Comment résoudre le problème "MTA-STS Policy is Missing" ?
par
Temps de lecture : 5 min
Au cas où vous seriez tombé sur la page "Lapolitique MTA-STS est manquante : STSFetchResult.NONE "lors de l'utilisation d'outils en ligne, vous êtes au bon endroit. Aujourd'hui, nous allons discuter de la manière de corriger ce message d'erreur et de s'en débarrasser en incorporant une politique MTA-STS pour votre domaine.
Simple Mail Transfer Protocol, alias SMTP, est le protocole de transfert de courrier électronique standard utilisé par la majorité des fournisseurs de services de courrier électronique. Ce n'est pas un concept étranger que le SMTP a été confronté à des défis de sécurité depuis la nuit des temps, défis qu'il n'a pas été en mesure de relever jusqu'à présent. En effet, afin de rendre les courriers électroniques rétrocompatibles, le SMTP a introduit le cryptage opportuniste sous la forme d'une commande STARTTLS. Cela signifie essentiellement que si une connexion chiffrée ne peut être négociée entre deux serveurs SMTP en communication, la connexion est ramenée à une connexion non chiffrée et les messages sont envoyés en clair.
Cela rend les courriels transférés via SMTP vulnérables à une surveillance omniprésente et à des attaques de cyber-écoute telles que Man-in-the-middle. Cette situation est risquée tant pour l'expéditeur que pour le destinataire et peut conduire à la violation de données sensibles. C'est là que MTA-STS intervient et rend le cryptage TLS obligatoire dans le protocole SMTP afin d'empêcher la livraison des courriels sur des connexions non sécurisées.
Points clés à retenir
- MTA-STS est essentiel pour appliquer le cryptage TLS obligatoire, réduisant ainsi les vulnérabilités du courrier électronique pendant la transmission.
- La création et la publication d'un enregistrement DNS TXT MTA-STS est la première étape de l'activation de cette norme pour votre domaine.
- La mise en œuvre d'une politique MTA-STS en mode test permet de surveiller et de traiter les problèmes potentiels de connexion SMTP TLS sans application immédiate.
- Chaque domaine doit avoir un fichier de stratégie MTA-STS unique, car des fichiers multiples peuvent entraîner des erreurs de configuration.
- L'utilisation de services MTA-STS hébergés permet de rationaliser le processus de déploiement et de garantir la conformité avec les dernières normes TLS.
Qu'est-ce qu'une politique MTA-STS ?
Afin d'améliorer la sécurité de votre messagerie SMTP et de tirer le meilleur parti de protocoles d'authentification tels que MTA-STS, le serveur d'envoi doit prendre en charge le protocole et le serveur de réception du courrier électronique doit disposer d'une politique MTA-STS définie dans son DNS. Un mode d'application de la politique est également encouragé pour renforcer les normes de sécurité. La politique MTA-STS définit les serveurs de messagerie utilisant MTA-STS dans le domaine du destinataire.
Afin d'activer MTA-STS pour votre domaine en tant que récepteur d'e-mails, vous devez héberger un fichier de politique MTA-STS dans votre DNS. Cela permet aux expéditeurs externes d'emails d'envoyer à votre domaine des emails authentifiés et cryptés par TLS avec une version mise à jour de TLS (1.2 ou plus).
L'absence d'un fichier de politique publié ou mis à jour pour votre domaine peut être la principale raison pour laquelle vous rencontrez des messages d'erreur tels que "La politique MTA-STS est manquante : STSFetchResult.NONE "."Ce message indique que le serveur de l'expéditeur n'a pas pu récupérer le fichier de politique MTA-STS lorsqu'il a interrogé le DNS du destinataire et qu'il l'a trouvé manquant.
Conditions préalables pour le MTA-STS :
Les serveurs de messagerie pour lesquels MTA-STS sera activé doivent utiliser une version TLS de 1.2 ou plus, et doivent disposer de certificats TLS conformes aux normes et spécifications RFC actuelles, non expirés, et de certificats de serveur signés par une autorité de certification racine de confiance.
Simplifiez la sécurité avec PowerDMARC !
Étapes à suivre pour corriger "La politique MTA-STS est manquante".
1. Création et publication d'un enregistrement TXT DNS MTA-STS
La première étape consiste à créer un enregistrement MTA-STS pour votre domaine. Vous pouvez créer un enregistrement instantanément à l'aide d'un générateur d'enregistrements MTA-STS, qui vous fournira un enregistrement DNS personnalisé pour votre domaine.
2. Définir un mode de politique MTA-STS
MTA-STS offre deux modes de politique avec lesquels les utilisateurs peuvent travailler.
- Mode de test: Ce mode est idéal pour les débutants qui n'ont pas configuré le protocole auparavant. Le mode de test MTA-STS vous permet de recevoir des rapports SMTP TLS sur les problèmes liés aux politiques MTA-STS, les problèmes d'établissement de connexions SMTP cryptées ou l'échec de la livraison des e-mails. Cela vous aide à répondre aux problèmes de sécurité existants relatifs à vos domaines et serveurs sans appliquer le cryptage TLS.
