Passer au contenu principal
MTA-STS

MTA-STS

1er avril 2021
Technologie du courrier électroniqueInformations sur la sécuritéConseils techniques

Qu'est-ce que MTA-STS ?

MTA-STS est un protocole de courrier entrant conçu pour ajouter une couche de cryptage/sécurité entre les serveurs d'envoi et de réception de courrier. Il a été conçu pour combler une faille existante dans le protocole STARTTLS qui permettait aux communications de ne pas être cryptées par un attaquant qui pouvait supprimer des parties de la session SMTP (comme la réponse "250 STARTTLS"). Pour ce faire, le DNS est utilisé comme tierce partie pour vérifier les connexions.

MTA-STS atténue spécifiquement les attaques par déclassement TLS, en empêchant les attaquants de désactiver STARTTLS et de forcer des sessions SMTP en clair, ce qui pourrait conduire à une attaque de type "man-in-the-middle".

Le protocole MTA-STS fonctionne en utilisant un enregistrement DNS qui indique aux serveurs de messagerie de récupérer un fichier de politique via HTTPS à partir d'un sous-domaine défini. Ce fichier contient une liste des serveurs de messagerie du destinataire qui sont authentifiés et approuvés pour recevoir les messages, ainsi que la politique à appliquer aux messages entrants.

Quelles sont les exigences pour MTA-STS ?

Assurez-vous d'avoir vérifié les points suivants avant de déployer MTA-STS.

  • Votre MX prend en charge SMTP sur TLS version 1.2 ou ultérieure.
  • Votre serveur prend en charge SSL (HTTPS)
  • Votre MX utilise un certificat TLS émis par une autorité de certification racine qui n'est pas expiré et qui correspond à son nom de domaine.

Lors de l'implémentation de MTA-STS, qui nécessite des entrées DNS, vous devez également activer le rapport TLS, qui nécessite également ses propres entrées DNS. En implémentant le rapport TLS, vous pourrez visualiser les performances de vos domaines et le taux de succès/échec de vos politiques MTA-STS. Cela vous donnera des informations importantes sur les expéditeurs de courrier avec lesquels vous devez travailler pour garantir l'absence d'interruption du flux de courrier.

Qu'est-ce que le fichier de politique MTA-STS ?

Le fichier de politique MTA-STS est un fichier texte brut contenant un ensemble des paires clé/valeur suivantes :

version : La version du protocole du fichier. Au moment de la rédaction de ce document, elle doit être STSv1.

mode : Il s'agit du mode de politique. Les valeurs disponibles sont testing, enforce ou none.

  • testing : Les expéditeurs enverront vos rapports (TLSRPT) indiquant les échecs d'application de la politique. Cela nécessite que TLSRPT soit également implémenté pour fonctionner. Les échecs de connexion TLS ne seront pas bloqués, tout en permettant de recevoir des rapports.
  • enforce : Les serveurs de messagerie expéditeurs qui prennent en charge MTA-STS ne livreront pas de courrier à votre domaine si l'authentification du certificat échoue ou si la négociation TLS est impossible. Des rapports sur ces échecs sont également envoyés.
  • none: Les expéditeurs considéreront le domaine comme n'ayant aucune politique active. Cela désactive effectivement MTA STS.

mx: Les enregistrements MX du domaine. Ils doivent correspondre aux enregistrements MX publiés dans le DNS de votre domaine. Vous pouvez spécifier soit le FQDN, soit un hôte générique (mx: mail.example.org ou mx: *.example.org). Assurez-vous que chaque enregistrement MX est ajouté sur sa propre ligne dans le fichier de politique. 

max_age: La durée de vie maximale de la politique, exprimée en secondes. Cela représente la durée pendant laquelle un expéditeur mettrait en cache la politique du domaine. Il est recommandé d'utiliser une valeur équivalente à plusieurs semaines ou plus, sans dépasser 31557600 (environ 1 an).

Exemple de fichier de politique :

version: STSv1
mode: testing
mx: mail.example.org
mx: *.example.org
mx: mail2.example.org
max_age: 604800

Comment implémenter MTA-STS

Une fois le fichier texte de politique prêt, il doit être publié sur le web pour être accessible aux expéditeurs. 

Le fichier doit être disponible à une URL spécifique sur un sous-domaine de votre domaine. Un exemple d'URL serait :

https://mta-sts.example.com/.well-known/mta-sts.txt

Cela nécessite la création du sous-domaine mta-sts, ainsi que d'un répertoire nommé .well-known dans ce sous-domaine. Ensuite, téléchargez le fichier texte de politique dans le répertoire .well-known du sous-domaine. 

Comment publier l'enregistrement DNS

Un enregistrement de ressource DNS TXT est nécessaire pour activer MTA-STS sur votre domaine. Cet enregistrement se trouve sur un sous-domaine unique :

_mta-sts

Pour le domaine example.org, ce serait _mta-sts.example.org.

L'enregistrement TXT contient 2 paires clé/valeur. 

  • “v”  La version du protocole, qui ne prend actuellement en charge que la valeur STSv1.
  • “id” Une chaîne de 1 à 32 caractères alphanumériques destinée à suivre les mises à jour de la politique. Cette chaîne doit être mise à jour chaque fois qu'une modification est apportée à votre fichier de politique MTA-STS. Une bonne pratique consiste à utiliser la date et l'heure de la modification pour composer le numéro d'identification.

Un exemple d'un tel enregistrement est le suivant :

_mta-sts.example.org.  IN TXT “v=STSv1; id=202104012135;”

Connectez-vous à votre compte dmarcian pour utiliser notre outil d'inspection MTS-STS, ci-dessous, afin de consulter les enregistrements de vos propres domaines.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité e-mail et une mission visant à rendre l'e-mail et Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation, et à implémenter et gérer DMARC sur le long terme.

Commencez avec notre essai de 30 jours

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécurité

Articles connexes