Increase SMTP security (MTA-STS and TLS)

À propos de la création de rapports MTA-STS et TLS

Renforcer la sécurité des messages grâce à l'authentification et au chiffrement

Renforcez la sécurité de Gmail en activant le protocole MTA-STS (MTA Strict Transport Security) pour votre domaine. Ce dernier améliore la sécurité de Gmail en exigeant des vérifications d'authentification et le chiffrement des e-mails adressés à votre domaine. Les rapports TLS (Transport Layer Security) fournissent des informations sur les connexions de serveurs externes à votre domaine.

Comme tous les fournisseurs de messagerie, Gmail exploite le protocole SMTP (Simple Mail Transfer Protocol) pour l'envoi et la réception des e-mails. Utilisé seul, le protocole SMTP ne protège pas efficacement, et de nombreux serveurs SMTP ne sont pas suffisamment sécurisés pour empêcher certains types d'attaques malveillantes.

Par exemple, le protocole SMTP est vulnérable aux attaques dites de "l'homme du milieu". Ces attaques entraînent l'interception de la communication entre deux serveurs, ainsi que d'éventuelles modifications non détectées de cette communication. L'utilisation du protocole MTA-STS pour renforcer la sécurité des connexions au serveur de messagerie permet d'éviter ce type d'attaques.

En savoir plus sur le protocole MTA-STS (RFC 8461) et sur la création de rapports TLS (RFC 8460)

Sécurité des e-mails à l'aide du protocole MTA-STS

Les connexions SMTP pour les e-mails sont plus sécurisées lorsque le serveur d'envoi est compatible avec le protocole MTA-STS et que le serveur de réception dispose d'une règle MTA-STS en mode application forcée.

Réception de messages : lorsque vous activez le protocole MTA-STS pour votre domaine, vous demandez aux serveurs de messagerie externes d'envoyer des messages à votre domaine uniquement lorsque la connexion SMTP est à la fois :

  • authentifiée à l'aide d'un certificat public valide ;
  • chiffrée à l'aide du protocole TLS 1.2 ou version ultérieure.

Les serveurs de messagerie compatibles avec le protocole MTA-STS envoient des messages à votre domaine uniquement par le biais des connexions à la fois authentifiées et chiffrées.

Envoi de messages : par défaut, les messages de votre domaine sont conformes au protocole MTA-STS lorsqu'ils sont envoyés à des serveurs externes disposant d'une règle MTA-STS en mode application forcée.

Création de rapports TLS

Lorsque vous activez la création de rapports TLS, vous demandez la génération de rapports quotidiens provenant de serveurs de messagerie externes se connectant à votre domaine. Les rapports contiennent des informations relatives aux problèmes de connexion rencontrés par les serveurs externes lors de l'envoi de messages à votre domaine. Ces données vous permettent d'identifier et de résoudre les problèmes de sécurité de votre serveur de messagerie.

Autres fonctionnalités de sécurité dans Gmail

Nous vous recommandons également de configurer les fonctionnalités de sécurité des e-mails suivantes pour votre domaine :

Procédure de configuration de la création de rapports MTA-STS et TLS

  1. Vérifiez la configuration MTA-STS de votre domaine.
  2. Créez une règle MTA-STS.
  3. Publiez la règle MTA-STS.
  4. Ajoutez des enregistrements DNS au format TXT pour activer la création de rapports MTA-STS et TLS.

Commencer

En savoir plus sur les rapports MTA-STS et TLS

Comment le protocole MTA-STS améliore-t-il la sécurité des messages ?

L'application du protocole de sécurité SMTP est facultative et, conformément aux normes en vigueur, ce dernier autorise les connexions par le biais d'enregistrements au format texte brut. Utilisé seul, le protocole SMTP permet une distribution des e-mails à la hauteur de ses capacités. La distribution des messages et la qualité du service ne sont pas garanties. Malgré leur compatibilité, de nombreux serveurs SMTP n'utilisent pas le protocole TLS et ne sont pas sécurisés. 

Les problèmes courants liés à la sécurité des serveurs SMTP sont les suivants :

  • Certificats TLS arrivés à expiration
  • Certificats ne correspondant pas aux noms de domaine du serveur
  • Certificats non émis par des tiers de confiance
  • Manque de compatibilité avec les protocoles sécurisés

Les serveurs qui ne sont pas suffisamment sécurisés exposent les connexions SMTP à des attaques dites de "l'homme du milieu" ainsi qu'à d'autres types d'attaques malveillantes. La plupart des fournisseurs de messagerie essaient d'envoyer les messages via des connexions SMTP utilisant le protocole TLS. Toutefois, si une connexion TLS ne peut pas être créée, les serveurs envoient généralement tout de même ces messages.

Le protocole MTA-STS indique aux serveurs d'envoi de ne pas envoyer de messages, sauf si les conditions suivantes sont remplies :

  • Le serveur d'envoi est compatible avec le protocole MTA-STS.
  • Le serveur de réception dispose d'une règle MTA-STS en mode application forcée.

Informations associées

  • Découvrez comment configurer le paramètre TLS de manière à exiger que les messages envoyés à des domaines ou adresses e-mail spécifiques (ou reçus depuis ces derniers) soient distribués via une connexion sécurisée.
  • Pour en savoir plus sur le protocole SMTP, référez-vous à la norme RFC 3207.
Pourquoi devrais-je utiliser la création de rapports TLS ?

La création de rapports TLS nécessite que les serveurs de messagerie externes envoient des rapports quotidiens au domaine à l'origine de la demande. Les rapports peuvent être envoyés par e-mail ou mis en ligne sur un serveur Web. Les rapports contiennent des informations relatives au protocole MTA-STS et à l'état de la connexion du domaine. Les informations contenues dans ces rapports incluent les règles MTA-STS détectées, les statistiques relatives au trafic, les connexions ayant échoué et les messages n'ayant pas pu être envoyés.

Les rapports vous aident à identifier les éventuels problèmes rencontrés par les serveurs externes lors de l'envoi de messages à votre domaine. Vous pouvez commencer à consulter ces rapports avant que votre domaine n'applique le chiffrement et l'authentification MTA-STS en définissant votre règle en mode test. Corrigez les éventuels problèmes de connexion que rencontre votre domaine avant de passer en mode application forcée. En savoir plus sur les modes des règles MTA-STS

Il est possible que vous ne receviez que peu de rapports tant que la création de rapports TLS n'est pas plébiscitée par les fournisseurs de messagerie.

Pour en savoir plus sur les rapports TLS, référez-vous à la norme RFC 8460.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?