Le déploiement tant attendu est enfin arrivé ! Microsoft envoie des rapports globaux DMARC RUA à ses utilisateurs et il est fort probable que vous ne l'ayez pas remarqué. Les rapports agrégés DMARC de Microsoft sont envoyés à partir de l'adresse électronique suivante : [email protected]. Le fichier brut d'agrégats Microsoft DMARC est envoyé au format standard XML. Microsoft a finalement adopté les rapports DMARC, ce qui signifie essentiellement que désormais les utilisateurs de Hotmail, Outlook, Live et msn.com pourront profiter des divers avantages des données agrégées Microsoft DMARC.

Traitement des données agrégées Microsoft DMARC

L'analyseur de rapports PowerDMARC analyse les données agrégées Microsoft DMARC dans un format organisé qui vous aidera à les traiter plus efficacement.  

Pour aider les utilisateurs à profiter des avantages des données de rapport agrégées envoyées par Microsoft, l'analyseur de rapport PowerDMARC analyseur de rapports DMARC a été préconfiguré pour recevoir leurs rapports directement sur la plateforme. Tout ce que les utilisateurs doivent faire est d'ajouter leurs domaines sur la plateforme PowerDMARC et de configurer l'enregistrement DNS DMARC, tandis que nous traitons et présentons les rapports de manière simple et compréhensible. Vous trouverez ici :

  • Les données agrégées DMARC envoyées par les adresses de destinataires Hotmail, Outlook, Live et msn.com sont analysées à partir du format de fichier XML brut en informations simples et lisibles organisées en tableaux.
  • PowerDMARC est préconfiguré pour contourner les violations RFC, ce qui nous permet de recevoir et d'analyser vos données DMARC envoyées par les serveurs Microsoft sans que vous ayez à vous en soucier.
  • Enregistrez plusieurs domaines, surveillez vos canaux de messagerie et effectuez des changements de DNS directement à partir du tableau de bord, avec des boutons d'action au bout des doigts.
  • Filtrez les résultats dans des catégories assorties telles que par résultat, par source d'envoi, par organisation, par pays, géolocalisation, et statistiques détaillées ou résultats de recherche par domaine dans la barre de recherche.
  • Obtenez des informations plus approfondies sur les performances de vos e-mails et repérez rapidement les tentatives d'usurpation de domaine, d'usurpation d'identité ou d'envoi de faux e-mails à l'aide de vos domaines professionnels Microsoft. Vous serez également en mesure d'analyser les échecs SPF et DKIM de vos sources d'envoi.

L'image ci-dessus est une capture d'écran de nos rapports agrégés DMARC par organisation affichant les données DMARC RUA envoyées par Microsoft.

Problèmes que vous pourriez rencontrer en traitant vous-même les rapports globaux Microsoft DMARC.

Les courriels agrégés DMARC de Microsoft ne sont pas conformes au RFC.

Le principal problème auquel les utilisateurs ont été confrontés avec ces e-mails contenant des rapports envoyés par Microsoft est qu'ils ne sont pas conformes aux spécifications RFC pour les e-mails Internet. Alors que la RFC 5322, chapitre 2.1.1, stipule clairement qu'une ligne de caractères ne doit pas dépasser 78 caractères, les données de la pièce jointe BASE64 dans ces courriels agrégés Microsoft DMARC constituent une ligne continue sans retour à la ligne approprié qui dépasse la limite de 78 caractères. La violation de la RFC qui en résulte est la raison pour laquelle la plupart de ces courriels se retrouvent dans le journal de rejet de l'utilisateur au lieu d'être livrés dans sa boîte de réception. 

Les fichiers XML bruts sont difficiles à lire

Tout comme les données DMARC envoyées par toutes les organisations déclarantes, le fichier RUA brut est en langage de balisage extensible (XML), difficile à lire et à comprendre.

Conditions préalables à la réception de Microsoft DMARC RUA

Pour recevoir des rapports agrégés pour vos domaines sur outlook.com, vous devez vous assurer que vous avez un enregistrement PowerDMARC valide publié sur votre DNS, ainsi qu'une politique DMARC définie. Les organismes de reporting enverront alors les données des rapports agrégés à votre serveur web ou à votre adresse e-mail spécifiés. Cela vous aidera à obtenir une visibilité et une conformité DMARC sur vos fournisseurs de messagerie tiers sur lesquels vous n'auriez autrement aucun contrôle. 

Protégez vos domaines sur Microsoft Office365 et autres en commençant dès aujourd'hui votre parcours d'authentification des e-mails. Montez à bord avec une essai DMARC ou planifiez une démo DMARCet découvrez les avantages de la mise en œuvre d'une solide posture de sécurité des e-mails dans votre organisation !

