Chaque jour, des milliards de messages transitent entre serveurs de messagerie via le protocole SMTP. Mais peu de personnes savent que ce protocole transporte historiquement les emails en clair, sans garantie de chiffrement du canal. Face aux enjeux croissants de sécurité réseau et de surveillance, un nouveau standard s\'impose progressivement en France et en Europe : MTA-STS.
Ce protocole force les serveurs récepteurs à chiffrer les connexions SMTP qui font transiter vos campagnes email. Comprendre son fonctionnement est essentiel pour garantir que vos messages arrivent en toute sécurité, surtout si vous ciblez des adresses chez Orange, Free, Gmail ou Outlook.
Qu\'est-ce que MTA-STS exactement ?
MTA-STS signifie Mail Transfer Agent Strict Transport Security. Il s\'agit d\'une norme créée par l\'IETF (Internet Engineering Task Force) qui force le chiffrement des connexions SMTP entre serveurs de messagerie.
Contrairement aux standards plus anciens comme STARTTLS (qui proposait du chiffrement optionnel), MTA-STS impose la présence d\'un certificat TLS valide et du chiffrement avant toute transmission de données sensibles. C\'est une sorte de politique de sécurité que tu publies sur tes serveurs et que les autres serveurs peuvent consulter pour savoir comment te contacter en toute sécurité.
Pourquoi sécuriser les connexions SMTP ?
Le protocole SMTP, dans sa forme originelle, transmet les emails sans chiffrement. Cela signifie que n\'importe quel attaquant capable d\'intercepter le trafic réseau (attaque man-in-the-middle) pouvait :
- Lire le contenu complet de tes messages
- Intercepter et modifier les en-têtes d\'authentification (SPF, DKIM, DMARC)
- Effectuer une attaque de « downgrade » en forçant une connexion non chiffrée
- Usurper l\'identité du serveur récepteur pour détourner les emails
Bien que les fournisseurs français comme Orange, Free et La Poste aient progressivement adopté STARTTLS, cette solution ne les protégeait pas de tous ces risques. MTA-STS comble cette brèche de sécurité en rendant le chiffrement obligatoire.
Comment fonctionne MTA-STS ?
MTA-STS repose sur un mécanisme simple mais robuste : une politique de sécurité stockée sur tes serveurs que d\'autres serveurs consulteront avant de t\'envoyer un email.
Voici le flux en trois étapes :
- Publication d\'une politique DNS : Tu crées un enregistrement DNS
_mta-stset une politique texte hébergée surmta-sts.tondomaine.fr. - Consultation par le serveur émetteur : Quand Gmail ou un autre serveur veut t\'envoyer un email, il cherche d\'abord ton enregistrement MTA-STS et télécharge ta politique.
- Connexion chiffrée obligatoire : Si ta politique existe, le serveur établit une connexion SMTP avec un certificat TLS valide. S\'il échoue, il refuse de livrer l\'email et génère un rapport d\'erreur.
La politique elle-même (fichier .well-known/mta-sts.txt) contient des directives simples : durée de validité de la politique, mode d\'application (testing ou enforce), et liste des serveurs MX acceptables.
État de l\'adoption MTA-STS en France
MTA-STS est un protocole relativement jeune, standardisé en 2018, mais son adoption s\'accélère rapidement en France. Les données du secteur montrent que la majorité des fournisseurs de haut niveau (tier-1) soutiennent désormais MTA-STS.
Les principaux fournisseurs français opèrent comme suit :
- Orange (orange.fr, wanadoo.fr) : Support avancé et application stricte de MTA-STS sur tous les serveurs MX.
- Free (free.fr) : Support robuste pour MTA-STS, reflétant l\'approche rigoureuse de Free en matière de sécurité réseau.
- SFR (sfr.fr, neuf.fr) : Adoption progressive du protocole intégrée à son infrastructure de filtrage.
- La Poste (laposte.net) : Support de MTA-STS selon les recommandations de la CNIL.
- Gmail, Outlook, Yahoo, iCloud : Support complet et application stricte depuis 2020-2021.
Les plateformes email-marketing françaises comme Brevo et Mailjet intègrent aussi MTA-STS, ce qui signifie que tu bénéficies probablement déjà du protocole si tu utilises un ESP français.
Pour vérifier l\'adoption actuelle dans le secteur français, tu peux consulter nos données emailing en temps réel, qui scannent chaque semaine les infrastructures des plus grands domaines et fournisseurs.
Comment mettre en place MTA-STS sur ton domaine
La mise en place de MTA-STS demande peu d\'effort technique. Voici les étapes principales :
- Étape 1 : Préparer un certificat TLS valide
Assure-toi que tes serveurs MX utilisent un certificat TLS émis par une autorité de certification de confiance. Les certificats auto-signés ne fonctionnent pas. - Étape 2 : Créer la politique MTA-STS
Héberge un fichier texte simple surhttps://mta-sts.tondomaine.fr/.well-known/mta-sts.txtcontenant tes règles de sécurité (serveurs MX autorisés, mode testing ou enforce, durée de validité). - Étape 3 : Publier l\'enregistrement DNS
Crée un enregistrement TXT DNS_mta-sts.tondomaine.fravec une version et un ID unique. - Étape 4 : Tester et passer en mode « enforce »
Commence en mode « testing » pendant quelques semaines pour vérifier qu\'aucun problème n\'apparaît, puis bascule en mode « enforce » pour activer le rejet des connexions non chiffrées.
MTA-STS et autres protocoles de sécurité
MTA-STS ne remplace pas les standards d\'authentification comme SPF, DKIM et DMARC. Ces trois protocoles certifient que tu es bien l\'auteur du message. MTA-STS sécurise simplement le canal de transport entre serveurs.
Un autre protocole concurrence MTA-STS sur certains points : DANE (DNSSEC-based Authentication of Named Entities). DANE utilise DNSSEC pour publier les certificats TLS de tes serveurs MX directement dans le DNS. C\'est une approche plus robuste mais qui exige de mettre en place DNSSEC, beaucoup plus complexe. En pratique, MTA-STS est plus rapide et plus facile à déployer à grande échelle en France.