Comment héberger des politiques MTA-STS dynamiques pour plusieurs domaines avec Google Cloud
Ce guide explique comment configurer MTA-STS (Mail Transfer Agent Strict Transport Security) à l'aide de Google Cloud.
Nous y parviendrons à l'aide d'une fonction Cloud Run. La fonction identifiera le domaine à partir de l'URL et fournira le fichier de stratégie pertinent via HTTPS. L'une des meilleures fonctionnalités de Cloud Run est que Google provisionne et renouvelle automatiquement un certificat SSL géré pour vous.
Remarque: ce guide utilise de nombreuses valeurs par défaut qui peuvent ne pas convenir à la politique de sécurité de votre organisation ou à la configuration Google Cloud existante. Veuillez en tenir compte lors de la configuration dans votre environnement de production.
Étape 1 : Créer la fonction Cloud Run
Notre fonction Cloud Run examinera l'en-tête Host de la requête afin de déterminer quelle politique appliquer.
- Accédez à la console Cloud Run. Sous l'en-tête Écrire une fonction, sélectionnez Python.
- Nommez votre fonction, par exemple mta-sts-handler.
- Choisissez le runtime Python 3.x
- Sélectionnez Autoriser l'accès public
- Cliquez sur Créer
- Collez le code suivant, modifiez le contenu du dictionnaire des politiques pour l'adapter
- Renommez le point d'entrée de la fonction en mta_sts_handler, puis cliquez sur Enregistrer et redéployez.
Étape 2 : Créer des mappages de domaine
Nous devons maintenant mapper nos domaines à la fonction sans serveur que nous avons créée à l'étape précédente.
Si vous ne l'avez pas encore fait, vous devrez vérifier vos domaines auprès de Google. Cela prouve à Google que vous êtes le propriétaire du domaine, autorisant le compte à gérer le nom de domaine en votre nom.
- Accédez à Mappages de domaine, puis cliquez sur Ajouter un mappage.
- Dans le menu déroulant Sélectionnez un service à mapper, choisissez notre fonction nouvellement créée mta-sts-handler.
- Pour Sélectionner un domaine vérifié, vous sélectionnerez un domaine que vous avez déjà vérifié ou vous saisirez un domaine à vérifier.
Si vous n'avez pas vérifié votre domaine, vous serez invité à saisir un enregistrement TXT dans le DNS. Cela prouve à Google que vous êtes bien le propriétaire du domaine et autorise Google à l'utiliser.
- Pour Spécifier le sous-domaine, entrez mta-sts
- Si le domaine est déjà vérifié, vous serez invité à saisir un enregistrement CNAME à l'aide des valeurs fournies.
Vous pouvez maintenant répéter cette étape pour chacun de vos domaines.
Vérifiez que votre fichier de politique est valide.
Maintenant que toutes les étapes sont terminées, nous devons vérifier que tout fonctionne comme prévu. Pour cela, deux méthodes sont possibles.
La première option consiste à utiliser notre outil TLS & MTA-STS Inspector. Celui-ci garantira non seulement que votre fichier de politique est correctement pris en charge, mais vérifiera également la validité de vos enregistrements TLS et MTA-STS. L'outil TLS & MTA-STS Inspector est disponible uniquement via notre plateforme de gestion DMARC, dans le cadre d'un abonnement ou d'un essai gratuit.
Vous pouvez également saisir l'URL dans votre navigateur. Si tout fonctionne correctement, votre fichier de politique s'affichera sans avertissement de sécurité de la part de votre navigateur, comme illustré ici :
Comment dmarcian peut aider
Avec une équipe d'experts en sécurité des e-mails et pour mission de rendre les e-mails et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer la sécurité des e-mails sur le long terme. Vous pouvez vous inscrire pour un essai gratuit, au cours duquel notre équipe d'intégration et d'assistance vous aidera tout au long du processus.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
