Concept du MTA-STS

Le protocole DNS MTA-STS (Mail Transfer Agent - Strict Transport Security)

À quoi ça sert : Protocole permettant aux serveurs de messagerie de déclarer leur capacité à recevoir des connexions SMTP sécurisées par TLS et de donner une politique de refus des emails si les serveurs communiquants ne sont pas compatibles afin de garantir la sécurité face à des mauvaises configurations ou attaques spécifiques.

Quels types d’agressions MTA-STS atténue-t-il ?

Attaque de l’homme du milieu (Man In The Middle) : Effectué lorsqu’un attaquant s'interface dans la communication entre deux serveurs pour voler ou altérer les informations. Dans le cas d’un email, cela peut généralement impliquer deux serveurs SMTP. En utilisant MTA-STS, ces agressions pourraient être simplement évitées.

Attaque de rétrogradation (Downgrade) : Un attaquant force un canal de communication à passer à un mode de transmission non sécurisé. En indiquant ne pas savoir communiquer de façon chiffrée par TLS, le serveur rétrograde sa sécurité en communiquant en clair les informations. MTA-STS aide à lutter contre ces agressions en empêchant toute entrée non autorisée au niveau SMTP.

Usurpation DNS : cyberattaque dans laquelle de fausses données sont introduites dans le cache du résolveur DNS, ce qui entraîne le retour d’une adresse IP incorrecte par le serveur de noms (NS). Ces types d’attaques exploitent les vulnérabilités des serveurs de noms de domaine et redirigent le trafic vers des sites Web illégitimes.

Prérequis technique

• Votre serveur MX doit prendre en charge SMTP TLS 1.2 ou supérieur.
• Votre serveur MX doit prend en charge SSL (HTTPS).
• Votre serveur MX doit utiliser des certificats TLS conforme, non expiré et correspondant à son nom de domaine.

Suivez cet article sur la syntaxe pour le mettre en place sur vos domaines.

Source

rfc8461