En 1982, lorsque le SMTP a été spécifié pour la première fois, il ne contenait aucun mécanisme permettant d'assurer la sécurité au niveau du transport pour sécuriser les communications entre les agents de transfert du courrier. Cependant, en 1999, la commande STARTTLS a été ajoutée au SMTP qui, à son tour, a pris en charge le cryptage des courriers électroniques entre les serveurs, offrant la possibilité de convertir une connexion non sécurisée en une connexion sécurisée qui est cryptée à l'aide du protocole TLS.

Toutefois, le cryptage est facultatif dans le SMTP, ce qui implique que les courriers électroniques peuvent être envoyés même en texte clair. Agent de transfert du courrier - Sûreté des transports (MTA-STS) est une norme relativement récente qui permet aux fournisseurs de services de courrier électronique de faire respecter la sécurité de la couche transport (TLS) pour sécuriser les connexions SMTP, et de spécifier si les serveurs SMTP d'envoi doivent refuser de livrer des courriers électroniques à des hôtes MX qui n'offrent pas la TLS avec un certificat de serveur fiable. Il a été prouvé qu'il permettait d'atténuer avec succès les attaques de déclassement TLS et les attaques de type "Man-In-The-Middle" (MITM). Rapport TLS SMTP (TLS-RPT) est une norme qui permet de signaler les problèmes de connectivité TLS rencontrés par les applications qui envoient des courriers électroniques et détectent les mauvaises configurations. Elle permet de signaler les problèmes de livraison de courrier électronique qui se produisent lorsqu'un courrier électronique n'est pas crypté avec TLS. En septembre 2018, la norme a été documentée pour la première fois dans la RFC 8460.

Pourquoi vos courriels doivent-ils être cryptés en transit ?

L'objectif premier est d'améliorer la sécurité au niveau du transport lors des communications SMTP et de garantir la confidentialité du trafic de courrier électronique. En outre, le cryptage des messages entrants et sortants renforce la sécurité de l'information, en utilisant la cryptographie pour protéger les informations électroniques. En outre, les attaques cryptographiques telles que Man-In-The-Middle (MITM) et TLS Downgrade ont gagné en popularité ces derniers temps et sont devenues une pratique courante parmi les cybercriminels, à laquelle on peut échapper en appliquant le cryptage TLS et en étendant le support aux protocoles sécurisés.

Comment une attaque du MITM est-elle lancée ?

Comme le cryptage a dû être adapté au protocole SMTP, la mise à niveau pour la livraison cryptée doit reposer sur une commande STARTTLS envoyée en clair. Un attaquant MITM peut facilement exploiter cette fonctionnalité en effectuant une attaque de niveau inférieur sur la connexion SMTP en altérant la commande de mise à niveau, obligeant le client à se rabattre sur l'envoi du courrier électronique en texte clair.

Après avoir intercepté la communication, un attaquant du MITM peut facilement voler les informations décryptées et accéder au contenu du courriel. En effet, le MITM étant la norme du secteur pour le transfert de courrier, il utilise un cryptage opportuniste, ce qui implique que le cryptage est facultatif et que les courriers électroniques peuvent toujours être transmis en clair.

Comment une attaque de dégradation du TLS est-elle lancée ?

Comme le cryptage a dû être adapté au protocole SMTP, la mise à niveau pour la livraison cryptée doit reposer sur une commande STARTTLS envoyée en clair. Un attaquant MITM peut exploiter cette fonctionnalité en effectuant une attaque de niveau inférieur sur la connexion SMTP en altérant la commande de mise à niveau. L'attaquant peut simplement remplacer les STARTTLS par une chaîne de caractères que le client ne parvient pas à identifier. Par conséquent, le client se rabat facilement sur l'envoi d'un courrier électronique en texte clair.

En bref, une attaque de niveau inférieur est souvent lancée dans le cadre d'une attaque MITM, afin de créer une voie permettant une attaque qui ne serait pas possible dans le cas d'une connexion cryptée sur la dernière version du protocole TLS, en remplaçant ou en supprimant la commande STARTTLS et en ramenant la communication en clair.

Outre le renforcement de la sécurité des informations et l'atténuation des attaques de surveillance omniprésentes, le cryptage des messages en transit permet également de résoudre de multiples problèmes de sécurité SMTP.

