Skip to main content
Rapport SMTP TLS

Rapport SMTP TLS

-
Sécurité de la messagerie électroniqueTechnologie du courrier électroniqueConseils techniques

Qu'est-ce que le rapport SMTP TLS ?

Le rapport SMTP (Simple Mail Transfer Protocol) Transport Layer Security (TLS) consiste à recevoir des rapports de l'internet concernant d'éventuels problèmes de sécurité de connexion que les serveurs rencontrent lorsqu'ils se connectent à vos systèmes de courrier électronique entrant.

En raison de la structure ouverte du protocole SMTP, les connexions entre les serveurs SMTP sont susceptibles de faire l'objet d'attaques par déclassement SMTP TLS. L'avantage des rapports SMTP TLS est qu'ils permettent aux organisations de gagner en visibilité et de commencer à appliquer la sécurité des connexions TLS via des normes de sécurité supplémentaires telles que l'authentification des entités nommées basée sur le DNS (DANE) et la sécurité stricte du transport de l'agent de transfert de courrier (MTA-STS).

Quels sont les avantages des rapports SMTP TLS ?

Avec le rapport SMTP TLS, vous obtenez une visibilité sur les éléments suivants :

  • Connexions TLS réussies et non réussies
  • Attaques de type "Man in The Middle" (MiTM) (incompatibilité de certificats)
  • Certificats expirés
  • Les serveurs ne répondent pas
  • Certificats non validés par les autorités de certification (CA)

En outre, vous avez également la possibilité de mettre en œuvre les protocoles de sécurité de transport SMTP de nouvelle génération DANE pour SMTP et SMTP MTA-STS.

Comment configurer le rapport SMTP TLS

Chaque compte dmarcian possède une adresse SMTP TLS unique pour l'envoi des rapports. Pour trouver cette adresse, connectez-vous à votre compte, cliquez sur Paramètres (icône en forme d'engrenage) en haut à droite, et allez sur la page Préférences. Vous verrez l'adresse de rapport TLS JSON sous Détails du compte.

Vous pouvez maintenant publier un enregistrement DNS TXT sur chaque domaine qui reçoit des messages (c'est-à-dire qui possède un enregistrement DNS MX) et pour lequel vous souhaitez mettre en place une surveillance. Voici un exemple :

NOM : _smtp._tls.example.org
TYPE : TXT
CONTENT : v=TLSRPTv1 ; rua=mailto:tls@example.org

Note: Votre fournisseur de DNS peut vous demander de spécifier uniquement _smtp._tls comme ils peuvent fournir le example.org pour vous ; vérifiez auprès de votre fournisseur de DNS.

Comment visualiser les rapports SMTP TLS

L'interface de notre rapport TLS est conçue comme notre Visualisateur de détails. Elle vous permet de filtrer votre flux de courrier vers un domaine problématique spécifique afin d'accéder aux données dont vous avez besoin pour prendre des décisions relatives à la mise en œuvre de la politique.

Pour utiliser la fonction TLS Reporting, connectez-vous à votre compte dmarcian et cliquez sur Tools (icône de clé à molette) situé en haut à droite. Dans le menu déroulant situé sous la colonne TLS, cliquez sur TLS Reporting.


Rapport TLS - menu

dmarcian fournit des rapports et des outils, comme indiqué ci-dessous, pour vous aider à maintenir la visibilité sur votre parcours d'amélioration de la sécurité de votre courrier électronique. Nous disposons de rapports pour accepter les rapports TLS et d'outils d'inspection pour nous assurer que vos enregistrements sont correctement configurés.


Visibilité des rapports TLS

Types de résultats d'échec du rapport SMTP TLS

SMTP TLS Reporting permet d'identifier et de résoudre les problèmes liés à la distribution sécurisée du courrier électronique en fournissant un retour d'information sur les problèmes liés à l'échange TLS. Les rapports d'échec détaillent les différents types de problèmes rencontrés, ce qui permet aux administrateurs de messagerie de les résoudre efficacement. Vous trouverez ci-dessous les différents types de résultats trouvés dans ces rapports, chacun indiquant un échec spécifique lors de la négociation TLS et des vérifications de la politique.

L'échec des négociations

  • starttls-not-supported: Le MTA récepteur ne supporte pas la commande STARTTLS, qui est essentielle pour initier une connexion TLS sécurisée.

  • incompatibilité entre le certificat et l'hôte: Le certificat présenté par le MTA récepteur ne correspond pas au nom d'hôte attendu. Se produit si les champs Common Name (CN) ou Subject Alternative Name (SAN) du certificat n'incluent pas le nom de domaine du MTA destinataire.

    • Cela signifie que le certificat ne correspond pas au nom d'hôte. Par exemple, si le nom d'hôte du MTA est "mail.example.com", mais que le certificat mentionne "smtp.example.com", cette non-concordance déclenchera l'erreur.

  • certificat-expiré: Le certificat présenté par l'ATM destinataire a expiré.

  • certificate-not-trusted (certificat non fiable) : Le certificat présenté par le MTA de réception n'est pas reconnu par le MTA d'envoi. Cela peut se produire si le certificat est auto-signé ou émis par une autorité de certification (CA) non approuvée.

  • échec de la validation: Cette déclaration indique un échec général pour des raisons non couvertes par d'autres catégories. Lorsqu'il utilise cette déclaration, l'ATM déclarant doit utiliser le code "failure-reason-code" pour fournir des détails supplémentaires à l'entité destinataire.

Défaillances de la politique spécifique au MTA-STS

  • sts-policy-fetch-error: Le MTA émetteur n'a pas pu récupérer la politique MTA-STS du serveur en raison de problèmes de réseau, de problèmes DNS ou de problèmes avec le serveur hébergeant la politique.

  • sts-policy-invalid: La politique MTA-STS recherchée n'est pas valide. Une politique non valide peut contenir des erreurs de syntaxe ou ne pas être conforme au format requis.

  • sts-webpki-invalid: La politique MTA-STS n'a pas pu être authentifiée à l'aide de la fonction Validation PKIX.

    • Ce message signifie qu'il y a eu un problème de vérification de la politique de sécurité du MTA-STS à l'aide de la norme PKIX. Le serveur de messagerie n'a pas pu confirmer que la politique de sécurité du serveur de destination était fiable.

Défaillances des politiques spécifiques à DANE

  • tlsa-invalid: L'enregistrement TLSA, qui est utilisé dans DANE pour identifier le certificat du serveur, n'est pas valide en raison d'un formatage ou de données incorrects.

  • dnssec-invalid: Le processus de validation des extensions de sécurité du système de noms de domaine (DNSSEC) a échoué.

  • dane-required: La DANE est requise par le MTA émetteur pour la connexion, mais les enregistrements TLSA nécessaires sont manquants ou invalides.

    • Cette erreur indique que l'agent de transfert de courrier (MTA) a tenté d'établir une connexion sécurisée à l'aide de DANE, mais n'a pas trouvé d'enregistrements TLSA valides pour le domaine du destinataire.

Nous sommes là pour vous aider
Avec une équipe d'experts en sécurité du courrier électronique et une mission visant à rendre le courrier électronique et l'Internet plus fiables grâce à la sécurité des domaines, dmarcian est là pour aider à évaluer le catalogue de domaines d'une organisation et à mettre en œuvre et gérer DMARC à long terme.


Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.