Skip to main content
MTA-STS

MTA-STS

-
Sécurité de la messagerie électroniqueTechnologie du courrier électroniqueConseils techniques

Qu'est-ce que MTA-STS ?

MTA-STS est un protocole de courrier entrant conçu pour ajouter une couche de cryptage/sécurité entre les serveurs de courrier d'envoi et de réception. Il a été conçu pour combler une faille existante dans le protocole STARTTLS qui permettait à la communication d'être non chiffrée par un attaquant qui pouvait supprimer des parties de la session SMTP (comme la réponse "250 STARTTLS"). Pour ce faire, le DNS est utilisé comme tierce partie pour vérifier les connexions.

MTA-STS est l'abréviation de SMTP MTA-STS, qui est l'abréviation de Simple Mail Transfer Protocol (SMTP) Mail Transfer Agent (MTA) Strict Transport Security (STS). L'objectif de MTA-STS est de crypter et de sécuriser les communications entre les serveurs SMTP via TLS (Transport Layer Security) afin d'empêcher les attaquants de type "man-in-the-middle" de visualiser et de manipuler les courriers électroniques en transit.

Le protocole MTA-STS fonctionne grâce à un enregistrement DNS qui indique aux serveurs de messagerie d'aller chercher un fichier de politique via HTTPS à partir d'un sous-domaine défini. Ce fichier contient une liste des serveurs de messagerie du destinataire qui sont authentifiés et approuvés pour recevoir les messages, ainsi que la politique à appliquer aux messages entrants.

Quelles sont les exigences pour le MTA-STS ?

Assurez-vous que vous avez vérifié les éléments suivants avant de déployer MTA-STS.

  • Votre MX prend en charge SMTP sur TLS version 1.2 ou ultérieure.
  • Votre serveur prend en charge le protocole SSL (HTTPS)
  • Votre MX utilise un certificat TLS émis par une autorité de certification racine qui n'est pas expiré et qui correspond à son nom de domaine.

Lorsque vous mettez en œuvre MTA-STS, qui nécessite des entrées DNS, vous devez également activer le rapport TLS, qui nécessite également ses propres entrées DNS. En implémentant le reporting TLS, vous serez en mesure de voir les performances de vos domaines et le taux de réussite/échec de vos politiques MTA-STS. Cela vous donnera un aperçu important des expéditeurs de courrier avec lesquels vous devez travailler pour garantir l'absence d'interruption du flux de courrier.

Qu'est-ce que le fichier de politique MTA-STS ?

Le fichier de politique MTA-STS est un fichier en texte clair contenant un ensemble de paires clé/valeur suivantes :

version: La version du protocole du fichier. Au moment de la rédaction de ce document, il doit s'agir de STSv1.

mode: Il s'agit du mode de la politique. Les valeurs disponibles sont testing, enforce, ou none.

  • tests: Les expéditeurs enverront vos rapports (TLSRPT) indiquant les échecs d'application de la politique. Cela nécessite que TLSRPT soit également implémenté pour fonctionner. Les échecs de connexion TLS ne seront pas bloqués, tout en étant capable de recevoir des rapports.
  • appliquer: Les serveurs de messagerie expéditeurs qui prennent en charge MTA STS ne délivreront pas de courrier à votre domaine lorsque l'authentification du certificat échoue, ou ne peut pas négocier TLS. Des rapports sur ces échecs sont également envoyés.
  • aucun: Les expéditeurs traiteront le domaine comme s'il n'avait pas de politique active. Cela désactive effectivement le MTA STS.

mx: Les enregistrements MX pour le domaine. Ils doivent correspondre aux enregistrements MX publiés dans le DNS de votre domaine. Vous pouvez spécifier le FQDN ou un hôte joker (mx : mail.example.org ou mx : *.example.org). Assurez-vous que chaque enregistrement MX est ajouté sur sa propre ligne dans le fichier de stratégie.

âge max.: La durée de vie maximale de la politique exprimée en secondes. Cela représente la durée pendant laquelle un expéditeur mettrait en cache la politique du domaine. Il est recommandé d'utiliser une valeur équivalente à plusieurs semaines ou plus, mais ne dépassant pas 31557600 (environ 1 an).

Exemple de fichier de politique :

version : STSv1
mode : testing
mx
: mail.exemple.org
mx : *.exemple.org
mx : mail2.exemple.org
max_age : 604800

Comment mettre en œuvre MTA-STS

Une fois que le fichier texte de la politique est prêt, il doit être publié sur le web pour être accessible aux expéditeurs. 

Le fichier doit être disponible à une URL spécifique sur un sous-domaine de votre domaine. Un exemple d'URL serait :

https://mta-sts./.well-known/mta-sts.txt

Pour ce faire, il faut créer le sous-domaine mta-sts, ainsi qu'un répertoire nommé .well-known dans le sous-domaine. Téléchargez ensuite le fichier texte de la politique dans le répertoire .well-known du sous-domaine. 

Comment publier l'enregistrement DNS

Un enregistrement de ressource DNS TXT est nécessaire pour activer MTA-STS sur votre domaine. Cet enregistrement existe dans un sous-domaine unique :

_mta-sts

Pour le domaine exemple.org, ce serait _mta-sts.exemple.org.

L'enregistrement TXT contient 2 paires clé/valeur. 

  • "v" La version du protocole, qui ne supporte actuellement que la valeur STSv1.
  • "id" Une chaîne de 1 à 32 caractères alphanumériques destinée à suivre les mises à jour de la politique. Cette chaîne doit être mise à jour chaque fois qu'une modification est apportée à votre fichier de politique MTA-STS. Une bonne pratique consiste à utiliser la date et l'heure de la modification pour composer le numéro d'identification.

Un exemple de ce type d'enregistrement est présenté ci-dessous :

_mta-sts.exemple.org. IN TXT "v=STSv1 ; id=202104012135 ;"

Connectez-vous à votre compte dmarcian pour utiliser notre outil d'inspection MTS-STS, ci-dessous, afin d'examiner les enregistrements de vos propres domaines.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.


Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.