[doc, mail] MTA-STS.

critical/mail/normes.org

@@ -179,6 +179,43 @@ du mail (valeurs des clefs ~b~ et ~bh~).
 - [[https://datatracker.ietf.org/doc/html/rfc8461][RFC]],
 - [[https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security][Section de page Wikipédia]].
 
+Le MTA-STS consiste à publier les protocoles de sécurité supportés par les
+serveur mail d'un certain domaine (pour nous, les mails en /...@crans.org/).
+
+Contrairement au ~DANE~ (décrit plus bas), ce protocole ne demande pas la mise en
+place de DNSSEC. En revanche, il demande d'avoir un serveur Web accessible en
+~https~ (pour nous, ~https://crans.org~ doit être servi par un serveur Web).
+
+** Implémentation (côté infrastructure émettrice)
+
+*** Dans la zone DNS
+
+Il faut ajouter un champ TXT accessible à ~_mts-sts.domain.tld~.
+
+Quelques exemples:
+- Gmail: ~v=STSv1; id=20190429T010101;,~
+- Microsoft: ~v=STSv1; id=20190225000000Z;~,
+- Outlook: ~v=STSv1; id=20190225000000Z;~.
+
+*** Sur le serveur Web
+
+Il faut que le serveur Web associé serve un fichier texte accessible à l'adresse
+~https://mta-sts.domain.tld/.well-known/mta-sts.txt~
+
+Quelques exemples :
+- [[https://mta-sts.gmail.com/.well-known/mta-sts.txt][Gmail]]
+- [[https://mta-sts.outlook.com/.well-known/mta-sts.txthttps://mta-sts.outlook.com/.well-known/mta-sts.txt][Outlook]],
+- [[https://mta-sts.microsoft.com/.well-known/mta-sts.txt][Microsoft]].
+
+Le fichier texte contient une liste de clefs-valeurs. Ces clefs décrivent quel
+protocole
+
+** Vérification côté récepteur.
+
+~postfix-mta-sts-resolver~ peut être utilisé ?  N'ayant pas implémenté cette
+solution pour le moment (ni au Cr@ns, ni personnellement), nous ne pouvons pas
+commenter sur le sujet.
+
 * TODO DANE
 
 - [[https://www.rfc-editor.org/rfc/rfc6698][RFC]],