Garantir la sécurité de l'acheminement du courrier électronique avec MTA-STS

Le MTA-STS hébergé de PowerDMARC vous aide à configurer MTA-STS correctement et facilement. Aujourd'hui, la plupart des courriers électroniques sont sécurisés par le cryptageTLS (Transport Layer Security), une norme industrielle adoptée même par les courriers électroniques grand public. Mais les attaquants peuvent intercepter votre courrier électronique avant même qu'il ne soit crypté. Si votre courrier électronique n'est pas transporté par une connexion sécurisée, vos données peuvent être volées ou même modifiées par un attaquant. La solution MTA-STS (Mail Transfer Agent-Strict Transport Security) corrige ce problème en garantissant la sécurité du transport de votre courrier électronique.

Comment fonctionne le cryptage TLS ?

Lorsque vous envoyez un courrier électronique depuis votre domaine, votre agent de transfert de courrier (MTA) effectue une requête au serveur de réception pour vérifier s'il prend en charge la commande STARTTLS. Lorsque votre MTA confirme que le destinataire prend en charge la commande STARTTLS, il passe à une connexion cryptée et envoie le courrier électronique en toute sécurité.

Mais un attaquant peut perturber ce processus, en redirigeant le courrier électronique vers un serveur qu'il contrôle, ou faire échouer la requête STARTTLS, en incitant votre MTA à envoyer le courrier électronique par une connexion non cryptée. Dans les deux cas, l'attaquant peut avoir un accès total à vos courriels.

Comment fonctionne le cryptage TLS ?

Pourquoi le MTA-STS ?

MTA-Strict Transport Security (MTA-STS) est un protocole de sécurité conçu pour atténuer les deux attaques MITM. Voici comment il fonctionne :

  • Utilisation des serveurs HTTPS

Les enregistrements MX, que votre MTA interroge via le DNS, sont comparés aux enregistrements stockés dans le fichier de politique MTA-STS, qui sont récupérés via HTTPS. Les MTA mettent également en cache les fichiers de politique MTA-STS, ce qui rend une attaque d'usurpation de DNS beaucoup plus difficile à réaliser.

  • TLS obligatoire

MTA-STS permet à votre domaine de publier une politique qui rend obligatoire l'envoi de courrier électronique avec TLS crypté. Si, pour une raison quelconque, le serveur de réception ne prend pas en charge STARTTLS, le courrier électronique ne sera pas envoyé du tout. Il est alors impossible d'effectuer un déclassement SMTP.