Posts

Au cas où vous auriez rencontré le "La politique MTA-STS est manquante : STSFetchResult.NONE "en utilisant des outils en ligne, vous êtes au bon endroit. Aujourd'hui, nous allons voir comment corriger ce message d'erreur et vous en débarrasser en incorporant une politique MTA-STS pour votre domaine.

Simple Mail Transfer Protocol, alias SMTP, est le protocole de transfert de courrier électronique standard utilisé par la majorité des fournisseurs de services de courrier électronique. Ce n'est pas un concept étranger que le SMTP a été confronté à des défis de sécurité depuis la nuit des temps, défis qu'il n'a pas été en mesure de relever jusqu'à présent. En effet, afin de rendre les courriers électroniques rétrocompatibles, le SMTP a introduit le cryptage opportuniste sous la forme d'une commande STARTTLS. Cela signifie essentiellement que si une connexion chiffrée ne peut être négociée entre deux serveurs SMTP en communication, la connexion est ramenée à une connexion non chiffrée et les messages sont envoyés en clair. 

Les courriers électroniques transférés via SMTP sont donc vulnérables à une surveillance omniprésente et à des cyber-attaques d'écoute telles que l'opération Man-in-the-Middle. Cette situation est risquée tant pour l'expéditeur que pour le destinataire et peut conduire à la violation de données sensibles. C'est là que MTA-STS intervient et rend le cryptage TLS obligatoire dans le SMTP afin d'empêcher que les courriels ne soient transmis par des connexions non sécurisées. 

Qu'est-ce qu'une politique MTA-STS ?

Pour améliorer la sécurité de vos e-mails SMTP et tirer le meilleur parti des protocoles d'authentification tels que MTA-STS, le serveur d'envoi doit prendre en charge le protocole et le serveur de réception des e-mails doit avoir une politique MTA-STS définie dans son DNS. Un mode d'application de la politique est également encouragé pour renforcer les normes de sécurité. La politique MTA-STS définit les serveurs de messagerie utilisant MTA-STS dans le domaine du destinataire. 

Afin d'activer MTA-STS pour votre domaine en tant que récepteur d'e-mails, vous devez héberger un fichier de politique MTA-STS dans votre DNS. Cela permet aux expéditeurs externes d'emails d'envoyer à votre domaine des emails authentifiés et cryptés par TLS avec une version mise à jour de TLS (1.2 ou plus). 

L'absence d'un fichier de politique publié ou mis à jour pour votre domaine peut être la principale raison pour laquelle vous rencontrez des messages d'erreur tels que "La politique MTA-STS est manquante : STSFetchResult.NONE "."Ce message indique que le serveur de l'expéditeur n'a pas pu récupérer le fichier de politique MTA-STS lorsqu'il a interrogé le DNS du destinataire et qu'il l'a trouvé manquant.

Conditions préalables pour le MTA-STS :

Les serveurs de messagerie pour lesquels MTA-STS sera activé doivent utiliser une version TLS de 1.2 ou plus, et doivent disposer de certificats TLS conformes aux normes et spécifications RFC actuelles, non expirés, et de certificats de serveur signés par une autorité de certification racine de confiance.

Étapes à suivre pour corriger "La politique MTA-STS est manquante".

1. Création et publication d'un enregistrement TXT DNS MTA-STS 

La première étape consiste à créer un enregistrement MTA-STS pour votre domaine. Vous pouvez créer un enregistrement instantanément à l'aide d'un générateur d'enregistrements MTA-STS, qui vous fournira un enregistrement DNS personnalisé pour votre domaine. 

2. Définir un mode de politique MTA-STS

MTA-STS offre deux modes de politique avec lesquels les utilisateurs peuvent travailler.

  • Mode de test: Ce mode est idéal pour les débutants qui n'ont pas configuré le protocole auparavant. Le mode de test MTA-STS vous permet de recevoir des rapports SMTP TLS sur les problèmes liés aux politiques MTA-STS, les problèmes d'établissement de connexions SMTP cryptées ou l'échec de la livraison des e-mails. Cela vous aide à répondre aux problèmes de sécurité existants relatifs à vos domaines et serveurs sans appliquer le cryptage TLS.
  • Mode d'application: Bien que vous receviez toujours vos rapports TLS, au fil du temps, il est optimal pour les utilisateurs d'appliquer leur politique MTA-STS afin de rendre le cryptage obligatoire lors de la réception d'e-mails via SMTP. Cela permet d'éviter que les messages soient modifiés ou altérés pendant leur transit.

3. Créer le fichier de politique MTA-STS

L'étape suivante consiste à héberger les fichiers de politique MTA-STS pour vos domaines. Notez que même si le contenu de chaque fichier peut être le même, il est obligatoire d'héberger les politiques séparément pour des domaines distincts, et un seul domaine ne peut avoir qu'un seul fichier de politique MTA-STS. Plusieurs fichiers de stratégie MTA-STS hébergés pour un seul domaine peuvent entraîner des erreurs de configuration du protocole. 

Le format standard d'un fichier de politique MTA-STS est indiqué ci-dessous : 

Nom du fichier : mta-sts.txt

Taille maximale du fichier : 64 KB

version : STSv1

mode : test

mx : mail.votredomaine.com

mx : *.votredomaine.com

max_age : 806400 

Remarque : Le fichier de politique affiché ci-dessus est simplement un exemple.

4. Publication de votre fichier de politique MTA-STS

Ensuite, vous devez publier votre fichier de politique MTA-STS sur un serveur web public accessible aux serveurs externes. Assurez-vous que le serveur sur lequel vous hébergez votre fichier prend en charge HTTPS ou SSL. La procédure à suivre est simple. Supposons que votre domaine soit préconfiguré avec un serveur Web public :

  • Ajoutez un sous-domaine à votre domaine existant qui doit commencer par le texte : mta-sts (par exemple mta-sts.domain.com) 
  • Votre fichier de stratégie pointera vers ce sous-domaine que vous avez créé et qui doit être stocké dans un fichier .well-known
  • L'URL du fichier de politique est ajoutée à l'entrée DNS lors de la publication de votre enregistrement DNS MTA-STS afin que le serveur puisse interroger le DNS pour récupérer le fichier de politique pendant le transfert du courrier électronique.

5. Activer MTA-STS et TLS-RPT

Enfin, vous devez publier votre MTA-STS et votre TLS-RPT dans le DNS de votre domaine, en utilisant TXT comme type de ressource, placé sur deux sous-domaines séparés (_smtp._tls et _mta-sts). Ainsi, seuls les messages cryptés TLS, vérifiés et non altérés, pourront atteindre votre boîte de réception. En outre, vous recevrez des rapports quotidiens sur les problèmes de livraison et de cryptage sur une adresse électronique ou un serveur web configuré par vos soins, à partir de serveurs externes.

Vous pouvez vérifier la validité de vos enregistrements DNS en effectuant une recherche d'enregistrement MTA-STS après la publication et la mise en ligne de votre enregistrement.  

Remarque : Chaque fois que vous apportez des modifications au contenu de vos fichiers de stratégie MTA-STS, vous devez le mettre à jour à la fois sur le serveur Web public sur lequel vous hébergez votre fichier, ainsi que sur l'entrée DNS qui contient l'URL de votre stratégie. Il en va de même chaque fois que vous mettez à jour ou ajoutez des domaines ou des serveurs.

Comment les services MTA-STS hébergés peuvent-ils aider à résoudre le problème "Politique MTA-STS manquante" ?

La mise en œuvre manuelle du MTA-STS peut être ardue et difficile et laisser place à des erreurs. La solution PowerDMARC MTA-STS hébergé hébergés par PowerDMARC aident à accélérer le processus pour les propriétaires de domaines, en rendant le déploiement du protocole sans effort et rapide. Vous pouvez :

  • Publier vos enregistrements CNAME pour MTA-STS en quelques clics
  • Externaliser les tâches difficiles liées à la maintenance et à l'hébergement des fichiers de politique MTA-STS et des serveurs Web.
  • Changez le mode de votre politique quand vous le souhaitez, directement depuis votre tableau de bord personnalisé, sans avoir à accéder à vos DNS.
  • Nous affichons les fichiers JSON du rapport SMTP TLS dans un format organisé et lisible par l'homme, qui est pratique et compréhensible pour les personnes techniques et non techniques.

Le meilleur ? Nous sommes conformes aux RFC et prenons en charge les dernières normes TLS. Cela vous permet de commencer à configurer MTA-STS sans erreur pour votre domaine, et de profiter de ses avantages tout en nous laissant les tracas et les complexités à gérer en votre nom ! 

Nous espérons que cet article vous a aidé à vous débarrasser de l'invite "MTA-STS policy is missing : STSFetchResult.NONE", et à configurer les protocoles correctement pour votre domaine afin d'atténuer les failles et les défis de la sécurité SMTP. 

Activez MTA-STS pour vos emails dès aujourd'hui en faisant un essai gratuit authentification des e-mails Essai DMARCpour améliorer vos défenses contre les attaques MITM et autres cyber-écoutes !