Au cas où vous auriez rencontré le "La politique MTA-STS est manquante : STSFetchResult.NONE "en utilisant des outils en ligne, vous êtes au bon endroit. Aujourd'hui, nous allons voir comment corriger ce message d'erreur et vous en débarrasser en incorporant une politique MTA-STS pour votre domaine.

Simple Mail Transfer Protocol, alias SMTP, est le protocole de transfert de courrier électronique standard utilisé par la majorité des fournisseurs de services de courrier électronique. Ce n'est pas un concept étranger que le SMTP a été confronté à des défis de sécurité depuis la nuit des temps, défis qu'il n'a pas été en mesure de relever jusqu'à présent. En effet, afin de rendre les courriers électroniques rétrocompatibles, le SMTP a introduit le cryptage opportuniste sous la forme d'une commande STARTTLS. Cela signifie essentiellement que si une connexion chiffrée ne peut être négociée entre deux serveurs SMTP en communication, la connexion est ramenée à une connexion non chiffrée et les messages sont envoyés en clair. 

Les courriers électroniques transférés via SMTP sont donc vulnérables à une surveillance omniprésente et à des cyber-attaques d'écoute telles que l'opération Man-in-the-Middle. Cette situation est risquée tant pour l'expéditeur que pour le destinataire et peut conduire à la violation de données sensibles. C'est là que MTA-STS intervient et rend le cryptage TLS obligatoire dans le SMTP afin d'empêcher que les courriels ne soient transmis par des connexions non sécurisées. 

Qu'est-ce qu'une politique MTA-STS ?

Pour améliorer la sécurité de vos e-mails SMTP et tirer le meilleur parti des protocoles d'authentification tels que MTA-STS, le serveur d'envoi doit prendre en charge le protocole et le serveur de réception des e-mails doit avoir une politique MTA-STS définie dans son DNS. Un mode d'application de la politique est également encouragé pour renforcer les normes de sécurité. La politique MTA-STS définit les serveurs de messagerie utilisant MTA-STS dans le domaine du destinataire. 

Afin d'activer MTA-STS pour votre domaine en tant que récepteur d'e-mails, vous devez héberger un fichier de politique MTA-STS dans votre DNS. Cela permet aux expéditeurs externes d'emails d'envoyer à votre domaine des emails authentifiés et cryptés par TLS avec une version mise à jour de TLS (1.2 ou plus). 

L'absence d'un fichier de politique publié ou mis à jour pour votre domaine peut être la principale raison pour laquelle vous rencontrez des messages d'erreur tels que "La politique MTA-STS est manquante : STSFetchResult.NONE "."Ce message indique que le serveur de l'expéditeur n'a pas pu récupérer le fichier de politique MTA-STS lorsqu'il a interrogé le DNS du destinataire et qu'il l'a trouvé manquant.

Conditions préalables pour le MTA-STS :

Les serveurs de messagerie pour lesquels MTA-STS sera activé doivent utiliser une version TLS de 1.2 ou plus, et doivent disposer de certificats TLS conformes aux normes et spécifications RFC actuelles, non expirés, et de certificats de serveur signés par une autorité de certification racine de confiance.

Étapes à suivre pour corriger "La politique MTA-STS est manquante".

1. Création et publication d'un enregistrement TXT DNS MTA-STS 

La première étape consiste à créer un enregistrement MTA-STS pour votre domaine. Vous pouvez créer un enregistrement instantanément à l'aide d'un générateur d'enregistrements MTA-STS, qui vous fournira un enregistrement DNS personnalisé pour votre domaine. 

2. Définir un mode de politique MTA-STS

MTA-STS offre deux modes de politique avec lesquels les utilisateurs peuvent travailler.

  • Mode de test: Ce mode est idéal pour les débutants qui n'ont pas configuré le protocole auparavant. Le mode de test MTA-STS vous permet de recevoir des rapports SMTP TLS sur les problèmes liés aux politiques MTA-STS, les problèmes d'établissement de connexions SMTP cryptées ou l'échec de la livraison des e-mails. Cela vous aide à répondre aux problèmes de sécurité existants relatifs à vos domaines et serveurs sans appliquer le cryptage TLS.
  • Mode d'application: Bien que vous receviez toujours vos rapports TLS, au fil du temps, il est optimal pour les utilisateurs d'appliquer leur politique MTA-STS afin de rendre le cryptage obligatoire lors de la réception d'e-mails via SMTP. Cela permet d'éviter que les messages soient modifiés ou altérés pendant leur transit.

