MTA-STS
Qu'est-ce que MTA-STS ?
MTA-STSMécanisme de sécurité e-mail (RFC 8461) permettant à un domaine d'exiger TLS sur le SMTP entrant et d'épingler une liste de MX de confiance, déjouant les attaques de downgrade et de strip STARTTLS.
MTA Strict Transport Security (MTA-STS), spécifié dans le RFC 8461, permet à un domaine de publier un enregistrement TXT à _mta-sts.example.com et une politique en HTTPS à https://mta-sts.example.com/.well-known/mta-sts.txt, déclarant le TLS requis, les MX autorisés et un mode (none, testing, enforce). Les MTA émetteurs mettent la politique en cache et, en mode enforce, refusent la livraison si STARTTLS, la validation du certificat ou le contrôle du MX échouent. MTA-STS complète DANE/TLSA pour les opérateurs sans DNSSEC et corrige les faiblesses du TLS opportuniste face à des attaquants actifs. SMTP TLS Reporting (RFC 8460) fournit des rapports JSON quotidiens des échecs TLS.
● Exemples
- 01
Publier une politique en mode enforce limitant le SMTP entrant à mx1.example.com et mx2.example.com sur TLS 1.2 et plus.
- 02
Recevoir des rapports TLSRPT quotidiens sans échec TLS après un déploiement réussi de MTA-STS.
● Questions fréquentes
Qu'est-ce que MTA-STS ?
Mécanisme de sécurité e-mail (RFC 8461) permettant à un domaine d'exiger TLS sur le SMTP entrant et d'épingler une liste de MX de confiance, déjouant les attaques de downgrade et de strip STARTTLS. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie MTA-STS ?
Mécanisme de sécurité e-mail (RFC 8461) permettant à un domaine d'exiger TLS sur le SMTP entrant et d'épingler une liste de MX de confiance, déjouant les attaques de downgrade et de strip STARTTLS.
Comment fonctionne MTA-STS ?
MTA Strict Transport Security (MTA-STS), spécifié dans le RFC 8461, permet à un domaine de publier un enregistrement TXT à _mta-sts.example.com et une politique en HTTPS à https://mta-sts.example.com/.well-known/mta-sts.txt, déclarant le TLS requis, les MX autorisés et un mode (none, testing, enforce). Les MTA émetteurs mettent la politique en cache et, en mode enforce, refusent la livraison si STARTTLS, la validation du certificat ou le contrôle du MX échouent. MTA-STS complète DANE/TLSA pour les opérateurs sans DNSSEC et corrige les faiblesses du TLS opportuniste face à des attaquants actifs. SMTP TLS Reporting (RFC 8460) fournit des rapports JSON quotidiens des échecs TLS.
Comment se défendre contre MTA-STS ?
Les défenses contre MTA-STS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de MTA-STS ?
Noms alternatifs courants : MTA Strict Transport Security.
● Termes liés
- network-security№ 1098
STARTTLS
Extension SMTP, IMAP, POP3 et XMPP définie par le RFC 3207, qui passe une connexion en clair à TLS après la salutation du protocole, permettant un chiffrement opportuniste entre serveurs et clients.
- network-security№ 764
TLS opportuniste
Posture de chiffrement où deux parties utilisent TLS si elles le supportent et reviennent au texte clair sinon, typique du SMTP entre serveurs avec STARTTLS sans authentification forte.
- network-security№ 270
DANE
Famille de protocoles définie par le RFC 6698 qui utilise des enregistrements TLSA signés DNSSEC pour lier des certificats ou des clés publiques TLS à un service, réduisant la dépendance aux AC publiques.
- network-security№ 333
DMARC
Standard d'authentification d'e-mail défini par le RFC 7489 qui permet au propriétaire d'un domaine de publier une politique indiquant aux récepteurs que faire des messages échouant SPF/DKIM et l'alignement.
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.