Plongée technique: clôture de la liste des politiques STARTTLS

Plongée technique: clôture de la liste des politiques STARTTLS

Il s'agit d'un guide technique pour les administrateurs concernés par le projet STARTTLS Everywhere. Consultez notre post de présentation du projet!

La liste des politiques STARTTLS a commencé comme un mécanisme permettant aux serveurs de messagerie d'apprendre les informations TLS sur d'autres serveurs du point de vue d'EFF. Depuis le lancement de MTA-STS, il est devenu un mécanisme pour sécuriser la recherche initiale de MTA-STS afin que les opérateurs de messagerie puissent savoir quand des fournisseurs particuliers insistent pour une livraison sécurisée. Bien que nous ayons eu beaucoup de succès à amener les opérateurs de serveurs de messagerie individuels à améliorer leur sécurité en publiant leurs informations TLS sur la liste, il semble que peu de serveurs de messagerie utilisent la liste pour valider les autres.

Nous continuons de promouvoir des moyens plus évolutifs pour sécuriser votre serveur de messagerie, comme MTA-STS et DANE. Pour le moment, voici quelques directives si votre serveur de messagerie utilise la liste de politique STARTTLS pour la sécurité.

Que faire si mon serveur de messagerie est sur la liste?

Si vous ne l'êtes pas déjà, nous vous recommandons fortement d'utiliser MTA-STS ou DANE (ou les deux!) Pour publier vos informations TLS. Nous continuerons également à extraire les mises à jour des observations MTA-STS pour mettre à jour la liste des domaines actuellement chargés, mais les entrées ajoutées manuellement ne peuvent pas être modifiées à moins que votre serveur ne déploie MTA-STS. Si vous êtes mis en file d'attente pour être ajouté à la liste, votre domaine sera toujours ajouté. Les opérateurs de serveurs de messagerie devraient également avoir reçu un e-mail contenant plus de détails.Si ce n'est pas le cas, n'hésitez pas à envoyer une requête ping à [email protected] .

Que faire si j'utilise la liste pour valider les autres?

Si vous utilisez notre plugin Python pour générer des politiques de sécurité pour Postfix, nous vous recommandons également d'utiliser MTA-STS ou DANE pour valider les politiques de sécurité des autres. La liste continuera de fonctionner et les entrées existantes continueront d'être mises à jour dans un avenir prévisible, mais nous n'ajouterons pas de nouveaux domaines à la liste.

Comment adopter MTA-STS?

Pour publier les informations TLS de votre serveur de messagerie sur MTA-STS, il y a deux étapes:

  • Indiquez que vous prenez en charge MTA-STS sur DNS.
  • Publiez les informations TLS de votre serveur sur HTTPS.

Pour valider MTA-STS, il existe un plugin Postfix développé par la communauté qui peut vous aider à sécuriser vos e-mails envoyés.

Comment adopter DANE?

Pour publier les informations TLS de votre serveur de messagerie sur DANE, votre domaine doit d'abord prendre en charge DNSSEC – vous devrez vérifier cela auprès de votre registraire de domaine. Si vous utilisez un fournisseur DNS, vous pouvez vérifier s'il prend automatiquement en charge DNSSEC.

Une fois que vous avez vérifié la prise en charge de DNSSEC, ce guide peut vous aider à commencer à utiliser les certificats Let's Encrypt avec DANE. La plupart des serveurs de messagerie open source, y compris Postfix et Exim, peuvent être configurés pour valider DANE.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/04/technical-deep-dive-winding-down-starttls-policy-list le Tue, 21 Apr 2020 14:42:30 +0000.