Alerte importante : Google et Yahoo exigeront DMARC à partir de février 2024.
cryptage tls

Agent de transfert du courrier - Sûreté des transports (MTA-STS)

Le MTA-STS, comme son nom l'indique, est un protocole qui permet le transport crypté de messages entre deux serveurs de messagerie SMTP. MTA-STS spécifie aux serveurs d'envoi que les courriers électroniques ne doivent être envoyés que par une connexion cryptée TLS, et ne doivent pas être délivrés du tout dans le cas où une connexion sécurisée n'est pas établie via la commande STARTTLS. En renforçant la sécurité des courriers électroniques en transit, MTA-STS contribue à atténuer les attaques de type "Man-In-The-Middle" (MITM) telles que les attaques de déclassement SMTP et les attaques de spoofing DNS.

Comment le MTA-STS assure-t-il le cryptage des messages en transit ?

Prenons un exemple simple pour comprendre comment les messages sont cryptés pendant le flux de courrier électronique. Si un MTA envoie un courrier électronique à [email protected]Le MTA effectue une requête DNS pour savoir à quels MTA le courriel doit être envoyé. La requête DNS est envoyée pour récupérer les enregistrements MX de powerdmarc.com. Le MTA émetteur se connecte ensuite au MTA récepteur trouvé dans le résultat de la requête DNS, en demandant si ce serveur récepteur supporte le cryptage TLS. Si c'est le cas, le courrier électronique est envoyé via une connexion cryptée. Si ce n'est pas le cas, le MTA émetteur ne parvient pas à négocier une connexion sécurisée et envoie le courrier électronique en texte clair.

L'envoi de courriels par un chemin non crypté ouvre la voie à des attaques de surveillance omniprésentes comme le MITM et le déclassement du SMTP. Découvrons comment :

Décomposer l'anatomie d'une attaque du MITM

Essentiellement, une attaque MITM a lieu lorsqu'un attaquant remplace ou supprime la commande STARTTLS pour faire basculer la connexion sécurisée vers une connexion non sécurisée, sans cryptage TLS. C'est ce qu'on appelle une attaque de type "downgrade". Après avoir réussi une attaque de niveau inférieur, l'attaquant peut accéder au contenu du courrier électronique et le consulter sans entrave.

Un attaquant MITM peut également remplacer les enregistrements MX dans la réponse à la requête DNS par un serveur de messagerie auquel il a accès et qu'il contrôle. Dans ce cas, l'agent de transfert de courrier livre le courrier électronique au serveur de l'attaquant, lui permettant d'accéder au contenu du courrier électronique et de le modifier. Le courrier électronique peut ensuite être transmis au serveur du destinataire, sans être détecté. C'est ce qu'on appelle une attaque de spoofing DNS.

Attaque par rétrogradation SMTP

Assurer le cryptage avec MTA-STS

Lorsque vous envoyez des courriels en utilisant le serveur SMTP de vos fournisseurs de services de messagerie électronique comme Gmail ou Microsoft, les courriels sont transférés du serveur d'envoi au serveur de réception par le biais du protocole SMTP (Simple Mail Transfer Protocol). Cependant, le SMTP permet un cryptage opportuniste, ce qui implique que la communication entre les serveurs SMTP peut être cryptée ou non pour éviter la manipulation ou l'écoute du contenu des courriels. Le MTA-STS est publié en utilisant le HTTPS, ce qui le protège contre les attaques du MITM.

MTA-STS sécurise la livraison des courriers électroniques par : 

  • Mise en œuvre du cryptage TLS

  • Diffusion des enregistrements MX à partir d'un serveur sécurisé HTTPS

hébergé mta sts services
MTA STS hébergé

Le protocole MTA-STS est déployé en disposant d'un enregistrement DNS qui spécifie qu'un serveur de messagerie peut récupérer un fichier de politique à partir d'un sous-domaine spécifique. Ce fichier de politique est récupéré via HTTPS et authentifié par des certificats, ainsi que la liste des noms des serveurs de messagerie des destinataires. Le protocole spécifie à un serveur SMTP que la communication avec l'autre serveur SMTP doit être cryptée et que le nom de domaine sur le certificat doit correspondre au domaine du fichier de stratégie. Si le protocole MTA-STS est appliqué, dans le cas où un canal crypté ne peut être négocié, le message n'est pas du tout délivré.

Le dossier sur la politique MTA-STS

Le fichier politique MTA-STS est essentiellement un simple fichier texte, qui ressemble à ce qui suit :

version : STSv1
mode : appliquer
mx : mx1.powerdmarc.com
mx : mx2.powerdmarc.com
mx : mx3.powerdmarc.com
max_age : 604800

Note : Le champ de la version doit être inclus au début du fichier texte alors que les autres champs peuvent être incorporés dans n'importe quel ordre.

Le fichier de politique utilise le couplage clé-valeur, chaque valeur étant codée sur une ligne séparée dans le fichier texte, comme indiqué ci-dessus. La taille de ce fichier peut aller jusqu'à 64 Ko. Le nom du fichier de politique doit être mta-sts.txt. Les fichiers de politique doivent être mis à jour chaque fois que vous ajoutez ou modifiez des serveurs de messagerie dans votre domaine.

Remarque : si vous réglez le MTA-STS en mode d'exécution, certains courriels peuvent ne pas vous être envoyés. Il est donc conseillé de régler le mode "policy" sur "testing" et d'opter pour un max_age bas afin de s'assurer que tout fonctionne correctement avant de passer en mode "enforce". Nous vous recommandons de configurer TLS-RPT pour votre politique en mode test afin d'être averti si des courriers électroniques sont envoyés en texte clair. 

Politique MTA-STS

Publication du dossier politique MTA-STS

Afin de publier le fichier de politique MTA-STS, le serveur web qui héberge votre fichier doit

  • Soutenir HTTPS/SSL
  • Le certificat du serveur doit être signé et validé par une autorité de certification racine tierce.

Afin de publier un fichier de politique pour votre domaine, vous devez mettre en place un serveur web public avec le sous-domaine "mta-sts" ajouté à votre domaine.. Le fichier de politique créé doit être publié dans le répertoire .known créé dans le sous-domaine. L'URL de votre fichier de politique MTA-STS téléchargé peut ressembler à ceci :

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

MTA STS hébergé

Enregistrement DNS MTA-STS

Un enregistrement DNS TXT pour MTA-STS est publié sur le DNS de votre domaine pour spécifier que votre domaine supporte le protocole MTA-STS et pour signaler le rafraîchissement des valeurs mises en cache dans les MTA en cas de modification de la politique. L'enregistrement DNS MTA-STS est placé dans le sous-domaine _mta-sts comme dans : _mta-sts.powerdmarc.com. L'enregistrement TXT doit commencer par v=STSv1, et le "id" peut contenir jusqu'à 32 caractères alphanumériques, inclus de la manière suivante :

 v=STSv1 ; id=30271001S00T000 ;

Remarque : la valeur d'identification de l'enregistrement TXT doit être mise à jour à une nouvelle valeur chaque fois que vous apportez des modifications à la politique. 

L'enregistrement DNS MTA-STS est utilisé pour : 

  • Préciser le support de MTA-STS pour le domaine
  • Indiquez à l'ATM de récupérer la politique sur le HTTPS en cas de modification de la politique

Notez qu'avec l'enregistrement DNS TXT MTA-STS, le fichier de politique peut être stocké par les MTA pendant une période plus longue sans avoir à récupérer la politique à moins qu'elle n'ait été modifiée, tout en effectuant une requête DNS à chaque fois qu'un courriel est reçu pour le domaine.

Configurer le MTA-STS pour votre domaine

Afin d'activer le MTA-STS pour votre domaine, vous devrez le faire :

  • Ajouter un enregistrement DNS de type cname à mta-sts.example.comLe fichier de politique MTA-STS est dirigé vers le serveur web compatible HTTPS qui héberge le fichier de politique MTA-STS.

  • Ajouter un enregistrement DNS de type txt ou cname à _mta-sts.example.com qui précise la prise en charge de MTA-STS pour votre domaine.

  • Configurez un serveur web compatible HTTPS avec un certificat valide pour votre domaine.

  • Activez le rapport SMTP TLS pour votre domaine afin de détecter les problèmes de livraison du courrier électronique dus à des défaillances du cryptage TLS.

icône de recherche de dossiers du spf powerdmarc

Défis rencontrés lors du déploiement manuel du MTA-STS

Le MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante, ce qui rend le processus de déploiement long, fastidieux et compliqué. C'est pourquoi, chez PowerDMARC, nous vous aidons à gérer la plupart des choses en arrière-plan en publiant simplement trois enregistrements CNAME dans le DNS de votre domaine.

Les services MTA-STS hébergés par PowerDMARC

PowerDMARC vous facilite grandement la vie en gérant tout cela pour vous, complètement en arrière-plan. Une fois que nous vous avons aidé à le mettre en place, vous n'avez même plus besoin d'y penser.

  • Nous vous aidons à publier vos enregistrements de noms en quelques clics

  • Nous prenons la responsabilité de la maintenance du serveur web et de l'hébergement des certificats

  • Grâce à nos services MTA-STS hébergés, le déploiement de votre part est réduit à la simple publication de quelques enregistrements DNS

  • Vous pouvez apporter des modifications à la politique MTA-STS instantanément et facilement, via le tableau de bord de PowerDMARC, sans avoir à modifier manuellement le DNS

  • Les services MTA-STS hébergés par PowerDMARC sont conformes au RFC et prennent en charge les dernières normes TLS

  • De la génération des certificats et du fichier de politique MTA-STS à l'application de la politique, nous vous aidons à éviter les énormes complexités liées à l'adoption du protocole

Rapport TLS SMTP (TLS-RPT)

Afin de rendre la connexion entre deux serveurs SMTP communicants plus sûre et plus cryptée par TLS, le MTA-STS a été introduit pour renforcer le cryptage et empêcher que les courriers électroniques ne soient envoyés en clair, au cas où l'un des serveurs ne prendrait pas en charge TLS. Toutefois, un problème reste encore à résoudre, à savoir Comment informer les propriétaires de domaines si des serveurs distants rencontrent des problèmes de livraison de courrier électronique en raison d'une défaillance du cryptage TLS ? C'est ici que le TLS-RPT entre en jeu, en fournissant des rapports de diagnostic afin de permettre la surveillance et le dépannage des problèmes de communication entre serveurs, tels que les certificats TLS expirés, les mauvaises configurations des serveurs de courrier électronique ou l'échec de la négociation d'une connexion sécurisée en raison du manque de prise en charge du cryptage TLS.

Les rapports TLS aident à détecter et à répondre aux problèmes de livraison de courrier électronique grâce à un mécanisme de rapport sous la forme de fichiers JSON. Ces fichiers JSON peuvent être compliqués et indéchiffrables pour une personne non technique.

PowerDMARC permet de simplifier les fichiers JSON sous la forme de documents simples, complets et lisibles avec des graphiques et des tableaux pour votre confort. Les rapports de diagnostic pour votre domaine sont également affichés en deux formats sur le tableau de bord de PowerDMARC : par résultat et par source d'envoi.

powerdmarc tls rpt
graphiques json

Activer le TLS-RPT pour votre domaine

Le processus d'activation du rapport SMTP TLS est assez simple. Pour l'activer, il suffit d'ajouter un enregistrement DNS TXT au bon endroit, en préfixant _smtp._tls. à votre nom de domaine. Avec PowerDMARC cependant, cela peut être configuré directement depuis l'interface utilisateur de PowerDMARC sans que vous ayez à modifier vos DNS !

Dès que vous activez TLS-RPT, les agents de transfert de courrier acquiesçant commenceront à envoyer des rapports de diagnostic concernant les problèmes de distribution du courrier électronique entre les serveurs de communication au domaine de courrier électronique désigné. Les rapports sont généralement envoyés une fois par jour, couvrant et transmettant les politiques MTA-STS observées par les expéditeurs, les statistiques de trafic ainsi que des informations sur les échecs ou les problèmes de distribution du courrier électronique.

Foire aux questions

Le panneau de contrôle de PowerDMARC vous permet de configurer automatiquement MTA-STS et TLS-RPT pour votre domaine en publiant seulement trois enregistrements CNAME dans le DNS de votre domaine. De l'hébergement des fichiers de politique et des certificats MTAS-STS à la maintenance du serveur web, nous nous occupons de tout en arrière-plan sans que vous ayez à modifier votre DNS. Le déploiement de MTA-STS de votre part avec PowerDMARC est réduit à quelques clics seulement.

Vous pouvez déployer et gérer le MTA-STS pour tous vos domaines à partir de votre compte PowerDMARC, à travers une seule vitre. Si l'un de ces domaines utilise des serveurs de réception de courrier qui ne prennent pas en charge STARTTLS, cela se reflétera dans vos rapports TLS, à condition que vous ayez activé TLS-RPT pour ces domaines.

Il est toujours conseillé de régler votre mode de politique MTA-STS sur testing pendant les phases initiales de déploiement afin de pouvoir surveiller les activités et d'avoir une meilleure visibilité de votre écosystème de messagerie avant de passer à une politique plus agressive comme l'application. Ainsi, même si les courriels ne sont pas envoyés via une connexion cryptée TLS, ils seront toujours envoyés en texte clair. Cependant, assurez-vous d'activer le TLS-RPT pour être averti si cela se produit.

Le TLS-RPT est un mécanisme de signalement complet qui vous permet d'être averti lorsqu'une connexion sécurisée n'a pas pu être établie et que le courrier électronique ne vous a pas été transmis. Cela vous aide à détecter les problèmes de livraison de courrier électronique ou de courrier électronique livré via une connexion non sécurisée afin que vous puissiez les atténuer et les résoudre rapidement.

Vous devez noter que si le MTA-STS garantit que les courriels sont transférés via une connexion cryptée TLS, si une connexion sécurisée n'est pas négociée, le courriel peut ne pas être livré du tout. Ceci est toutefois nécessaire car cela garantit que le courrier électronique n'est pas transmis par un chemin non crypté. Pour éviter de tels problèmes, il est conseillé de mettre en place une politique MTA-STS sur un mode de test et d'activer le TLS-RPT pour votre domaine dans un premier temps, avant de passer au mode d'application MTA-STS. 

Vous pouvez facilement changer votre mode MTA-STS depuis le tableau de bord PowerMTA-STS en sélectionnant le mode de politique désiré et en enregistrant les changements sans avoir à modifier votre DNS.

Vous pouvez désactiver le MTA-STS pour votre domaine soit en réglant le mode politique sur none, ce qui permet de spécifier aux MTA que votre domaine ne prend pas en charge le protocole, soit en supprimant votre enregistrement DNS TXT MTA-STS. 

Les enregistrements MX pour le fichier de politique MTA-STS doivent inclure les entrées pour tous les serveurs de courrier électronique de réception utilisés par votre domaine.

Programmez une démo aujourd'hui
powerdmarc, le courrier électronique sécurisé