Prérequis: un serveur mail exploitable
Le MTA-STS offre une protection contre :
- Les attaques de dégradation
- Attaques de l’homme au milieu (MITM)
- Il résout de nombreux problèmes de sécurité SMTP, notamment les certificats TLS expirés et le manque de prise en charge des protocoles sécurisés.
sudo mkdir /var/www/html/mta-sts
sudo mkdir /var/www/html/mta-sts/.well-known
sudo nano /var/www/html/mta-sts/.well-known/mta-sts.txt
Et collez:
version: STSv1
mode: enforce
mx: mail.$NomDeDomaine
max_age: 604800
Configuration d’Apache:
sudo nano /etc/apache2/sites-available/$NomDeDomaine.mta-sts.conf
Et collez:
<VirtualHost *:443 >
ServerName mta-sts.$NomDeDomaine
DocumentRoot /var/www/html/mta-sts
ErrorDocument 403 "403 Forbidden - This site is used to specify the MTA-STS policy for this domain, please see '/.well-known/mta-sts.txt'. If you were not expecting to see this, please use <a href=\"https://your-domain\" rel=\"noopener\">https://your-domain</a> instead."
RewriteEngine On
RewriteOptions IgnoreInherit
RewriteRule !^/.well-known/mta-sts.txt - [L,R=403]
</VirtualHost>
sudo a2enmod rewrite ssl
sudo a2ensite $NomDeDomaine.mta-sts.conf
sudo systemctl reload apache2
sudo certbot --apache -d mta-sts.$NomDeDomaine
Rendez vous maintenant sur votre registrar pour ajouter des DNS:
Name: mta-sts
Type:A
Ip Adress: $IPduServeur
TTL: 1h
Name: _mta-sts
Type: TXT
Content: v=STSv1; id=$AnneeMoisJourHeureMinute (ex: 202110162209)
TTL: 1h
Name: _smtp._tls
Type: TXT
Content: v=TLSRPTv1; rua=mailto:mail@$NomDeDomaine
TTL: 1h
Rendez vous sur checktls.com pour verifier votre configuration: