Alerte importante : Google et Yahoo exigeront DMARC à partir de février 2024.

Garantir la sécurité de l'acheminement du courrier électronique avec MTA-STS

Le système MTA-STS hébergé de PowerDMARC vous aide à configurer MTA-STS correctement et facilement. La plupart des courriers électroniques sont aujourd'hui sécurisés par le cryptageTLS (Transport Layer Security), une norme industrielle adoptée même par les courriers électroniques grand public. Mais les attaquants peuvent intercepter votre courrier électronique avant même qu'il ne soit crypté. Si votre courrier électronique n'est pas transporté par une connexion sécurisée, vos données peuvent être volées ou même modifiées par un pirate. Mail Transfer Agent-Strict Transport Security (MTA-STS) corrige ce problème, en garantissant la sécurité du transport de votre courrier électronique.

Comment fonctionne le cryptage TLS ?

Lorsque vous envoyez un courrier électronique depuis votre domaine, votre agent de transfert de courrier (MTA) effectue une requête au serveur de réception pour vérifier s'il prend en charge la commande STARTTLS. Lorsque votre MTA confirme que le destinataire prend en charge la commande STARTTLS, il passe à une connexion cryptée et envoie le courrier électronique en toute sécurité.

Mais un attaquant peut perturber ce processus, en redirigeant le courrier électronique vers un serveur qu'il contrôle, ou faire échouer la requête STARTTLS, en incitant votre MTA à envoyer le courrier électronique par une connexion non cryptée. Dans les deux cas, l'attaquant peut avoir un accès total à vos courriels.

Comment fonctionne le cryptage TLS ?

Pourquoi le MTA-STS ?

MTA-Strict Transport Security (MTA-STS) est un protocole de sécurité conçu pour atténuer les deux attaques MITM. Voici comment il fonctionne :

  • Utilisation des serveurs HTTPS

Les enregistrements MX, que votre MTA interroge via le DNS, sont comparés aux enregistrements stockés dans le fichier de politique MTA-STS, qui sont récupérés via HTTPS. Les MTA mettent également en cache les fichiers de politique MTA-STS, ce qui rend une attaque d'usurpation de DNS beaucoup plus difficile à réaliser.

  • TLS obligatoire

MTA-STS permet à votre domaine de publier une politique qui rend obligatoire l'envoi de courrier électronique avec TLS crypté. Si, pour une raison quelconque, le serveur de réception ne prend pas en charge STARTTLS, le courrier électronique ne sera pas envoyé du tout. Il est alors impossible d'effectuer un déclassement SMTP.

Que peut faire PowerDMARC ?

  • Hébergé par MTA-STS :

Le MTA-STS nécessite un serveur web compatible HTTPS avec un certificat valide, des enregistrements DNS et une maintenance constante. PowerDMARC vous facilite la vie en gérant tout cela pour vous, complètement en arrière-plan. Une fois que nous vous avons aidé à le mettre en place, vous n'avez même plus besoin d'y penser.

Hébergement MTA-STS
Rapports TLS
  • Rapports TLS

Grâce à MTA-STS, vous pouvez faire en sorte que les courriers électroniques soient envoyés à votre domaine via une connexion cryptée TLS. Cela peut entraîner des problèmes occasionnels dans l'acheminement des courriers électroniques. TLS Reporting (TLS-RPT) vous permet de recevoir des rapports constants sur l'état du courrier électronique dans votre domaine afin que vous puissiez résoudre rapidement les problèmes dès qu'ils surviennent. PowerDMARC reçoit ces rapports sous forme de fichiers JSON et les convertit en graphiques et tableaux simplifiés que tout le monde peut lire. Moins vous perdez de temps, plus vite vous pouvez résoudre les problèmes.

Organisez dès aujourd'hui une démonstration de MTA-STS hébergé.