***ATTENTION***
Cet article s'adresse à un auditoire avec des capacitées un peu plus techniques et n'est pas à la portée de tout le monde.
Si vous avez besoin de faire appliquer une politique MTA-STS mais que vous n'avez pas les connaissances techniques pour la réaliser, Rapidenet peut le faire pour vous à votre demande pour un frais de 15$
Si vous n'avez pas les connaissances techniques pour gérer la politique et analyser les rapports, Rapidenet n'offre aucun support en ce sens.
***ATTENTION***
Comment mettre en place une politique MTA-STS et activer les rapports TLS (pour identifier et résoudre les problèmes de sécurité des e-mails).
Ce tutoriel fournit des instructions étape par étape sur la configuration de MTA-STS et l'activation des rapports TLS.
Avant toute chose, qu'est-ce que MTA-STS?
MTA-STS (Mail Transfer Agent - Strict Transport Security), est une technologie qui permet aux serveurs de messagerie électronique de déclarer la capacité à recevoir des connexions TLS (Transport Layer Security) et de spécifier si les serveurs SMTP émetteurs doivent refuser de livrer des courriers électroniques aux serveurs de messagerie qui n'implémentent pas TLS avec un certificat de serveur de confiance.
Pourquoi avez-vous besoin de MTA-STS?
Une attaque de l'homme du milieu (Man in The Middle / MiTM) est une cyberattaque où l'attaquant intercepte secrètement les messages entre deux parties et peut éventuellement les altérer. Les attaquants peuvent utiliser des attaques MiTM pour voler des informations sensibles telles que des identifiants de connexion, des comptes bancaires ou corrompre des données, en relayant le trafic entre l'expéditeur et le destinataire.
Si un attaquant s'interpose entre la connexion des 2 serveurs (émétteur et récepteur) il pourrais altérer le message du serveur de réception disant à l'émétteur qu'il supporte le protocole TLS en lui faisant croire qu'il ne le supporte pas, l'émétteur enverrai donc le message SANS TLS, donc en texte clair. L'attaquant pourrais ensuite récupérer les identifiants de connexion ainsi que le contenu du message envoyé.
STARTTLS peut être utilisé pour transformer une connexion SMTP en texte brut en une connexion chiffrée chaque fois que TLS est pris en charge sur le serveur de réception (TLS "opportuniste"). Cependant, il reste susceptible aux attaques MiTM dans la mesure où la commande STARTTLS peut être remplacée par l'attaquant, sans être remarquée par le serveur de réception.
Avec MTA-STS, un administrateur de domaine peut dicter que les serveurs de messagerie électronique qui prennent en charge MTA-STS ne doivent pas envoyer d'e-mails à leur domaine via une connexion non chiffrée. Cela rend beaucoup plus difficile la réalisation d'attaques MiTM.
Comment configurer MTA-STS?
Pour configurer MTA-STS, vous devez suivre les étapes suivantes
1 - Créer un enregistrement TXT sur _mta-sts.votredomaine.com pour indiquer que votre domaine prend en charge MTA-STS :
|
Dans l'enregistrement ci-haut:
- La balise "v" doit être STSv1 qui représente le protocole
- La balise "id" est composé d'une chaine alphanumérique de votre choix et ne peut dépasser 32 caractères, elle est utilisé pour traquer les mise à jour de votre politique si vous deviez en faire des modifications.
Le id doit identifier de manière unique une instance donnée d'une politique, de sorte que les expéditeurs puissent déterminer quand la politique a été mise à jour en la comparant à l'identifiant d'une politique précédemment observée.
Nous recommandons une combinaisons dateheure pour faciliter votre gestion, par exemple: 202404191052 pour 2024-04-19 10h52 (la date et l'heure à laquelle je tape ce texte)
2 - Vous devez créer le sous-domaine mta-sts.votredomaine.com dans votre DirectAdmin
Nous vous recommandons de créer le sous-domaine comme un domaine secondaire en utilisant "Configuration du domaine" au lieu de "Gestion des sous-domaines", un sous-domaine configuré comme un domaine facilitera la prochaine étape.
Une fois le sous-domaine créé, il est recommandé de supprimer les fichiers présents dans le dossier racine du sous-domaine, pour éviter qu'une page Web s'affiche si un visiteur s'aventure à cet endroit ou pour éviter qu'un robot indexe inutilement du contenu bidon pour votre domaine.
3 - Vous devez activer un certificat SSL sur le sous-domaine
Si vous avez suivi nos recommendations et avez ajouté le sous-domaine comme un domaine régulier, vous pouvez sélectionner le sous-domaine en haut à droite dans votre liste de domaines, ensuite cliquez sur "Certificats SSL" et installez un certificat Let's Encrypt normallement.
