
  7. Ajoutez les adresses IP des serveurs Hornetsecurity une par une dans le champ juste en dessous. Chaque ajout est validé en cliquant sur l’icône + :
  8. Les adresses IP des serveurs Hornetsecurity à ajouter sont les suivantes :

83.246.65.0/24
94.100.128.0/24
94.100.129.0/24
94.100.130.0/24
94.100.131.0/24
94.100.132.0/24
94.100.133.0/24
94.100.134.0/24

94.100.135.0/24
94.100.136.0/24
94.100.137.0/24
94.100.138.0/24
94.100.139.0/24
94.100.140.0/24
94.100.141.0/24

94.100.142.0/24
94.100.143.0/24
185.140.204.0/24
185.140.205.0/24
185.140.206.0/24
185.140.207.0/24
173.45.18.0/24
  1. Puis cliquez sur Suivant
  2. Vérifiez que la case "Rejeter le courrier s’il n’est pas envoyé via TLS" est cochée.
  3. Puis cliquez sur Suivant
  4. Vérifiez que toutes les informations sont correctes
  5. Puis cliquez sur Créer un connecteur
  6. L’interface Microsoft 365 valide l’enregistrement du connecteur
  7. Puis cliquez sur OK
  8. Vérifiez que le connecteur est actif : la case doit être cochée ; sinon, elle doit être décochée.

Merci, vous avez maintenant terminé la configuration du connecteur entrant pour la migration vers Hornetsecurity.

 

Flux sortant (uniquement pour les clients MailOut)

L’objectif de cette procédure est de préparer le connecteur et la règle d’utilisation avant la migration.

Cette configuration s’effectue dans la section administration de votre console Microsoft 365 : https://admin.exchange.microsoft.com/

 

Création du connecteur sortant

  1. Cliquez sur le menu Accueil
  2. Puis sur Flux de courrier
  3. Et enfin sur Connecteurs

  1. Cliquez sur Ajouter un connecteur

  2. Cliquez sur Office 365
  3. Cliquez sur Organisation partenaire
  4. Puis cliquez sur Suivant
  5. Ajoutez le nom du connecteur "Relais"
  6. Puis cliquez sur Suivant pour arriver à l’utilisation du connecteur
  7. Cochez "Uniquement lorsqu’une règle de transport est configurée pour rediriger les messages vers ce connecteur"
  8. Puis cliquez sur Suivant pour accéder à la section Routage.
  9. Saisissez le nom des hôtes relais Hornetsecurity au début de la procédure dans la case ci-dessous, puis cliquez sur le ➕ pour valider l’ajout. Vous devez ajouter les relais suivants un par un :
    • vade-relay-fr01.hornetsecurity.com
    • vade-relay-fr02.hornetsecurity.com
    • vade-relay-eu-fallback01.hornetsecurity.com
    • vade-relay-eu-fallback02.hornetsecurity.com
  10. Validez cette page en cliquant sur Suivant pour arriver à la section Restrictions de sécurité
  11. Puis cliquez sur Suivant pour aller à la section Validation du courrier
  12. Saisissez une adresse comme test@gmail.com en dehors de votre domaine dans la case ci-dessous puis cliquez sur le ➕ pour valider l’ajout
  13. Cliquez sur "Valider"
  14. Attendez la fin de la validation
  15. Le message "Validation réussie" signifie que l’e-mail test a été accepté par l’adresse test que vous avez renseignée précédemment. Si la validation échoue, poursuivez jusqu’à la fin de la procédure.
  16. Vérifiez que toutes les informations sont correctes
  17. Puis cliquez sur Créer le connecteur
  18. L’interface Microsoft 365 valide l’enregistrement du connecteur.
  19. Puis cliquez sur OK
  20. Vérifiez que le connecteur créé est actif

 

Créer la règle d’utilisation du connecteur

Cette règle vient d’être créée, mais elle ne doit pas être activée pour le moment. Son activation interviendra uniquement à une étape ultérieure de la procédure et non immédiatement.
  1. Cliquez sur le menu Accueil
  2. Puis Flux de courrier
  3. Et enfin Règles

  1. Cliquez sur Ajouter une règle
  2. Puis sur "Créer une règle”
  3. Ajoutez un nom à la règle Relais, par exemple
  4. Puis cliquez sur la liste déroulante sous "Appliquer cette règle si".
  5. Sélectionnez l’expéditeur
  6. Puis dans la liste déroulante à droite, sélectionnez est externe/interne
  7. Dans la fenêtre qui s’ouvre, sélectionnez À l’intérieur de l’organisation
  8. Puis Enregistrer
  9. Cliquez sur la liste déroulante sous Effectuer les opérations suivantes
  10. Sélectionnez Rediriger le message vers
  11. Dans la liste déroulante à droite, sélectionnez le connecteur suivant
  12. Dans la fenêtre qui s’ouvre, sélectionnez le connecteur que vous venez de créer
  13. Puis Enregistrer
  14. Cliquez sur Suivant sur les 2 écrans suivants
  15. Cliquez sur Terminer sur les 2 écrans suivants

 

Attention : Cette règle vient d’être créée, mais elle ne doit pas être activée pour le moment. Son activation interviendra uniquement à une étape ultérieure de la procédure et non immédiatement.

 

Merci, vous avez maintenant terminé la création du connecteur sortant et de la règle associée pour la migration vers Hornetsecurity.

 

Google Workspace

L’objectif de cette procédure est d’ajouter les plages IP (CIDR) de la solution Hornetsecurity à la passerelle entrante déjà activée pour la solution Vade Cloud.

Vous devrez ajouter ces plages IP à votre passerelle entrante existante utilisée pour Vade Cloud :

83.246.65.0/24
94.100.128.0/24
94.100.129.0/24
94.100.130.0/24
94.100.131.0/24
94.100.132.0/24
94.100.133.0/24
94.100.134.0/24

94.100.135.0/24
94.100.136.0/24
94.100.137.0/24
94.100.138.0/24
94.100.139.0/24
94.100.140.0/24
94.100.141.0/24

94.100.142.0/24
94.100.143.0/24
185.140.204.0/24
185.140.205.0/24
185.140.206.0/24
185.140.207.0/24
173.45.18.0/24

 

Ajout des plages IP Hornetsecurity à la passerelle entrante dans votre console d’administration Google Workspace

Accédez à la page d’administration de votre compte Google. Une fois connecté, rendez-vous dans la section Gmail (Applications > Google Workspace > Gmail).

Puis descendez jusqu’à la section "Spam, phishing et logiciels malveillants" et cliquez dessus. Ou pour y accéder directement, cliquez sur ce lien : Gestion du spam

 

Cliquez sur “Ajouter” et ajoutez la plage IP listée au début de la procédure.

Terminez la configuration en cliquant sur le bouton "Enregistrer".

 

OVH

Entrant :

Veuillez ne pas modifier vos paramètres entrants

 

Sortant :

Veuillez procéder comme décrit dans "Si vous êtes un client 'MailOut'" et si vous êtes sur un plan Exchange privé, faites également comme décrit ici : 

  1. Créer le connecteur
    • Faites attention à adapter les valeurs saisies dans le formulaire à votre relais MailOut. 

      POST /email/exchange/{organizationName}/service/{exchangeService}/sendConnector


       
  2. Obtenir les identifiants des connecteurs
    • GET /email/exchange/{organizationName}/service/{exchangeService}/sendConnector


       
  3. Identifier l’ID du connecteur correct
    • Si vous avez plusieurs ID dans le résultat précédent, vous devez maintenant tester chaque numéro pour savoir lequel correspond au connecteur. Vous pourrez identifier le connecteur correct lorsque le displayName sera celui que vous avez saisi précédemment (voir 2-a) Créer le connecteur) displayName "z0Xz0Y" 

      GET /email/exchange/{organizationName}/service/{exchangeService}/sendConnector


       
  4. Connecteur par défaut
    • Si vous souhaitez que ce connecteur soit utilisé sur toutes les boîtes aux lettres nouvellement créées, vous pouvez le configurer comme connecteur d’envoi par défaut.
      Dans la section domainName, saisissez le nom de domaine que vous souhaitez relayer via ce connecteur.
      Veuillez noter que le connecteur ne sera pas appliqué aux boîtes aux lettres existantes.

      PUT /email/exchange/{organizationName}/service/{exchangeService}/domain/{domainName}/changeDefaultSBR

Il est très important de conserver l’identifiant du connecteur "sendConnectorIdDefault" pour la mise en service le jour de la migration.

 

Articles associés

Articles dans cette section