Une norme Internet largement connue qui facilite en l'améliorant la sécurité des connexions entre les serveurs SMTP (Simple Mail Transfer Protocol) est le SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS résout les problèmes existants en matière de sécurité du courrier électronique SMTP en appliquant le cryptage TLS en transit.
L'histoire et l'origine de MTA-STS
En 1982, SMTP a été spécifié pour la première fois et ne contenait aucun mécanisme permettant d'assurer la sécurité au niveau du transport pour sécuriser les communications entre les agents de transfert de courrier. Toutefois, en 1999, la commande STARTTLS a été ajoutée au protocole SMTP et a permis le cryptage des courriers électroniques entre les serveurs, offrant la possibilité de convertir une connexion non sécurisée en une connexion sécurisée qui est cryptée à l'aide du protocole TLS.
Dans ce cas, vous devez vous demander si SMTP a adopté STARTTLS pour sécuriser les connexions entre les serveurs, pourquoi le passage à MTA-STS était nécessaire et à quoi sert-il ? Nous allons aborder ces questions dans les sections suivantes de ce blog !
Qu'est-ce que MTA-STS ? (Mail Transfer Agent Strict Transport Security - Explication)
MTA-STS est une norme de sécurité qui garantit la transmission sécurisée des courriers électroniques via une connexion SMTP cryptée. L'acronyme MTA signifie Message Transfer Agent, un programme qui transfère les messages électroniques entre ordinateurs. L'acronyme STS signifie Strict Transport Security, qui est le protocole utilisé pour mettre en œuvre la norme. Un agent de transfert de courrier (MTA) ou un agent de transfert de messages sécurisé (SMTA) conscient de la norme MTA-STS fonctionne conformément à cette spécification et fournit un canal sécurisé de bout en bout pour l'envoi de courrier électronique sur des réseaux non sécurisés.
Le protocole MTA-STS permet à un client SMTP de vérifier l'identité du serveur et de s'assurer qu'il ne se connecte pas à un imposteur en demandant au serveur de fournir l'empreinte de son certificat lors de la poignée de main TLS. Le client vérifie ensuite le certificat par rapport à un magasin de confiance contenant les certificats de serveurs connus.
La nécessité de passer à la MTA-STS
STARTTLS n'était pas parfait, et il n'a pas réussi à résoudre deux problèmes majeurs : le premier étant qu'il s'agit d'une mesure facultative, donc STARTTLS ne parvient pas à prévenir les attaques de l'homme du milieu (MITM). En effet, un attaquant MITM peut facilement modifier une connexion et empêcher la mise à jour du cryptage. Le deuxième problème est que même si STARTTLS est mis en œuvre, il n'y a aucun moyen d'authentifier l'identité du serveur d'envoi car les serveurs de courrier SMTP ne valident pas les certificats.
Bien que la plupart des courriers électroniques sortants soient aujourd'hui sécurisés par le cryptage TLS (Transport Layer Security), une norme industrielle adoptée même par les courriers électroniques grand public, les attaquants peuvent toujours entraver et altérer votre courrier électronique avant même qu'il ne soit crypté. Si vous envoyez vos courriels par une connexion sécurisée, vos données peuvent être compromises, voire modifiées et altérées par un cyber-attaquant. C'est ici que MTA-STS intervient et résout ce problème, en garantissant un transit sûr de vos e-mails et en atténuant les attaques MITM. En outre, les MTA stockent les fichiers de politique MTA-STS, ce qui rend plus difficile pour les attaquants de lancer une attaque par usurpation de DNS.
Le MTA-STS offre une protection contre :
- Les attaques de dégradation
- Attaques de l'homme au milieu (MITM)
- Il résout de nombreux problèmes de sécurité SMTP, notamment les certificats TLS expirés et le manque de prise en charge des protocoles sécurisés.
Comment fonctionne le MTA-STS ?
Le protocole MTA-STS est déployé en ayant un enregistrement DNS qui spécifie qu'un serveur de messagerie peut récupérer un fichier de stratégie à partir d'un sous-domaine spécifique. Ce fichier de politique est récupéré via HTTPS et authentifié par des certificats, avec la liste des noms des serveurs de messagerie du destinataire. La mise en œuvre de MTA-STS est plus facile du côté du destinataire que du côté de l'expéditeur, car elle doit être prise en charge par le logiciel du serveur de messagerie. Si certains serveurs de messagerie prennent en charge MTA-STS, comme PostFix, tous ne le font pas.
Les principaux fournisseurs de services de courrier tels que Microsoft, Oath et Google prennent en charge MTA-STS. Le service Gmail de Google a déjà adopté les politiques MTA-STS ces derniers temps. MTA-STS a supprimé les inconvénients de la sécurité des connexions de messagerie en rendant le processus de sécurisation des connexions facile et accessible pour les serveurs de messagerie pris en charge.
Les connexions des utilisateurs aux serveurs de messagerie sont généralement protégées et cryptées avec le protocole TLS, mais il existait déjà un manque de sécurité dans les connexions entre les serveurs de messagerie avant la mise en œuvre de MTA-STS. Avec une prise de conscience accrue de la sécurité du courrier électronique ces derniers temps et le soutien des principaux fournisseurs de courrier électronique dans le monde, la majorité des connexions de serveurs devraient être cryptées dans un avenir récent. En outre, le MTA-STS garantit efficacement que les cybercriminels sur les réseaux ne peuvent pas lire le contenu du courrier électronique.
Déploiement facile et rapide des services MTA-STS hébergés par PowerDMARC
MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante. L'outil d'analyse DMARC de PowerDMARC vous facilite la vie en gérant tout cela pour vous, complètement en arrière-plan. Une fois que nous vous avons aidé à le mettre en place, vous n'avez même plus à y penser.
Avec l'aide de PowerDMARC, vous pouvez déployer le MTA-STS hébergé dans votre organisation sans tracas et à un rythme très rapide, à l'aide duquel vous pouvez faire en sorte que les courriels soient envoyés à votre domaine via une connexion cryptée TLS, ce qui sécurise votre connexion et tient les attaques MITM à distance.
- Comment authentifier les courriels ? - 28 mars 2023
- Comment fonctionne le DNS ? - 27 mars 2023
- Qu'est-ce qu'un logiciel malveillant sans fichier ? - 27 mars 2023