Alerte importante : Google et Yahoo exigeront DMARC à partir d'avril 2024.
En savoir plus

MTA-STS et TLS-RPT Guide de mise en œuvre

Bienvenue dans ce manuel détaillé sur MTA-STS et TLS-RPT, qui vous permettra d'acquérir des connaissances pratiques sur les protocoles et leurs fonctionnalités.

Nous contacter Réserver une démo

Table des matières

  1. Qu'est-ce que le MTA-STS (Mail Transfer Agent-Strict Transport Security) ?
  2. Comment le MTA-STS assure-t-il le cryptage des messages en transit ?
  3. Décomposer l'anatomie d'une attaque du MITM
  4. Comment le MTA-STS assure-t-il le cryptage TLS ?
  5. Qu'est-ce que le dossier politique MTA-STS ?
  6. Comment publier le dossier politique MTA-STS ?
  7. Qu'est-ce que l'enregistrement DNS MTA-STS ?
  8. Comment déployer le MTA-STS ?
  9. Quelles sont les cles défis rencontrés lors du déploiement manuel de MTA-STS?
  10. Les services MTA-STS hébergés par PowerDMARC
  11. Qu'est-ce que le SMTP TLS Reporting (TLS-RPT) ?
  12. Comment activer le TLS-RPT pour votre domaine ?
  13. Foire aux questions
cryptage tls

Agent de transfert du courrier - Sûreté des transports (MTA-STS)

Le MTA-STS, comme son nom l'indique, est un protocole qui permet le transport crypté de messages entre deux serveurs de messagerie SMTP. MTA-STS spécifie aux serveurs d'envoi que les courriers électroniques ne doivent être envoyés que par une connexion cryptée TLS, et ne doivent pas être délivrés du tout dans le cas où une connexion sécurisée n'est pas établie via la commande STARTTLS. En renforçant la sécurité des courriers électroniques en transit, MTA-STS contribue à atténuer les attaques de type "Man-In-The-Middle" (MITM) telles que les attaques de déclassement SMTP et les attaques de spoofing DNS.

En savoir plus

Comment le MTA-STS assure-t-il le cryptage des messages en transit ?

Prenons un exemple simple pour comprendre comment les messages sont cryptés pendant le flux de courrier électronique. Si un MTA envoie un courrier électronique à [email protected]Le MTA effectue une requête DNS pour savoir à quels MTA le courriel doit être envoyé. La requête DNS est envoyée pour récupérer les enregistrements MX de powerdmarc.com. Le MTA émetteur se connecte ensuite au MTA récepteur trouvé dans le résultat de la requête DNS, en demandant si ce serveur récepteur supporte le cryptage TLS. Si c'est le cas, le courrier électronique est envoyé via une connexion cryptée. Si ce n'est pas le cas, le MTA émetteur ne parvient pas à négocier une connexion sécurisée et envoie le courrier électronique en texte clair.

L'envoi de courriels par un chemin non crypté ouvre la voie à des attaques de surveillance omniprésentes comme le MITM et le déclassement du SMTP. Découvrons comment :

Décomposer l'anatomie d'une attaque du MITM

Essentiellement, une attaque MITM a lieu lorsqu'un attaquant remplace ou supprime la commande STARTTLS pour faire basculer la connexion sécurisée vers une connexion non sécurisée, sans cryptage TLS. C'est ce qu'on appelle une attaque de type "downgrade". Après avoir réussi une attaque de niveau inférieur, l'attaquant peut accéder au contenu du courrier électronique et le consulter sans entrave.

Un attaquant MITM peut également remplacer les enregistrements MX dans la réponse à la requête DNS par un serveur de messagerie auquel il a accès et qu'il contrôle. Dans ce cas, l'agent de transfert de courrier livre le courrier électronique au serveur de l'attaquant, lui permettant d'accéder au contenu du courrier électronique et de le modifier. Le courrier électronique peut ensuite être transmis au serveur du destinataire, sans être détecté. C'est ce qu'on appelle une attaque de spoofing DNS.

Foire aux questions

Le panneau de contrôle de PowerDMARC vous permet de configurer automatiquement MTA-STS et TLS-RPT pour votre domaine en publiant seulement trois enregistrements CNAME dans le DNS de votre domaine. De l'hébergement des fichiers de politique et des certificats MTAS-STS à la maintenance du serveur web, nous nous occupons de tout en arrière-plan sans que vous ayez à modifier votre DNS. Le déploiement de MTA-STS de votre part avec PowerDMARC est réduit à quelques clics seulement.

Vous pouvez déployer et gérer le MTA-STS pour tous vos domaines à partir de votre compte PowerDMARC, à travers une seule vitre. Si l'un de ces domaines utilise des serveurs de réception de courrier qui ne prennent pas en charge STARTTLS, cela se reflétera dans vos rapports TLS, à condition que vous ayez activé TLS-RPT pour ces domaines.

Il est toujours conseillé de régler votre mode de politique MTA-STS sur testing pendant les phases initiales de déploiement afin de pouvoir surveiller les activités et d'avoir une meilleure visibilité de votre écosystème de messagerie avant de passer à une politique plus agressive comme l'application. Ainsi, même si les courriels ne sont pas envoyés via une connexion cryptée TLS, ils seront toujours envoyés en texte clair. Cependant, assurez-vous d'activer le TLS-RPT pour être averti si cela se produit.

Le TLS-RPT est un mécanisme de signalement complet qui vous permet d'être averti lorsqu'une connexion sécurisée n'a pas pu être établie et que le courrier électronique ne vous a pas été transmis. Cela vous aide à détecter les problèmes de livraison de courrier électronique ou de courrier électronique livré via une connexion non sécurisée afin que vous puissiez les atténuer et les résoudre rapidement.

Vous devez noter que si le MTA-STS garantit que les courriels sont transférés via une connexion cryptée TLS, si une connexion sécurisée n'est pas négociée, le courriel peut ne pas être livré du tout. Ceci est toutefois nécessaire car cela garantit que le courrier électronique n'est pas transmis par un chemin non crypté. Pour éviter de tels problèmes, il est conseillé de mettre en place une politique MTA-STS sur un mode de test et d'activer le TLS-RPT pour votre domaine dans un premier temps, avant de passer au mode d'application MTA-STS. 

Vous pouvez facilement changer votre mode MTA-STS depuis le tableau de bord PowerMTA-STS en sélectionnant le mode de politique désiré et en enregistrant les changements sans avoir à modifier votre DNS.

Vous pouvez désactiver le MTA-STS pour votre domaine soit en réglant le mode politique sur none, ce qui permet de spécifier aux MTA que votre domaine ne prend pas en charge le protocole, soit en supprimant votre enregistrement DNS TXT MTA-STS. 

Les enregistrements MX pour le fichier de politique MTA-STS doivent inclure les entrées pour tous les serveurs de courrier électronique de réception utilisés par votre domaine.