Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Renforcer la sécurité des messageries grâce à la création de rapports MTA-STS et TLS

2. Créer une règle MTA-STS

Configurez le protocole MTA-STS pour vos domaines en créant et en publiant une règle pour chacun d'entre eux. La règle définit les serveurs de messagerie du domaine utilisant le protocole MTA-STS.

Chaque domaine doit être associé à un fichier de règles distinct. Les règles peuvent être identiques, mais elles doivent être hébergées séparément pour chacun des domaines utilisant le protocole MTA-STS.

Configuration serveur requise pour le protocole MTA-STS

Vérifiez les points suivants concernant les serveurs de messagerie recevant des messages entrants :

  • Ils exigent que les messages soient transmis par le biais d'une connexion sécurisée (TLS).
  • Ils utilisent le protocole TLS 1.2 ou une version ultérieure.
  • Les certificats TLS du serveur :
    • correspondent au nom de domaine utilisé par le serveur de messagerie entrant (ce serveur est indiqué dans vos enregistrements MX) ;
    • sont signés et approuvés par une autorité de certification racine  ;
    • ne sont pas arrivés à expiration.

Pour en savoir plus sur les certificats TLS, consultez Utiliser les certificats Google Workspace pour le transfert sécurisé (TLS).

Modes des règles MTA-STS

Vous pouvez configurer une règle MTA-STS en mode test ou en mode application forcée.

Mode test

Le mode test demande aux serveurs de messagerie externes de vous envoyer des rapports quotidiens. Ces rapports contiennent des informations concernant les problèmes détectés lorsque vous vous connectez à votre domaine. Ces rapports incluent des informations sur les règles MTA-STS détectées, les statistiques liées au trafic, les connexions ayant échoué et les messages n'ayant pas pu être envoyés.

En mode test, votre domaine demande uniquement des rapports. Ce mode ne permet l'application d'aucune mesure de sécurité des connexions requise par le protocole MTA-STS. Nous vous recommandons de commencer par utiliser le mode test pendant deux semaines. Ce laps de temps permet d'obtenir suffisamment de données de rapport pour identifier et résoudre les problèmes liés à votre domaine.

Les informations fournies dans les rapports quotidiens vous permettent de résoudre les problèmes de chiffrement ou de sécurité de votre serveur ou de votre domaine. Passez ensuite au mode application forcée.

Mode application forcée

Lorsque la règle est en mode application forcée, votre domaine demande aux serveurs externes de vérifier que la connexion SMTP est chiffrée et authentifiée.

Si tel n'est pas le cas :

  • les serveurs compatibles avec le protocole MTA-STS n'enverront pas de messages à votre domaine ;
  • les serveurs non compatibles avec le protocole MTA-STS continuent d'envoyer des messages à votre domaine via des connexions SMTP comme ils le font habituellement. Ces connexions ne sont peut-être pas chiffrées.

En mode application forcée, vous continuez de recevoir les rapports quotidiens des serveurs externes.

Créer un fichier de règles

Le fichier de règles est un fichier au format texte brut contenant des paires clé/valeur. Chaque paire doit apparaître sur sa propre ligne dans le fichier texte, comme illustré dans l'exemple ci-dessous. La taille du fichier ne doit pas dépasser 64 Ko.

Nom du fichier de règles : le nom du fichier texte doit être mta-sts.txt.

Mise à jour des fichiers de règles : mettez à jour le fichier de règles chaque fois que vous ajoutez un serveur de messagerie ou que vous en changez, et chaque fois que vous changez de domaine.

Format du fichier de règles : le champ version doit apparaître sur la première ligne de la règle. L'ordre des autres champs n'a pas d'importance. Voici un exemple de fichier de règles :

version: STSv1
mode: testing
mx: mail.solarmora.com
mx: *.solarmora.net
mx: backupmx.solarmora.com
max_age: 604800

Contenu du fichier de règles : la règle doit inclure l'ensemble des paires de clés et de valeurs énumérées ci-dessous. Pour personnaliser une règle pour votre domaine, suivez la procédure décrite dans Vérifier l'état du protocole MTA-STS et obtenir des suggestions de configuration.

Clé Valeur
version Version du protocole. Doit être STSv1.
mode

Mode des règles :

  • testing (test) : les serveurs externes vous envoient des rapports sur le chiffrement, ainsi que sur d'autres problèmes identifiés lors de leur connexion à votre domaine. Les exigences de chiffrement et d'authentification du protocole MTA-STS ne sont pas appliquées.

  • enforce (application forcée) : si la connexion SMTP n'est pas authentifiée et chiffrée, les serveurs de messagerie configurés pour le protocole MTA-STS n'envoient pas de messages à votre domaine. Vous recevez également des rapports des serveurs externes sur les problèmes de connexion, comme lorsque vous êtes en mode test.

  • none (aucun) : ce mode indique aux serveurs externes que votre domaine n'est plus compatible avec le protocole MTA-STS. Si vous ne l'utilisez plus, choisissez cette valeur. Découvrez comment supprimer le protocole MTA-STS (RFC 8461).
mx

Enregistrement MX pour le domaine :

  • La règle doit comporter une entrée mx pour chaque enregistrement MX ajouté au domaine.
  • Chaque entrée mx doit être sur sa propre ligne dans le fichier de règles, comme illustré dans l'exemple.
  • Le nom du serveur de messagerie doit être au format SAN (Subject Alternative Name) standard.
  • La valeur mx doit respecter l'un des formats indiqués dans les exemples suivants :

    Spécifiez un seul serveur au format MX standard : alt1.aspmx.solarmora.com

    Spécifiez les serveurs qui correspondent à un modèle d'attribution de noms à l'aide d'un caractère générique. Celui-ci remplace uniquement le libellé le plus à gauche, par exemple : *.solarmora.com

En savoir plus sur les enregistrements MX et leurs valeurs
max_age

Durée maximale, en secondes, pendant laquelle la règle est valide. La valeur max_age est réinitialisée pour un serveur externe chaque fois que ce serveur vérifie la règle. Par conséquent, les serveurs externes ont des dates d'expiration différentes pour la même règle.

La valeur doit être comprise entre 86400 (un jour) et 31557600 (environ un an).

En mode test, nous vous recommandons une valeur comprise entre 604800 et 1209600 (une à deux semaines).

Étapes suivantes

Publier vos règles MTA-STS

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
15132022671563393664
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false