Données emailing8 min de lecture

MTA-STS : qu\'est-ce que c\'est et qui l\'a adopté

MTA-STS est un protocole de sécurité qui force le chiffrement TLS des connexions SMTP entre serveurs de messagerie. Découvrez pourquoi les fournisseurs français le déploient et comment en tirer parti.

Chaque jour, des milliards de messages transitent entre serveurs de messagerie via le protocole SMTP. Mais peu de personnes savent que ce protocole transporte historiquement les emails en clair, sans garantie de chiffrement du canal. Face aux enjeux croissants de sécurité réseau et de surveillance, un nouveau standard s\'impose progressivement en France et en Europe : MTA-STS.

Ce protocole force les serveurs récepteurs à chiffrer les connexions SMTP qui font transiter vos campagnes email. Comprendre son fonctionnement est essentiel pour garantir que vos messages arrivent en toute sécurité, surtout si vous ciblez des adresses chez Orange, Free, Gmail ou Outlook.

Qu\'est-ce que MTA-STS exactement ?

MTA-STS signifie Mail Transfer Agent Strict Transport Security. Il s\'agit d\'une norme créée par l\'IETF (Internet Engineering Task Force) qui force le chiffrement des connexions SMTP entre serveurs de messagerie.

Contrairement aux standards plus anciens comme STARTTLS (qui proposait du chiffrement optionnel), MTA-STS impose la présence d\'un certificat TLS valide et du chiffrement avant toute transmission de données sensibles. C\'est une sorte de politique de sécurité que tu publies sur tes serveurs et que les autres serveurs peuvent consulter pour savoir comment te contacter en toute sécurité.

Pourquoi sécuriser les connexions SMTP ?

Le protocole SMTP, dans sa forme originelle, transmet les emails sans chiffrement. Cela signifie que n\'importe quel attaquant capable d\'intercepter le trafic réseau (attaque man-in-the-middle) pouvait :

  • Lire le contenu complet de tes messages
  • Intercepter et modifier les en-têtes d\'authentification (SPF, DKIM, DMARC)
  • Effectuer une attaque de « downgrade » en forçant une connexion non chiffrée
  • Usurper l\'identité du serveur récepteur pour détourner les emails

Bien que les fournisseurs français comme Orange, Free et La Poste aient progressivement adopté STARTTLS, cette solution ne les protégeait pas de tous ces risques. MTA-STS comble cette brèche de sécurité en rendant le chiffrement obligatoire.

Comment fonctionne MTA-STS ?

MTA-STS repose sur un mécanisme simple mais robuste : une politique de sécurité stockée sur tes serveurs que d\'autres serveurs consulteront avant de t\'envoyer un email.

Voici le flux en trois étapes :

  • Publication d\'une politique DNS : Tu crées un enregistrement DNS _mta-sts et une politique texte hébergée sur mta-sts.tondomaine.fr.
  • Consultation par le serveur émetteur : Quand Gmail ou un autre serveur veut t\'envoyer un email, il cherche d\'abord ton enregistrement MTA-STS et télécharge ta politique.
  • Connexion chiffrée obligatoire : Si ta politique existe, le serveur établit une connexion SMTP avec un certificat TLS valide. S\'il échoue, il refuse de livrer l\'email et génère un rapport d\'erreur.
_mta-sts.example.fr. IN TXT v=STSv1; id=20260713T000000Z;Préfixe DNS MTA-STSVersion du protocoleIdentificateur unique (timestamp)
Enregistrement DNS MTA-STS typique

La politique elle-même (fichier .well-known/mta-sts.txt) contient des directives simples : durée de validité de la politique, mode d\'application (testing ou enforce), et liste des serveurs MX acceptables.

État de l\'adoption MTA-STS en France

MTA-STS est un protocole relativement jeune, standardisé en 2018, mais son adoption s\'accélère rapidement en France. Les données du secteur montrent que la majorité des fournisseurs de haut niveau (tier-1) soutiennent désormais MTA-STS.

Les principaux fournisseurs français opèrent comme suit :

  • Orange (orange.fr, wanadoo.fr) : Support avancé et application stricte de MTA-STS sur tous les serveurs MX.
  • Free (free.fr) : Support robuste pour MTA-STS, reflétant l\'approche rigoureuse de Free en matière de sécurité réseau.
  • SFR (sfr.fr, neuf.fr) : Adoption progressive du protocole intégrée à son infrastructure de filtrage.
  • La Poste (laposte.net) : Support de MTA-STS selon les recommandations de la CNIL.
  • Gmail, Outlook, Yahoo, iCloud : Support complet et application stricte depuis 2020-2021.