Si vous avez ajouté le sous-doamine avec l'icone "Gestion des sous-domaines" vous devez renouveller votre certificat actuel en incluant le nouveau sous-domaine. Si vous avez un certificat payant, vous devez demande un nouveau certificat incluant le sous-domaine, ce qui peut être couteux, il est donc plus avantageux de supprimer le sous-domaine et relire à partir du point #2 juste au dessus.
4 - Vous devez configurer votre politique MTA-STA
Dans votre gestionnaire de fichier ou par FTP/SSH, allez dans le dossier /domains/mta-sts.votredomaine.com/public_html
Créez le dossier .well-known s'il n'existe pas déjà (notez le point, il est important)
Créez le fichier mta-sts.txt
En théorie vous venez de créer un fichier qui doit être accessible via ce lien:
https://mta-sts.votredomaine.com/.well-known/mta-sts.txt
Ouvrez le fichier mta-sts.txt et ajoutez les instructions de votre politique:
version: STSv1
mode: testing
mx: votre-serveur-mail.com
max_age: 86400
Nous vous recommandons de laisser le mode testing pour débuter et lorsque vous savez que tout fonctionne bien, passez à enforce
version: Ne pas toucher, c'est l'identificateur pour le protocole, il DOIT être réglé à STSv1
mode: enforce, testing, none
- enforce: Le serveur émetteur ne doit pas livrer le message à un hôte récepteur qui échoue à la correspondance MX, à la validation du certificat, ou qui ne prend pas en charge STARTTLS.
- testing: Le serveur émetteur livre le message ; si le reporting TLS est mis en œuvre, le serveur émetteur envoie également un rapport TLS aux adresses e-mail spécifiées indiquant une défaillance de l'application de la politique, lorsque l'hôte récepteur échoue à la correspondance MX, à la validation du certificat, ou ne prend pas en charge STARTTLS.
- none: Le serveur émetteur traite le domaine de politique comme s'il n'avait aucune politique active.
mx: Indiquez les noms d'hote spécifiés dans vos enregistrements MX, il est possible d'ajouter plusieurs ms un par dessus l'autre
max_age: La durée de vie de votre politique en seconde, nous mettons 1 semaine par défaut, vous pouvez mettre 31557600 secondes maximum (365.25 jours)
Pour vous éviter des problèmes, vous pouvez configurer les mx comme suit:
version: STSv1
mode: testing
mx: mail.votredomaine.com <- votre MX actuel
mx: box??.domaineinternet.ca <- le nom d'hôte de Rapidenet
si vous avez un autre service comme spamexperts...
mx: mx.spamexperts.com
mx: fallbackmx.spamexperts.eu
mx: lastmx.spamexperts.net
max_age: 86400
Si vos courriels sont gérés chez Microsoft 365 ou Google Workspace, indiquez leurs MX, laissez ceux de Rapidenet puisque votre site Web pourrais envoyer des courriels en utilisant NOS serveurs.
Une fois que vous êtes satisfait de votre politique, veuillez enregistrer le fichier.
Assurez vous que le fichier est lisible en consultant le lien:
https://mta-sts.votredomaine.com/.well-known/mta-sts.txt
5 - Configurer les rapports MTS
Maintenant que vous avez mis en place MTA-STS, vous pouvez mettre en œuvre les rapports TLS (TLS-RPT) pour recevoir des rapports agrégés TLS. Grâce aux rapports agrégés TLS, vous pouvez identifier les problèmes de sécurité des e-mails et prendre les mesures nécessaires pour les corriger.
Créer un enregistrement TXT sur _smtp._tls.votredomaine.com pour indiquer comment vous voulez recevoir les rapports TLS :
|
Dans l'enregistrement ci-haut:
- La balise "v" doit être TLSRPTv1 qui représente le protocole
- La balise "rua" pointe vers une liste d'adresses e-mail séparées par des virgules (vous pouvez ajouter plusieurs adresses) où les rapports agrégés TLS doivent être soumis.
Nous recommandons d'utiliser une adresse à part de vos adresses régulières comme postmaster@ pour ne pas créer d'encombrement dans votre flux habituel de messages. Vous pouvez envoyer les rapports à votre technicien informatique ou à un service externe de gestion de rapports.
Si vous avez bien suivi toutes ces étapes, votre politique MTA-STA est en place et devrait être fonctionnelle. Gardez un oeil sur vos rapports pour vous assurer que vos courriels sont bien envoyés à qui de droit correctement.