Qu'est-ce que MTA-STS et TLS-RPT ?

Cet article vous explique les deux protocoles de sécurité que sont MTA-STS et TLS-RPT qui peuvent être paramétrés dans Sendmarc.

L'explication courte des protocoles

MTA-STS (Mail Transfer Agent Strict Transport Security) et TLS-RPT (TLS Reporting) sont deux protocoles de sécurité qui permettent aux serveurs de messagerie d'appliquer le chiffrement TLS (Transport Layer Security) et la validation des certificats lors de l'envoi d'e-mails vers d'autres serveurs prenant en charge ces protocoles. De plus, ils permettent de recevoir des rapports sur les échecs ou réussites de ces connexions sécurisées.

Comment MTA-STS fonctionne-t-il avec DMARC ?

MTA-STS et DMARC se complètent pour renforcer la sécurité et la confidentialité des communications par courrier électronique. MTA-STS protège la connexion entre les serveurs de courrier électronique contre l'interception et la modification, tandis que DMARC protège le contenu et l'en-tête du courrier électronique contre l'usurpation et l'hameçonnage. En utilisant ces deux protocoles, les serveurs de messagerie et les utilisateurs peuvent atteindre un niveau de confiance plus élevé dans leurs communications par courrier électronique.

L'explication plus en détail des protocoles

Qu'est-ce que MTA-STS ?

MTA-STS est un protocole de sécurité défini dans la RFC 8461. Il permet aux serveurs de messagerie d'appliquer le chiffrement TLS et la validation des certificats lors de l'envoi d'e-mails vers d'autres serveurs prenant en charge ce protocole. Cela garantit que les e-mails sont transmis de manière sécurisée et authentifiée, réduisant ainsi les risques d'interception ou de falsification.

Qu'est-ce que TLS-RPT ?

TLS-RPT est un protocole qui permet à un domaine de spécifier une destination pour que les services d'envoi d'e-mails puissent rapporter le succès ou l'échec du chiffrement lors du transit des e-mails. Il fonctionne en complément de protocoles qui appliquent TLS, tels que MTA-STS et DANE (DNS-based Authentication of Named Entities).

Comment fonctionne MTA-STS ?

MTA-STS fonctionne en permettant aux serveurs de messagerie de publier une politique spécifiant comment les autres serveurs doivent se connecter à eux. Cette politique inclut les informations suivantes :

• Durée de validité de la politique.

• Exigence du chiffrement TLS : obligatoire ou optionnel.

• Validation du certificat : le certificat du serveur doit-il correspondre au nom de domaine ou être signé par une autorité de certification de confiance ?

• Instructions de rapport : comment signaler les échecs de connexion ou les violations de la politique.

La politique est publiée de deux manières :

1. Enregistrement DNS TXT : contient un pointeur vers le serveur web où le fichier de politique est situé.

2. Fichier hébergé sur un serveur web : nommé .well-known/mta-sts.txt, formaté en texte brut avec des paires clé-valeur.

Lorsqu'un serveur de messagerie souhaite envoyer un e-mail à un autre serveur prenant en charge MTA-STS, il procède comme suit :

1. Interroge l'enregistrement DNS TXT du domaine destinataire pour vérifier la présence d'une politique.

2. Récupère le fichier de politique depuis le serveur web spécifié.

3. Suis les instructions de la politique :

   • Si le chiffrement TLS et la validation des certificats sont requis, le serveur n'enverra l'e-mail que s'il peut établir une connexion sécurisée et authentifiée.

   • Si le chiffrement est optionnel, le serveur tentera d'utiliser TLS, mais reviendra à une connexion en texte clair en cas d'échec.

   • Si aucune politique n'est disponible ou si elle a expiré, le serveur utilisera ses paramètres par défaut pour la livraison des e-mails.

Pourquoi MTA-STS est-il important ?

MTA-STS et TLS-RPT sont essentiels, car ils renforcent la sécurité et la confidentialité des communications par e-mail. En appliquant le chiffrement TLS et la validation des certificats, MTA-STS empêche les attaquants d'intercepter, de modifier ou de falsifier les e-mails en transit. Cela réduit les risques de phishing, de logiciels malveillants, de spam et de vol d'identité. De plus, MTA-STS aide les serveurs de messagerie à se conformer aux normes de sécurité et aux réglementations de leur secteur ou région.

Quelles sont les limitations de MTA-STS ?

MTA-STS présente certaines limitations que les serveurs de messagerie et les utilisateurs doivent connaître :

• Portée limitée : MTA-STS s'applique uniquement à la connexion entre serveurs de messagerie, et non entre les clients de messagerie et les serveurs. Par conséquent, les clients et les utilisateurs doivent toujours utiliser d'autres mesures de sécurité, telles que le chiffrement de bout en bout, pour protéger leurs e-mails contre tout accès non autorisé ou altération.

• Dépendance à l'infrastructure : MTA-STS repose sur la disponibilité et l'intégrité des serveurs DNS et web qui hébergent la politique. Si ces serveurs sont compromis, hors ligne ou mal configurés, la politique peut ne pas être accessible ou précise, ce qui peut affecter la livraison des e-mails.

• Application non contraignante : MTA-STS n'empêche pas les serveurs de messagerie d'accepter ou d'envoyer des e-mails qui ne respectent pas la politique. Par exemple, un serveur peut accepter un e-mail d'un expéditeur qui n'utilise pas le chiffrement TLS ou la validation des certificats, ou il peut envoyer un e-mail à un destinataire qui ne prend pas en charge MTA-STS. Par conséquent, les serveurs et les utilisateurs doivent toujours utiliser d'autres mécanismes de sécurité, tels que SPF, DKIM et DMARC, pour vérifier l'identité et l'authenticité des expéditeurs et des destinataires d'e-mails.

Mode de test

Lorsque MTA-STS est en mode test, il valide les connexions, mais n'applique pas strictement les exigences TLS. La livraison des e-mails se produit même si le domaine destinataire ne prend pas en charge MTA-STS. Ce mode aide à identifier les problèmes sans perturber le flux des e-mails.