From 3c3c4e752b501f2ee412a7c0e881372fd21fc2b3 Mon Sep 17 00:00:00 2001 From: Arnaud Daby-Seesaram Date: Fri, 15 Dec 2023 21:18:22 +0100 Subject: [PATCH] [doc, mail] MTA-STS. --- critical/mail/normes.org | 37 +++++++++++++++++++++++++++++++++++++ 1 file changed, 37 insertions(+) diff --git a/critical/mail/normes.org b/critical/mail/normes.org index f2ab288..5501985 100644 --- a/critical/mail/normes.org +++ b/critical/mail/normes.org @@ -179,6 +179,43 @@ du mail (valeurs des clefs ~b~ et ~bh~). - [[https://datatracker.ietf.org/doc/html/rfc8461][RFC]], - [[https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol#SMTP_MTA_Strict_Transport_Security][Section de page Wikipédia]]. +Le MTA-STS consiste à publier les protocoles de sécurité supportés par les +serveur mail d'un certain domaine (pour nous, les mails en /...@crans.org/). + +Contrairement au ~DANE~ (décrit plus bas), ce protocole ne demande pas la mise en +place de DNSSEC. En revanche, il demande d'avoir un serveur Web accessible en +~https~ (pour nous, ~https://crans.org~ doit être servi par un serveur Web). + +** Implémentation (côté infrastructure émettrice) + +*** Dans la zone DNS + +Il faut ajouter un champ TXT accessible à ~_mts-sts.domain.tld~. + +Quelques exemples: +- Gmail: ~v=STSv1; id=20190429T010101;,~ +- Microsoft: ~v=STSv1; id=20190225000000Z;~, +- Outlook: ~v=STSv1; id=20190225000000Z;~. + +*** Sur le serveur Web + +Il faut que le serveur Web associé serve un fichier texte accessible à l'adresse +~https://mta-sts.domain.tld/.well-known/mta-sts.txt~ + +Quelques exemples : +- [[https://mta-sts.gmail.com/.well-known/mta-sts.txt][Gmail]] +- [[https://mta-sts.outlook.com/.well-known/mta-sts.txthttps://mta-sts.outlook.com/.well-known/mta-sts.txt][Outlook]], +- [[https://mta-sts.microsoft.com/.well-known/mta-sts.txt][Microsoft]]. + +Le fichier texte contient une liste de clefs-valeurs. Ces clefs décrivent quel +protocole + +** Vérification côté récepteur. + +~postfix-mta-sts-resolver~ peut être utilisé ? N'ayant pas implémenté cette +solution pour le moment (ni au Cr@ns, ni personnellement), nous ne pouvons pas +commenter sur le sujet. + * TODO DANE - [[https://www.rfc-editor.org/rfc/rfc6698][RFC]],