Les plateformes email-marketing françaises comme Brevo et Mailjet intègrent aussi MTA-STS, ce qui signifie que tu bénéficies probablement déjà du protocole si tu utilises un ESP français.

Pour vérifier l\'adoption actuelle dans le secteur français, tu peux consulter nos données emailing en temps réel, qui scannent chaque semaine les infrastructures des plus grands domaines et fournisseurs.

Comment mettre en place MTA-STS sur ton domaine

La mise en place de MTA-STS demande peu d\'effort technique. Voici les étapes principales :

  • Étape 1 : Préparer un certificat TLS valide
    Assure-toi que tes serveurs MX utilisent un certificat TLS émis par une autorité de certification de confiance. Les certificats auto-signés ne fonctionnent pas.
  • Étape 2 : Créer la politique MTA-STS
    Héberge un fichier texte simple sur https://mta-sts.tondomaine.fr/.well-known/mta-sts.txt contenant tes règles de sécurité (serveurs MX autorisés, mode testing ou enforce, durée de validité).
  • Étape 3 : Publier l\'enregistrement DNS
    Crée un enregistrement TXT DNS _mta-sts.tondomaine.fr avec une version et un ID unique.
  • Étape 4 : Tester et passer en mode « enforce »
    Commence en mode « testing » pendant quelques semaines pour vérifier qu\'aucun problème n\'apparaît, puis bascule en mode « enforce » pour activer le rejet des connexions non chiffrées.
Conseil pratique
Commence toujours en mode « testing » lors du déploiement de MTA-STS. Cela te permet de recevoir des rapports sur les serveurs qui échouent à appliquer la politique sans refuser leurs emails. Les rapports d\'erreur t\'aideront à identifier les problèmes de certificat ou de configuration avant de passer en production.

MTA-STS et autres protocoles de sécurité

MTA-STS ne remplace pas les standards d\'authentification comme SPF, DKIM et DMARC. Ces trois protocoles certifient que tu es bien l\'auteur du message. MTA-STS sécurise simplement le canal de transport entre serveurs.

Un autre protocole concurrence MTA-STS sur certains points : DANE (DNSSEC-based Authentication of Named Entities). DANE utilise DNSSEC pour publier les certificats TLS de tes serveurs MX directement dans le DNS. C\'est une approche plus robuste mais qui exige de mettre en place DNSSEC, beaucoup plus complexe. En pratique, MTA-STS est plus rapide et plus facile à déployer à grande échelle en France.

MTA-STS est-il obligatoire pour l\'email-marketing ?

Techniquement non, mais fortement recommandé. Orange, Free et Gmail appliquent de plus en plus strictement MTA-STS. Si tes emails ciblent des adresses chez ces fournisseurs et que tu n\'as pas MTA-STS, tu risques des rejets silencieux ou des rapports d\'erreur. Pour les ESP français comme Brevo ou Mailjet, la mise en place de MTA-STS augmente sensiblement la délivrabilité.

Quelle est la différence entre MTA-STS et DANE ?

MTA-STS repose sur une politique texte publiée en HTTP et un enregistrement DNS simple. DANE utilise DNSSEC pour signer les certificats directement dans le DNS, offrant une sécurité théoriquement supérieure. Cependant, DANE exige la mise en place de DNSSEC complète (complexe), tandis que MTA-STS est accessible immédiatement si tu as déjà SPF et DKIM. La plupart des fournisseurs français privilégient MTA-STS pour des raisons de simplicité opérationnelle.

Comment vérifier que MTA-STS fonctionne sur mon domaine ?

Tu peux utiliser des outils pour tester la configuration globale de ton domaine, y compris MTA-STS. Vérifie aussi que tes enregistrements DNS sont bien propagés (dig ou nslookup) et que le fichier politique est accessible via HTTPS sur mta-sts.tondomaine.fr. Certains fournisseurs offrent aussi des logs de rapport sur les tentatives de connexion MTA-STS échouées. Tu peux également utiliser check.live-direct-marketing.online pour tester ton domaine.
À lire aussi
Found this useful? Share it
AB
À propos de l'auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Vérifiez votre délivrabilité chez plus de 20 fournisseurs

Gmail, Outlook, Yahoo, Orange, GMX, ProtonMail et plus. Captures réelles de la boîte de réception, SPF/DKIM/DMARC, verdicts des filtres anti-spam. Gratuit, sans inscription.

Lancer le test gratuit →

Tests illimités · Plus de 20 boîtes · Résultats en direct · Sans compte