Tutanota lance le support MTA-STS pour les domaines personnalisés avec Let's Encrypt.

Le lancement de MTA-STS pour les domaines personnalisés souligne l'importance que Tutanota accorde à la protection de la vie privée, à la sécurité et à la facilité d'utilisation.

Nous sommes heureux de vous informer qu'avec notre dernière version, nous avons mis en place le support MTA-STS pour les domaines personnalisés en nous associant à Let's Encrypt. Bien qu'aujourd'hui presque tous les fournisseurs de messagerie électronique prennent en charge cette importante extension de sécurité pour leur domaine principal, il est encore très difficile pour les personnes utilisant leur propre domaine d'envoyer et de recevoir des courriers. Cela doit changer car MTA-STS apporte une sécurité bien plus grande à tous les utilisateurs de courrier électronique.


MTA-STS pour les domaines personnalisés

Avec cette mise à jour, les propriétaires de domaines personnalisés n’ont plus qu’à mettre à jour deux entrées DNS auprès de leur fournisseur de domaine. Ensuite, Tutanota et Let’s Encrypt géreront et mettront à jour automatiquement les certificats TLS, y compris MTA-STS. Ce processus simple d’activation de cette importante fonction de sécurité est inégalé par les autres fournisseurs.

À ce jour, seul Google Mail offre également le support MTA-STS pour ses utilisateurs de domaines personnalisés, mais le processus d’activation du support est beaucoup plus compliqué car Google ne gère pas les certificats pour ses utilisateurs. Pourtant, sans cette mise à jour automatique, l’ajout de MTA-STS est beaucoup trop complexe pour la plupart des propriétaires de domaines. En automatisant ce processus, Tutanota permet à tous les utilisateurs de ses domaines personnalisés d’activer facilement MTA-STS.

Mission de cryptage du web

Notre mission et celle de Let’s Encrypt est de rendre l’internet plus sûr, étape par étape. Let’s Encrypt a rendu la gestion de TLS tellement plus facile pour nous et nos utilisateurs de domaines personnalisés que nous avons considéré qu’il était très important d’investir du temps dans l’ajout du support MTA-STS pour les domaines personnalisés également. Chez Tutanota, la sécurité et la confidentialité passent toujours en premier.

Pourquoi nous avons besoin de MTA-STS

MTA-STS (Mail Transfer Agent Strict Transport Security) est une nouvelle norme qui améliore la sécurité du SMTP en permettant aux noms de domaine d’opter pour un mode de sécurité de la couche transport strict qui nécessite une authentification (certificats publics valides) et un cryptage (TLS), empêchant ainsi les attaques ciblées de déclassement et les attaques d’usurpation de DNS.

En d’autres termes, MTA-STS consiste à envoyer par e-mail ce que le HTTPS strict est à un site web : Il applique le cryptage TLS chaque fois que le cryptage TLS est possible.

À Tutanota, cela est particulièrement important pour les courriers électroniques destinés à d’autres serveurs de messagerie. Tous les courriers électroniques entre les utilisateurs de Tutanota sont cryptés de bout en bout et donc toujours entièrement sécurisés. Les courriers électroniques destinés à d’autres serveurs de messagerie doivent être protégés par un cryptage de la couche transport (TLS). Si le MTA-STS est activé, seuls les courriers électroniques destinés à des serveurs de messagerie qui ne prennent pas en charge le STARTTLS (qui sont très peu nombreux aujourd’hui) seront envoyés en utilisant une connexion non cryptée.

Les attaques de l’homme au milieu (MITM) empêchées par le MTA-STS

Le MTA-STS arrête plusieurs vecteurs d’attaque pour les courriels envoyés via SMTP en s’assurant que les courriels ne sont envoyés que via une connexion TLS cryptée entre les serveurs de messagerie correspondants.

Attaque par usurpation de DNS

Un attaquant pourrait injecter une réponse DNS malveillante qui tromperait le serveur de courrier électronique expéditeur pour qu’il livre le courrier électronique à un autre serveur de courrier électronique contrôlé par l’attaquant, qui pourrait alors envoyer le courrier au serveur de courrier électronique du destinataire sans qu’il s’aperçoive que quelqu’un est intervenu.

Attaque de niveau inférieur

Sans MTA-STS, la négociation STARTTLS pourrait être perturbée pour tromper le serveur de courrier électronique d’envoi, c’est-à-dire envoyer le courrier électronique sans cryptage TLS. Avec MTA-STS, les serveurs de courrier électronique appliquent le cryptage TLS.

Les deux attaques permettent à l’attaquant de lire et de manipuler le courrier électronique pendant sa transmission. Les deux attaques ne sont plus possibles lorsque le MTA-STS est activé.

Focus sur la sécurité

Le lancement de MTA-STS pour les domaines personnalisés souligne l’importance que Tutanota accorde à la confidentialité, à la sécurité et à la facilité d’utilisation. Ensemble, nous allons crypter l’ensemble du web !