Aperçu de MTA-STS
Bienvenue dans la documentation MTA-STS. Utilisez la barre latérale ou les liens ci-dessous pour naviguer :
Qu'est-ce que MTA-STS ?
MTA-STS est un protocole de sécurité qui permet aux serveurs de messagerie d'appliquer le chiffrement Transport Layer Security (TLS) et la validation des certificats lors de l'envoi d'emails à d'autres serveurs qui prennent en charge le protocole. MTA-STS signifie Mail Transfer Agent Strict Transport Security over TLS, et il est défini dans la RFC 8461.
Comment fonctionne MTA-STS ?
MTA-STS fonctionne en permettant aux serveurs de messagerie de publier une politique qui spécifie comment les autres serveurs doivent se connecter à eux. La politique inclut les informations suivantes :
- La durée de validité de la politique
- Si le chiffrement TLS est requis ou optionnel
- Si le certificat du serveur doit correspondre au nom de domaine ou être signé par une autorité de confiance
- Comment signaler les échecs de connexion ou les violations de politique
La politique est publiée de deux manières : en tant qu'enregistrement DNS TXT et en tant que fichier hébergé sur un serveur web. L'enregistrement DNS TXT contient un pointeur vers le serveur web où se trouve le fichier de politique. Le fichier de politique est nommé .well-known/mta-sts.txt et est formaté comme un fichier texte brut avec des paires clé-valeur.
Lorsqu'un serveur de messagerie souhaite envoyer un email à un autre serveur qui prend en charge MTA-STS, il interroge d'abord l'enregistrement DNS TXT du domaine du destinataire pour vérifier s'il existe une politique disponible. Si c'est le cas, il récupère ensuite le fichier de politique depuis le serveur web et suit les instructions de la politique. Si la politique exige le chiffrement TLS et la validation des certificats, le serveur de messagerie ne livrera l'email que s'il peut établir une connexion sécurisée et authentifiée avec le serveur destinataire. Si la politique est optionnelle, le serveur de messagerie essaiera d'utiliser le chiffrement TLS et la validation des certificats, mais il reviendra à une connexion en texte brut si cela échoue. Si la politique n'est pas disponible ou expirée, le serveur de messagerie utilisera ses paramètres par défaut pour la livraison des emails.
Paramètres max-age de MTA-STS
La directive max_age dans la politique MTA-STS spécifie la durée de vie maximale de la politique en secondes. Voici quelques points clés à ce sujet :
- Valeurs acceptées : Tout entier positif jusqu'à 31,557,600 secondes (ce qui équivaut à un an).
- Exemple : Vous pouvez définir
max_ageà 604,800 secondes (ce qui correspond à une semaine).
Le but de max_age est de déterminer combien de temps les serveurs doivent mettre en cache votre politique MTA-STS avant de vérifier une nouvelle. Google, par exemple, traite les politiques avec un max_age supérieur à 86,400 secondes (un jour). La valeur maximale pour max_age est de 31,557,600 secondes.
Choisir une valeur max_age appropriée est crucial. Voici quelques considérations :
- max_age plus court :
- Permet une suppression ou des modifications plus faciles de MTA-STS si des problèmes d'interopérabilité surviennent.
- Utile pour les grands intégrateurs qui ne prennent peut-être pas encore en charge MTA-STS mais prévoient de le faire à l'avenir.
- max_age plus long :
- Réduit la fréquence des vérifications de politique.
- Offre de meilleures performances en minimisant le besoin de mises à jour fréquentes de la politique.
- Cependant, cela signifie également que tout changement nécessaire de politique prend plus de temps à se propager.
Comment MTA-STS fonctionne avec DMARC
MTA-STS et DMARC se complètent pour améliorer la sécurité et la confidentialité des communications par email. MTA-STS protège la connexion entre les serveurs de messagerie contre l'interception et la modification, tandis que DMARC protège le contenu et l'en-tête de l'email contre l'usurpation et le phishing. En utilisant les deux protocoles, les serveurs de messagerie et les utilisateurs peuvent atteindre un niveau de confiance et de sécurité plus élevé dans leurs communications par email.
Pourquoi MTA-STS est-il important ?
MTA-STS est important car il améliore la sécurité et la confidentialité des communications par email. En appliquant le chiffrement TLS et la validation des certificats, MTA-STS empêche les attaquants d'intercepter, de modifier ou d'usurper les emails en transit.
Cela réduit le risque de phishing, de logiciels malveillants, de spam et de vol d'identité. MTA-STS aide également les serveurs de messagerie à se conformer aux normes de sécurité et aux réglementations de leur secteur ou région.
Limitations de MTA-STS
MTA-STS présente certaines limitations dont les serveurs de messagerie et les utilisateurs doivent être conscients. Certaines d'entre elles sont :
- Portée : MTA-STS ne s'applique qu'à la connexion entre les serveurs de messagerie, pas entre les clients de messagerie et les serveurs. Par conséquent, les clients de messagerie et les utilisateurs doivent toujours utiliser d'autres mesures de sécurité, telles que le chiffrement de bout en bout, pour protéger leurs emails contre l'accès non autorisé ou la falsification.
- Dépendance aux serveurs DNS et web : MTA-STS dépend de la disponibilité et de l'intégrité des serveurs DNS et web qui hébergent la politique. Si ces serveurs sont compromis, hors ligne ou mal configurés, la politique peut ne pas être accessible ou exacte, et la livraison des emails peut être affectée.
- Application de la politique : MTA-STS n'empêche pas les serveurs de messagerie d'accepter ou d'envoyer des emails qui ne respectent pas la politique. Par exemple, un serveur de messagerie peut accepter un email d'un expéditeur qui n'utilise pas le chiffrement TLS ou la validation des certificats, ou il peut envoyer un email à un destinataire qui ne prend pas en charge MTA-STS. Par conséquent, les serveurs de messagerie et les utilisateurs doivent toujours utiliser d'autres mécanismes de sécurité, tels que SPF, DKIM et DMARC, pour vérifier l'identité et l'authenticité des expéditeurs et des destinataires d'emails.
Sujets connexes
- Paramètres de domaine TLS-RPT - Configurer les paramètres TLS-RPT/MTA-STS