Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécuriser les échanges SMTP grâce à DANE

janvier 2020 par Marc Jacob

Le protocole SMTP (Simple Mail Transfer Protocol) est massivement utilisé dans les échanges entre serveurs de messagerie (MTA ou Mail Transfer Agent). L’utilisation de TLS (Transport Layer Security) permet de sécuriser ces flux. Pour assurer une compatibilité optimale des communications, StartTLS ou TLS opportuniste est utilisé pour faciliter l’établissement de la connexion sécurisée.

StartTLS présente certaines limites qui permettent une interception, voire une modification de la transmission. L’émergence d’un protocole visant à améliorer la sécurité de ces connexions était donc nécessaire.

DANE permet d’indiquer à un serveur expéditeur l’empreinte (ou hash) du certificat X.509 utilisé par le serveur destinataire. Il pourra ainsi vérifier que ce certificat n’est pas contrefait avant l’établissement de la connexion sécurisée. En termes moins techniques, DANE est un protocole qui permet d’associer en toute sécurité un serveur à un certificat lors de l’établissement d’une connexion sécurisée par TLS.

DANE implique l’utilisation de DNSSEC afin de fiabiliser les données du DNS. Si votre domaine est déjà sécurisé par DNSSEC, la mise en place de DANE n’est pas compliquée : Il suffit d’intégrer l’empreinte du certificat de votre serveur. En théorie, DANE est utilisable avec toutes les communications qui utilisent TLS.

Pour résumer, l’exploitation de DANE implique la présence de :
 Un client et serveur DNS supportant DNSSEC.
 Un client et un serveur (SMTP, HTTP, etc) supportant DANE.
 La présence de l’empreinte du certificat du serveur, sécurisée par DNSSEC, dans le DNS du nom d’hôte destinataire.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants