Une norme Internet largement connue qui facilite en améliorant la sécurité des connexions entre les serveurs SMTP (Simple Mail Transfer Protocol) est le SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
En 1982, le SMTP a été spécifié pour la première fois et il ne contenait aucun mécanisme permettant d'assurer la sécurité au niveau du transport pour sécuriser les communications entre les agents de transfert du courrier. Toutefois, en 1999, la commande STARTTLS a été ajoutée au SMTP qui, à son tour, a pris en charge le cryptage des courriers électroniques entre les serveurs, offrant la possibilité de convertir une connexion non sécurisée en une connexion sécurisée qui est cryptée à l'aide du protocole TLS.
Dans ce cas, vous devez vous demander pourquoi le passage au MTA-STS était nécessaire si le SMTP a adopté les STARTTLS pour sécuriser les connexions entre les serveurs. Voyons cela dans la section suivante de ce blog !
La nécessité de passer à la MTA-STS
STARTTLS n'était pas parfait, et il n'a pas réussi à résoudre deux problèmes majeurs : le premier étant qu'il s'agit d'une mesure facultative, donc STARTTLS ne parvient pas à prévenir les attaques de l'homme du milieu (MITM). En effet, un attaquant MITM peut facilement modifier une connexion et empêcher la mise à jour du cryptage. Le deuxième problème est que même si STARTTLS est mis en œuvre, il n'y a aucun moyen d'authentifier l'identité du serveur d'envoi car les serveurs de courrier SMTP ne valident pas les certificats.
Bien que la plupart des courriers électroniques sortants soient aujourd'hui sécurisés par le cryptage TLS (Transport Layer Security), une norme industrielle adoptée même par les courriers électroniques des consommateurs, les attaquants peuvent toujours faire obstruction et altérer votre courrier électronique avant même qu'il ne soit crypté. Si vous envoyez vos courriels par une connexion sécurisée, vos données pourraient être compromises ou même modifiées et altérées par un cyber-attaquant. C'est ici que MTA-STS intervient et résout ce problème, en garantissant un transit sûr de vos courriers électroniques et en atténuant avec succès les attaques MITM. En outre, les MTA stockent les fichiers de politique MTA-STS, ce qui rend plus difficile pour les attaquants de lancer une attaque de spoofing DNS.
Le MTA-STS offre une protection contre :
- Les attaques de dégradation
- Attaques de l'homme au milieu (MITM)
- Il résout de nombreux problèmes de sécurité SMTP, notamment les certificats TLS expirés et le manque de prise en charge des protocoles sécurisés.
Comment fonctionne le MTA-STS ?
Le protocole MTA-STS est déployé en disposant d'un enregistrement DNS qui spécifie qu'un serveur de messagerie peut récupérer un fichier de politique à partir d'un sous-domaine spécifique. Ce fichier de politique est récupéré via HTTPS et authentifié par des certificats, ainsi que la liste des noms des serveurs de messagerie des destinataires. La mise en œuvre de MTA-STS est plus facile du côté du destinataire que du côté de l'expéditeur car elle nécessite d'être prise en charge par le logiciel du serveur de messagerie. Si certains serveurs de courrier électronique prennent en charge MTA-STS, comme PostFix, ce n'est pas le cas de tous.
Les principaux fournisseurs de services de courrier tels que Microsoft, Oath et Google prennent en charge MTA-STS. Le service Gmail de Google a déjà adopté les politiques MTA-STS ces derniers temps. MTA-STS a supprimé les inconvénients de la sécurité des connexions de messagerie en rendant le processus de sécurisation des connexions facile et accessible pour les serveurs de messagerie pris en charge.
Les connexions des utilisateurs aux serveurs de messagerie sont généralement protégées et cryptées avec le protocole TLS, mais il existait déjà un manque de sécurité dans les connexions entre les serveurs de messagerie avant la mise en œuvre de MTA-STS. Avec une prise de conscience accrue de la sécurité du courrier électronique ces derniers temps et le soutien des principaux fournisseurs de courrier électronique dans le monde, la majorité des connexions de serveurs devraient être cryptées dans un avenir récent. En outre, le MTA-STS garantit efficacement que les cybercriminels sur les réseaux ne peuvent pas lire le contenu du courrier électronique.
Déploiement facile et rapide des services MTA-STS hébergés par PowerDMARC
Le MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante. PowerDMARC vous facilite la vie en gérant tout cela pour vous, complètement en arrière-plan. Une fois que nous vous avons aidé à le mettre en place, vous n'avez même plus besoin d'y penser.
Avec l'aide de PowerDMARC, vous pouvez déployer le MTA-STS hébergé dans votre organisation sans tracas et à un rythme très rapide, à l'aide duquel vous pouvez faire en sorte que les courriels soient envoyés à votre domaine via une connexion cryptée TLS, ce qui sécurise votre connexion et tient les attaques MITM à distance.
