Renforcez la sécurité de Gmail en activant le protocole MTA-STS (MTA Strict Transport Security) pour votre domaine. Ce dernier améliore la sécurité de Gmail en exigeant des vérifications d'authentification et le chiffrement des e-mails adressés à votre domaine. Les rapports TLS (Transport Layer Security) fournissent des informations sur les connexions de serveurs externes à votre domaine.
Comme tous les fournisseurs de messagerie, Gmail exploite le protocole SMTP (Simple Mail Transfer Protocol) pour l'envoi et la réception des e-mails. Utilisé seul, le protocole SMTP ne protège pas efficacement, et de nombreux serveurs SMTP ne sont pas suffisamment sécurisés pour empêcher les attaques malveillantes.
Par exemple, le protocole SMTP est vulnérable aux attaques dites de "l'homme du milieu". Il s'agit d'une attaque au cours de laquelle la communication entre deux serveurs est interceptée et potentiellement modifiée sans être détectée. L'utilisation du protocole MTA-STS pour sécuriser les connexions au serveur de messagerie permet d'éviter ce type d'attaques.
En savoir plus sur le protocole MTA-STS (RFC 8461) et sur la création de rapports TLS (RFC 8460).
Google vous recommande de configurer d'autres méthodes d'authentification des e-mails pour votre compte, y compris DKIM, SPF et DMARC. En savoir plus sur les méthodes d'authentification des e-mails recommandées
Sécurité des e-mails à l'aide du protocole MTA-STS
Les connexions SMTP pour les e-mails sont plus sécurisées lorsque le serveur d'envoi est compatible avec le protocole MTA-STS et que le serveur de réception dispose d'une règle MTA-STS en mode application forcée.
Réception de messages : lorsque vous activez le protocole MTA-STS pour votre domaine, vous demandez aux serveurs de messagerie externes d'envoyer des messages à votre domaine uniquement lorsque la connexion SMTP est à la fois :
- authentifiée à l'aide d'un certificat public valide ;
- chiffrée à l'aide du protocole TLS 1.2 ou version ultérieure.
Les serveurs de messagerie compatibles avec le protocole MTA-STS envoient des messages à votre domaine uniquement par le biais des connexions à la fois authentifiées et chiffrées.
Envoi de messages : les messages Gmail de votre domaine sont conformes au protocole MTA-STS lorsqu'ils sont envoyés à des serveurs externes disposant d'une règle MTA-STS en mode application forcée.
Création de rapports TLS
Lorsque vous activez la création de rapports TLS, vous demandez la génération de rapports quotidiens provenant de serveurs de messagerie externes se connectant à votre domaine. Les rapports contiennent des informations sur les problèmes de connexion rencontrés par les serveurs externes lors de l'envoi de messages à votre domaine. Utilisez les données des rapports pour identifier et résoudre les problèmes de sécurité de votre serveur de messagerie.
Procédure de configuration de la création de rapports MTA-STS et TLS
- Vérifiez la configuration MTA-STS de votre domaine.
- Créez une règle MTA-STS.
- Publiez la règle MTA-STS.
- Ajoutez des enregistrements TXT DNS pour activer la création de rapports MTA-STS et TLS.
En savoir plus sur les rapports MTA-STS et TLS
Comment le protocole MTA-STS améliore-t-il la sécurité des messages ?
L'application du protocole de sécurité SMTP est facultative et, conformément aux normes Internet en vigueur, ce dernier autorise les connexions par le biais d'enregistrements au format texte brut. Utilisé seul, le protocole SMTP permet une distribution des e-mails à la hauteur de ses capacités. La distribution des messages et la qualité du service ne sont pas garanties. Le protocole SMTP est compatible avec TLS, mais de nombreux serveurs SMTP n'utilisent pas ce protocole et ne sont pas sécurisés.
Les problèmes courants liés à la sécurité des serveurs SMTP sont les suivants :
- Certificats TLS arrivés à expiration
- Certificats ne correspondant pas aux noms de domaine du serveur
- Certificats non émis par des tiers de confiance
- Manque de compatibilité avec les protocoles sécurisés
Les serveurs qui ne sont pas suffisamment sécurisés exposent les connexions SMTP à des attaques dites de "l'homme du milieu" ainsi qu'à d'autres types d'attaques malveillantes. La plupart des fournisseurs de messagerie essaient d'envoyer les messages via des connexions SMTP utilisant le protocole TLS. Toutefois, si une connexion TLS ne peut pas être créée, les serveurs envoient généralement tout de même ces messages.
Le protocole MTA-STS indique aux serveurs d'envoi de ne pas envoyer de messages, sauf si les conditions suivantes sont remplies :
- Le serveur d'envoi est compatible avec le protocole MTA-STS.
- Le serveur de réception dispose d'une règle MTA-STS en mode application forcée.
Informations associées
- Découvrez comment configurer le paramètre TLS de manière à exiger que les messages soient distribués via une connexion sécurisée pour les messages envoyés à des domaines ou adresses e-mail spécifiques (ou reçus depuis ces derniers).
- Pour en savoir plus sur le protocole SMTP, référez-vous à la norme RFC 3207.
Pourquoi utiliser les rapports TLS ?
La création de rapports TLS demande aux serveurs de messagerie externes de vous envoyer des rapports quotidiens sur les connexions avec les serveurs de messagerie de votre domaine. Les rapports peuvent être envoyés par e-mail ou mis en ligne sur un serveur Web. Utilisez-les pour comprendre les problèmes que les serveurs externes peuvent rencontrer lors de l'envoi de messages à votre domaine.
Les rapports contiennent des informations sur l'état du protocole MTA-STS et l'état de la connexion des serveurs de messagerie de votre domaine, y compris les suivantes :
- Toutes les règles MTA-STS détectées
- Statistiques du trafic
- Échecs de connexion
- Messages qui n'ont pas pu être envoyés
Avant que votre domaine n'applique le chiffrement et l'authentification MTA-STS, définissez votre règle en mode test. Consultez les rapports quotidiens pour identifier et résoudre les problèmes de connexion avec votre domaine. Ensuite, passez votre règle en mode application forcée. En savoir plus sur les modes des règles MTA-STS.
Il est possible que vous ne receviez que peu de rapports tant que la création de rapports TLS n'est pas plébiscitée par les fournisseurs de messagerie.
Informations associées
- Pour activer la création de rapports TLS, suivez cette procédure.
- Pour en savoir plus sur les rapports TLS, référez-vous à la norme RFC 8460.