Mta-sts / rfc 8460

mat · Avril 25, 2019, 12:37

Hello les CHATONS.

Dans ceux qui gèrent leur infra mail, est-ce que vous avez commencé à recevoir des mails quotidiens de google en rapport avec MTA-STS ?

Exemple (j’ai remplacé mon domaine par « domain.tld ») :

From: noreply-smtp-tls-reporting@google.com
To: postmaster@domain.tld
Date: Today 12:07 
Body : This is an aggregate TLS report from google.com
Attachment : google.com!domain.tld!1556064000!1556150399!001.json.gz

Le fichier zip joint au mail contient un google.json :

{"organization-name":"Google Inc.","date-range":{"start-datetime":"2019-04-24T00:00:00Z","end-datetime":"2019-04-24T23:59:59Z"},"contact-info":"smtp-tls-reporting@google.com","report-id":"2019-04-24T00:00:00Z_domain.tld","policies":[{"policy":{"policy-type":"no-policy-found"},"summary":{"total-successful-session-count":1}}]}

Par défaut, ces mails sont envoyés à postmaster@domain.tld.

Après quelques recherches, je suis tombé là-dessus :

https://tools.ietf.org/html/rfc8460
https://datatracker.ietf.org/doc/rfc8460/
et l’annonce de G à la date à laquelle les premiers mails ont été envoyés : https://security.googleblog.com/2019/04/gmail-making-email-more-secure-with-mta.html

Email domain administrators should set up DNS records and web server endpoint to configure MTA-STS and TLS reporting policies for incoming emails

De ce que j’en ai compris jusqu’ici, si ce n’est pas en place, alors on se mange un email quotidien sur l’adresse par défaut postmaster@

J’imagine que tous les domaines ayant de près ou de loin communiqué en SMTP avec G sont concernés.

Bref, du SPAM ?

Pour l’instant, je suis plutôt perplexe sur cette RFC 8460. Et vous ?

vincentxavier · Avril 25, 2019, 12:57

Nope, jamais encore reçu ce genre de courriel, mais mes domaines sont assez
anciens.

popi · Avril 27, 2019, 10:34

Intéressant. D’après google (https://support.google.com/a/answer/9261504) c’est envoyé aux domaines qui en ont fait la demande:

MTA-STS email security
SMTP connections for email are more secure when the sending server supports MTA-STS and the receiving server has an MTA-STS policy in enforced mode.
Receiving mail: When you turn on MTA-STS for your domain, you request external mail servers to send messages to your domain only when the SMTP connection is both:

Authenticated with a valid public certificate

Encrypted with TLS 1.2 or higher
Mail servers that support MTA-STS will send messages to your domain only over connections that have both authentication and encryption.
Sending mail: By default, Gmail messages from your domain comply with MTA-STS when sent to external servers with an MTA-STS policy in enforced mode.

TLS reporting

When you turn on TLS reporting, you request daily reports from external mail servers that connect to your domain. The reports have information about any connection problems the external servers find when sending mail to your domain. Use report data to identify and fix security issues with your mail server.

Si je comprend bien, en adoptant cette RFC, on peut indiquer ~~sur notre DNS~~ dans un fichier txt (disponible sous <webserver>/.well-known/mta-sts.txt) que les mails à destination de notre serveur mail doivent être via connexion TLS vérifiée (LetsEncrypt, DANE…) ou ne doivent pas être envoyés du tout (en mode enforced), évitant les hommes du milieu.
Un enregistrement DNS indique ensuite où trouver le fichier txt pour notre domaine.

Pourquoi pas du coup… #todo