Sécurisation des sessions SMTP à l'aide de l'extension STARTTLS

Les sessions SMTP effectuées via un canal TCP/IP standard ne sont pas à l'abri des écoutes clandestines puisque toute transmission non codée peut facilement être interceptée. Pour protéger les communications SMTP, les serveurs peuvent faire appel à la sécurité de la couche transport (TLS), plus connue sous le nom de chiffrement TLS, pour assurer confidentialité et authentification.

Certains serveurs mettent en œuvre TLS pour les communications SMTP en envoyant et recevant uniquement le trafic SMTP via le port TLS (port 465, par défaut). Toutefois, étant donné que cela nécessite que les serveurs émetteur et récepteur prennent en charge SMTP sur TLS, cette solution n'est pas toujours réalisable.

Pour fournir une sécurité TLS aux transferts SMTP sur TCP/IP, Domino® prend en charge le recours à un protocole TLS négocié. Dans un TLS négocié, les hôtes d'envoi et de réception utilisent chacun l'extension SMTP STARTTLS, telle que définie par le document RFC 2487, pour signaler qu'ils sont prêts à négocier une connexion TLS. Le serveur récepteur affiche le mot clé STARTTLS en réponse à la commande EHLO du serveur émetteur. Ce dernier envoie la commande STARTTLS pour demander la création d'une connexion sécurisée. A l'issue de la poignée de main TLS initiale, les deux parties configurent un canal TLS entre eux. Le serveur émetteur et le serveur récepteur doivent posséder des certificats TLS.

Prise en charge de STARTTLS pour les sessions SMTP en sortie

Un serveur Domino® configuré pour utiliser un TLS négocié pour le courrier sortant se connecte au port TCP/IP SMTP du serveur récepteur (port 25, par défaut). Si la réponse SMTP initiale du serveur récepteur indique qu'il prend en charge l'extension STARTTLS, Domino® émet la commande STARTTLS pour demander l'utilisation de TLS afin de chiffrer le reste de la session.

Si le serveur récepteur n'annonce pas une prise en charge de STARTTLS en réponse à la commande EHLO du serveur Domino®, le serveur Domino® émetteur établit une session TCP/IP SMTP non chiffrée.

Pour activer la prise en charge STARTTLS en sortie, définissez l'état du port TCP/IP SMTP en sortie sur : TLS négocié.

Prise en charge de STARTTLS pour les sessions SMTP en entrée

Il est possible de configurer Domino® de façon à ce qu'il prenne en charge la commande STARTTLS pour les transactions SMTP entrantes. Lorsqu'un serveur SMTP Domino® est configuré pour utiliser un TLS négocié pour les sessions entrantes, le serveur annonce une prise en charge de STARTTLS en réponse aux commandes EHLO que le port TCP/IP reçoit des hôtes qui se connectent. L'hôte qui se connecte peut ensuite émettre la commande STARTTLS pour demander une session chiffrée.

Lorsque Domino® est configuré pour requérir STARTTLS pour les sessions SMTP sur TCP/IP et qu'un hôte qui se connecte ne peut accéder à cette demande, aucun courrier n'est envoyé via cette connexion.

Pour activer la prise en charge de STARTTLS en sortie :

  • Activez la tâche d'écoute SMTP.
  • Activez le port TCP/IP SMTP en sortie.
  • Activez l'extension ESMTP STARTTLS. Suite à cette procédure, Domino® annonce dans la réponse de message d'accueil ESMTP EHLO que STARTTLS est l'une des extensions prises en charge.
  • (Facultatif) Activez l'authentification par nom et mot de passe pour le port TLS. Bien que les sessions SMTP qui font appel à un TLS négocié s'effectuent sur le port TCP/IP Domino®, Domino® utilise les options d'authentification définies pour le port TLS du serveur pour déterminer le mode de traitement des arguments nom et mot de passe.

Demande d'authentification par nom et mot de passe pour les sessions SMTP STARTTLS

L'activation de la prise en charge ESMTP pour le TLS négocié permet à un serveur d'accepter les demandes d'utilisation de TLS sur TCP/IP provenant de serveurs qui se connectent de façon anonyme. Toutefois, les connexions entrantes ne sont pas toutes anonymes. Un serveur SMTP qui se connecte peut être invité à envoyer à Domino® un nom et un mot de passe par le biais d'une commande ESMTP AUTH.

Pour prendre en charge les connexions provenant de clients SMTP qui envoient un nom et un mot de passe lors d'une session TLS négocié, sélectionnez Oui dans le champ "Nom et mot de passe" pour le port TLS SMTP en entrée. Vous n'avez pas besoin d'activer le port TLS. Si le port TLS ne prend pas en charge l'authentification par nom et mot de passe, le serveur SMTP Domino® rejette la commande AUTH provenant du serveur distant et renvoie une erreur indiquant que la commande n'est pas implémentée.

Même s'il reçoit la commande Domino® sur le port AUTH, Domino® se sert des paramètres d'authentification par nom et mot de passe TLS pour déterminer s'il doit accepter la demande AUTH, puisqu'il reçoit cette commande dans le cadre d'une session TLS. Le paramètre d'authentification "Nom et mot de passe" spécifié pour le port TCP/IP est ignoré.