Mise en œuvre du cryptage TLS des courriers électroniques avec MTA-STS

Si vous ne parvenez pas à transporter vos courriers électroniques via une connexion sécurisée, vos données pourraient être compromises, voire modifiées et altérées par un cyber-attaquant. C'est ici que MTA-STS intervient et résout ce problème, en permettant un transit sûr de vos courriers électroniques, en atténuant avec succès les attaques cryptographiques et en renforçant la sécurité des informations en appliquant le cryptage TLS. En d'autres termes, le MTA-STS fait en sorte que les courriers électroniques soient transférés par un chemin crypté TLS et, si une connexion cryptée ne peut être établie, le courrier électronique n'est pas du tout délivré, au lieu d'être délivré en clair. En outre, les MTA stockent les fichiers de politique MTA-STS, ce qui rend plus difficile pour les attaquants de lancer une attaque de spoofing DNS.

 

Le MTA-STS offre une protection contre :

  • Les attaques de dégradation
  • Attaques de l'homme au milieu (MITM)
  • Il résout de nombreux problèmes de sécurité SMTP, notamment les certificats TLS expirés et le manque de prise en charge des protocoles sécurisés.

Les principaux fournisseurs de services de courrier tels que Microsoft, Oath et Google prennent en charge MTA-STS. Google étant le plus grand acteur du secteur, il occupe une place centrale dans l'adoption de tout protocole. L'adoption de MTA-STS par google indique l'extension du support vers des protocoles sécurisés et souligne l'importance du cryptage du courrier électronique en transit.

Dépannage des problèmes de livraison de courrier électronique avec TLS-RPT

Le rapport SMTP TLS fournit aux propriétaires de domaines des rapports de diagnostic (au format de fichier JSON) contenant des détails détaillés sur les courriels qui ont été envoyés à votre domaine et qui rencontrent des problèmes de livraison, ou qui n'ont pas pu être livrés en raison d'une attaque de dégradation ou d'autres problèmes, afin que vous puissiez résoudre le problème de manière proactive. Dès que vous activez TLS-RPT, les agents de transfert de courrier acquiescent et commencent à envoyer des rapports de diagnostic concernant les problèmes de livraison de courrier électronique entre les serveurs de communication et le domaine de courrier électronique désigné. Les rapports sont généralement envoyés une fois par jour, couvrant et transmettant les politiques MTA-STS observées par les expéditeurs, les statistiques de trafic ainsi que des informations sur les échecs ou les problèmes de distribution du courrier électronique.

La nécessité de déployer le TLS-RPT :

  • Si un courriel ne peut être envoyé à votre destinataire en raison d'un problème de livraison, vous en serez informé.
  • Le TLS-RPT offre une visibilité accrue sur tous vos canaux de messagerie électronique afin que vous puissiez mieux comprendre tout ce qui se passe dans votre domaine, y compris les messages qui ne sont pas transmis.
  • TLS-RPT fournit des rapports de diagnostic approfondis qui vous permettent d'identifier et d'aller à la racine du problème de livraison du courrier électronique et de le résoudre sans délai.

L'adoption de MTA-STS et TLS-RPT rendue facile et rapide par PowerDMARC

Le MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante. PowerDMARC vous facilite la vie en gérant tout cela pour vous, complètement en arrière-plan. De la génération des certificats et du fichier de politique MTA-STS à l'application de la politique, nous vous aidons à éviter les énormes complexités liées à l'adoption du protocole. Une fois que nous vous avons aidé à le mettre en place en quelques clics, vous n'avez même plus besoin d'y penser.

Avec l'aide des services d'authentification du courrier électronique de PowerDMARC , vous pouvez déployer le MTA-STS hébergé dans votre organisation sans tracas et à un rythme très rapide, à l'aide duquel vous pouvez faire en sorte que les courriers électroniques soient envoyés à votre domaine via une connexion cryptée TLS, rendant ainsi votre connexion sûre et tenant les attaques MITM à distance.

PowerDMARC vous facilite la vie en rendant le processus de mise en œuvre du SMTP TLS Reporting (TLS-RPT) simple et rapide, au bout de vos doigts ! Dès que vous vous inscrivez à PowerDMARC et que vous activez le SMTP TLS Reporting pour votre domaine, nous nous chargeons de convertir les fichiers JSON compliqués contenant vos rapports de problèmes de livraison de courrier électronique, en documents simples et lisibles (par résultat et par source d'envoi), que vous pouvez parcourir et comprendre facilement ! La plate-forme PowerDMARC détecte automatiquement et transmet ensuite les problèmes que vous rencontrez dans la livraison du courrier électronique, afin que vous puissiez les traiter et les résoudre rapidement !

Inscrivez-vous pour obtenir votre DMARC gratuit dès aujourd'hui !