Syntaxe du MTA-STS

Modifié le  Lun, 25 Sept., 2023 à 3:15 H

Comment garantir la sécurité des emails en respectant la syntaxe ?

Le MTA-STS se met en place par un enregistrement DNS de type TXT, et un fichier de configuration .txt.

L'enregistrement DNS

nom : _mta-sts[.domaine.fr]
valeur : v=STSv1; [paramètre identifiant];

Remarque 

Cet enregistrement doit être présent sous le sous-domaine _mta-sts du domaine sur lequel vous souhaitez mettre en place le protocole.

  • v=STSv1;obligatoire – au debut – définit la version du protocole. Seule valeur possible actuellement.
  • id=20230101abc;obligatoire – définit un identifiant unique permettant aux expéditeurs de déterminer si la politique a été mise à jour en la comparant à l'"id" d'une politique vue précédemment.

Le fichier de configuration texte

nom : https://mta-sts.[domaine.fr]/.well-known/mta-sts.txt

valeur : 
version: STSv1
mode: [none, testing, enforce]
mx: [liste des serveurs MX du domaine]
max_age: [paramètre de durée de validité]


Remarque 

Le nom et le chemin du fichier texte est imposé. Il peut être hébergé ailleurs et validé par un enregistrement CNAME.

  • version: STSv1obligatoire – au debut – définit la version du protocole. Seule valeur possible actuellement.
  • mode: obligatoire – définit la politique à appliquer en cas d'erreur. "none" désactive le controle et aucun rapport TLS-R n'est généré. "testing" active le controle, renseigne les rapports TLS-R et laisse tous les emails arriver. "enforce" active le controle, renseigne les rapports et bloque l'envoi des emails en cas d'erreurs.
  • mx: - obligatoire - liste tous les MX (définit sur les enregistremens MX) du domaine
  • max_age: - obligatoire - définit la durée de validité en secondes. : minimum accepté 86400 pour 24h, 604800 pour 1 semaine, 2678400 pour 1 mois, valeur maximale 31557600, la recommandation est 1 mois quand le mode choisi est définitif.

Les MTA (serveurs de messagerie) interrogent la présence de cet enregistrement DNS pour le domaine indiqué dans l'adresse de destination (To). Ils testent alors la politique MTA-STS et autres informations sur les MX et respectent cette politique en refusant d'envoyer l'email si les configurations ne le permettent pas (STARTTLS, certificat valide, ...). 

Vous pouvez aussi retrouver tous les détails dans la norme RFC8461.


Remarque 

Vérifiez votre MTA-STS avec notre testeur gratuit : https://check.merox.io.

Exemple:

_mta-sts.example.com TXT v=STSv1; id=20160831085700Z;

https://mta-sts.example.com/.well-known/mta-sts.txt
version: STSv1
mode: enforce
mx: mail.example.com
mx: *.example.net
mx: backupmx.example.com
max_age: 604800

Cet article a-t-il été utile ?

C'est super !

Merci pour votre commentaire

Désolé ! Nous n'avons pas pu vous être utile

Merci pour votre commentaire

Dites-nous comment nous pouvons améliorer cet article !

Sélectionner au moins l'une des raisons
La vérification CAPTCHA est requise.

Commentaires envoyés

Nous apprécions vos efforts et nous allons corriger l'article