Renforcement de la sécurité de la connexion SMTP
23 mai 2024
ID 272882
Les serveurs et clients SMTP échangent des données en clair sur Internet. Souvent, l’échange de données s’effectue via un ou plusieurs routeurs qui ne sont contrôlés ou approuvés par aucune des parties. Un tel routeur douteux pourrait permettre à un tiers de consulter ou de modifier la connexion entre le serveur et le client.
De plus, il est souvent nécessaire que deux agents SMTP puissent vérifier l'identité de chacun. Pour ce faire, au stade de l'établissement d'une connexion SMTP, les certificats client et serveur sont échangés sous forme non chiffrée.
Si le client ne souhaite pas afficher son certificat, il peut proposer au serveur d'utiliser des chiffres anonymes. En règle générale, les paramètres de chiffrement du correspondant distant ne peuvent pas être contrôlés, mais la livraison des messages doit être garantie. Dans de tels cas, des paramètres lâches pour la réception et l'envoi du courrier sont utilisés. Dans l'interface Web de KSMG, les paramètres du chiffrement TLS sont situés dans la section Paramètres → MTA intégré → Chiffrement TLS.
Lors de la réception de messages de serveurs distants, le niveau de sécurité de la connexion est défini par la valeur de la liste déroulante Mode de sécurité TLS du serveur. La valeur par défaut est Proposer le chiffrement TLS. Dans ce cas, le client demande au serveur d'établir une connexion chiffrée avec la commande STARTTLS. Si le serveur ne parvient pas à établir une connexion chiffrée, la connexion s'effectue sans utiliser le chiffrement TLS. Une valeur de paramètre plus stricte, par exemple Exiger le chiffrement TLS, à cette étape entraînera une déconnexion, les messages électroniques ne seront pas livrés.
Lorsque vous créez un cluster, l'application KSMG crée automatiquement un certificat auto-signé. Ce certificat s'affiche dans le tableau des certificats TLS dans la section Paramètres → MTA intégré → Chiffrement TLS sous le nom Default Cert et possède une longueur de clé RSA de 4096 bits avec une signature SHA-256. Si vous utilisez des paramètres faibles, ce certificat suffit pour le chiffrement TLS de la connexion.
Lors de l'envoi de messages vers des serveurs distants, le niveau de sécurité de la connexion est défini par la valeur de la liste déroulante Mode de sécurité TLS du client. La valeur par défaut est Vérifier la possibilité de chiffrement TLS, dans laquelle KSMG invite le serveur distant à établir une connexion chiffrée TLS et, en cas d'échec, transmet le message sous forme non chiffrée. Des valeurs de paramètres plus strictes, par exemple Exiger le chiffrement TLS et ne pas vérifier le certificat, nécessiteront que le serveur distant prenne en charge le chiffrement TLS, quels que soient les résultats de l'authentification du certificat TLS. Si la valeur est sélectionnée Exiger le chiffrement TLS et vérifier le certificat, le serveur doit en outre fournir un certificat TLS approprié. Si les paramètres du serveur distant ne correspondent pas aux valeurs spécifiées, la connexion sera interrompue et les messages électroniques ne seront pas envoyés.
Dans KSMG, vous pouvez configurer les messages à envoyer à l'aide du chiffrement TLS pour chaque domaine de la liste. La configuration de l'envoi des messages pour un domaine spécifique se fait dans la section Paramètres → MTA intégré → Domaines.
Vous pouvez utiliser les paramètres suivants pour améliorer la sécurité de votre connexion SMTP lors de la messagerie entre agents de confiance : par exemple, au sein d'une même entreprise, lorsque le chiffrement TLS des agents est appliqué aux mêmes paramètres stricts, des certificats sont émis et chargés par les autorités de certification, et il est impossible de recevoir du courrier provenant de sources inconnues. Pour configurer les paramètres, accédez à la section Paramètres → MTA intégré → Chiffrement TLS et définissez les valeurs suivantes :
- Mode de sécurité TLS du serveur – Exiger le chiffrement TLS.
- Mode de sécurité TLS du client – Exiger le chiffrement TLS et ne pas vérifier le certificat ou Exiger le chiffrement TLS et vérifier le certificat.
L'utilisation de paramètres de chiffrement TLS stricts augmentera la charge sur les ressources informatiques du serveur et réduira le débit de la passerelle.