3. Créer le fichier de politique MTA-STS

L'étape suivante consiste à héberger les fichiers de politique MTA-STS pour vos domaines. Notez que même si le contenu de chaque fichier peut être le même, il est obligatoire d'héberger les politiques séparément pour des domaines distincts, et un seul domaine ne peut avoir qu'un seul fichier de politique MTA-STS. Plusieurs fichiers de stratégie MTA-STS hébergés pour un seul domaine peuvent entraîner des erreurs de configuration du protocole. 

Le format standard d'un fichier de politique MTA-STS est indiqué ci-dessous : 

Nom du fichier : mta-sts.txt

Taille maximale du fichier : 64 KB

version : STSv1

mode : test

mx : mail.votredomaine.com

mx : *.votredomaine.com

max_age : 806400 

Remarque : Le fichier de politique affiché ci-dessus est simplement un exemple.

4. Publication de votre fichier de politique MTA-STS

Ensuite, vous devez publier votre fichier de politique MTA-STS sur un serveur web public accessible aux serveurs externes. Assurez-vous que le serveur sur lequel vous hébergez votre fichier prend en charge HTTPS ou SSL. La procédure à suivre est simple. Supposons que votre domaine soit préconfiguré avec un serveur Web public :

  • Ajoutez un sous-domaine à votre domaine existant qui doit commencer par le texte : mta-sts (par exemple mta-sts.domain.com) 
  • Votre fichier de stratégie pointera vers ce sous-domaine que vous avez créé et qui doit être stocké dans un fichier .well-known
  • L'URL du fichier de politique est ajoutée à l'entrée DNS lors de la publication de votre enregistrement DNS MTA-STS afin que le serveur puisse interroger le DNS pour récupérer le fichier de politique pendant le transfert du courrier électronique.

5. Activer MTA-STS et TLS-RPT

Enfin, vous devez publier votre MTA-STS et votre TLS-RPT dans le DNS de votre domaine, en utilisant TXT comme type de ressource, placé sur deux sous-domaines séparés (_smtp._tls et _mta-sts). Ainsi, seuls les messages cryptés TLS, vérifiés et non altérés, pourront atteindre votre boîte de réception. En outre, vous recevrez des rapports quotidiens sur les problèmes de livraison et de cryptage sur une adresse électronique ou un serveur web configuré par vos soins, à partir de serveurs externes.

Vous pouvez vérifier la validité de vos enregistrements DNS en effectuant une recherche d'enregistrement MTA-STS après la publication et la mise en ligne de votre enregistrement.  

Remarque : Chaque fois que vous apportez des modifications au contenu de vos fichiers de stratégie MTA-STS, vous devez le mettre à jour à la fois sur le serveur Web public sur lequel vous hébergez votre fichier, ainsi que sur l'entrée DNS qui contient l'URL de votre stratégie. Il en va de même chaque fois que vous mettez à jour ou ajoutez des domaines ou des serveurs.

Comment les services MTA-STS hébergés peuvent-ils aider à résoudre le problème "Politique MTA-STS manquante" ?

La mise en œuvre manuelle du MTA-STS peut être ardue et difficile et laisser place à des erreurs. La solution PowerDMARC MTA-STS hébergé hébergés par PowerDMARC aident à accélérer le processus pour les propriétaires de domaines, en rendant le déploiement du protocole sans effort et rapide. Vous pouvez :

  • Publier vos enregistrements CNAME pour MTA-STS en quelques clics
  • Externaliser les tâches difficiles liées à la maintenance et à l'hébergement des fichiers de politique MTA-STS et des serveurs Web.
  • Changez le mode de votre politique quand vous le souhaitez, directement depuis votre tableau de bord personnalisé, sans avoir à accéder à vos DNS.
  • Nous affichons les fichiers JSON du rapport SMTP TLS dans un format organisé et lisible par l'homme, qui est pratique et compréhensible pour les personnes techniques et non techniques.

Le meilleur ? Nous sommes conformes aux RFC et prenons en charge les dernières normes TLS. Cela vous permet de commencer à configurer MTA-STS sans erreur pour votre domaine, et de profiter de ses avantages tout en nous laissant les tracas et les complexités à gérer en votre nom ! 

Nous espérons que cet article vous a aidé à vous débarrasser de l'invite "MTA-STS policy is missing : STSFetchResult.NONE", et à configurer les protocoles correctement pour votre domaine afin d'atténuer les failles et les défis de la sécurité SMTP. 

Activez MTA-STS pour vos emails dès aujourd'hui en faisant un essai gratuit authentification des e-mails Essai DMARCpour améliorer vos défenses contre les attaques MITM et autres cyber-écoutes !