- Mode d'application: Bien que vous receviez toujours vos rapports TLS, au fil du temps, il est optimal pour les utilisateurs d'appliquer leur politique MTA-STS afin de rendre le cryptage obligatoire lors de la réception d'e-mails via SMTP. Cela permet d'éviter que les messages soient modifiés ou altérés pendant leur transit.
3. Créer le fichier de politique MTA-STS
L'étape suivante consiste à héberger les fichiers de politique MTA-STS pour vos domaines. Notez que même si le contenu de chaque fichier peut être le même, il est obligatoire d'héberger les politiques séparément pour des domaines distincts, et un seul domaine ne peut avoir qu'un seul fichier de politique MTA-STS. Plusieurs fichiers de stratégie MTA-STS hébergés pour un seul domaine peuvent entraîner des erreurs de configuration du protocole.
Le format standard d'un fichier de politique MTA-STS est indiqué ci-dessous :
Nom du fichier : mta-sts.txt
Taille maximale du fichier : 64 KB
version : STSv1
mode : test
mx : mail.votredomaine.com
mx : *.votredomaine.com
max_age : 806400
Remarque : Le fichier de politique affiché ci-dessus est simplement un exemple.
4. Publication de votre fichier de politique MTA-STS
Ensuite, vous devez publier votre fichier de stratégie MTA-STS sur un serveur web public accessible aux serveurs externes. Assurez-vous que le serveur sur lequel vous hébergez votre fichier prend en charge HTTPS ou SSL. La procédure est simple. Supposons que votre domaine soit préconfiguré avec un serveur web public :
- Ajoutez un sous-domaine à votre domaine existant qui doit commencer par le texte : mta-sts (par exemple mta-sts.domain.com)
- Votre fichier de stratégie pointera vers ce sous-domaine que vous avez créé et qui doit être stocké dans un fichier .well-known
- L'URL du fichier de politique est ajoutée à l'entrée DNS lors de la publication de votre enregistrement DNS MTA-STS afin que le serveur puisse interroger le DNS pour récupérer le fichier de politique pendant le transfert du courrier électronique.
5. Activer MTA-STS et TLS-RPT
Enfin, vous devez publier votre MTA-STS et votre TLS-RPT dans le DNS de votre domaine, en utilisant TXT comme type de ressource, placé sur deux sous-domaines séparés (_smtp._tls et _mta-sts). Ainsi, seuls les messages cryptés TLS, vérifiés et non altérés, pourront atteindre votre boîte de réception. En outre, vous recevrez des rapports quotidiens sur les problèmes de livraison et de cryptage sur une adresse électronique ou un serveur web configuré par vos soins, à partir de serveurs externes.
Vous pouvez vérifier la validité de vos enregistrements DNS en effectuant une recherche d'enregistrement MTA-STS après la publication et la mise en ligne de votre enregistrement.
Remarque : Chaque fois que vous apportez des modifications au contenu de vos fichiers de stratégie MTA-STS, vous devez le mettre à jour à la fois sur le serveur Web public sur lequel vous hébergez votre fichier, ainsi que sur l'entrée DNS qui contient l'URL de votre stratégie. Il en va de même chaque fois que vous mettez à jour ou ajoutez des domaines ou des serveurs.
Comment les services MTA-STS hébergés peuvent-ils aider à résoudre le problème "Politique MTA-STS manquante" ?
La mise en œuvre manuelle du MTA-STS peut être ardue et difficile et laisser place à des erreurs. La solution PowerDMARC MTA-STS hébergé hébergés par PowerDMARC aident à accélérer le processus pour les propriétaires de domaines, en rendant le déploiement du protocole sans effort et rapide. Vous pouvez :
- Publier vos enregistrements CNAME pour MTA-STS en quelques clics
- Externaliser les tâches difficiles liées à la maintenance et à l'hébergement des fichiers de politique MTA-STS et des serveurs Web.
- Changez le mode de votre politique quand vous le souhaitez, directement depuis votre tableau de bord personnalisé, sans avoir à accéder à vos DNS.
- Nous affichons les fichiers JSON du rapport SMTP TLS dans un format organisé et lisible par l'homme, qui est pratique et compréhensible pour les personnes techniques et non techniques.
Le meilleur ? Nous sommes conformes aux RFC et prenons en charge les dernières normes TLS. Cela vous permet de commencer à configurer MTA-STS sans erreur pour votre domaine, et de profiter de ses avantages tout en nous laissant les tracas et les complexités à gérer en votre nom !
Nous espérons que cet article vous a aidé à vous débarrasser de l'invite "MTA-STS policy is missing : STSFetchResult.NONE", et à configurer les protocoles correctement pour votre domaine afin d'atténuer les failles et les défis de la sécurité SMTP.
Activez MTA-STS pour vos emails dès aujourd'hui en faisant un essai gratuit authentification des e-mails Essai DMARCpour améliorer vos défenses contre les attaques MITM et autres cyber-écoutes !
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
