DANE : une sécurisation efficace des échanges SMTP
Dans le processus de communication entre les serveurs de messagerie, le protocole SMTP ou Simple Mail Transfert Protocol, est utilisé. Afin de sécuriser ces flux de messages, l’utilisation de TLS ou Transport Layer Security est vivement recommandée. Mais le StartTLS présente certaines limites, d’où la nécessité d’avoir recours à DANE.
Des failles dans le système StartTLS
StartTLS ou TLS opportuniste est un protocole qui va faciliter la mise en place d’une connexion sécurisée entre tous les serveurs lors d’une communication. Il aide à établir une comptabilité optimale de toutes les communications entre serveurs de messagerie (Mail transfert Agent ou MTA). Toutefois, certaines limites ont été détectées sur StartTLS : il est possible d’intercepter ou même modifier la transmission des flux. Pour contourner ce problème, un protocole d’amélioration de sécurité des connexions a été mis en place, le DANE.
Un nouveau protocole pour mieux sécuriser les connexions
DANE (DNS-based Authentification of Named Entities) est un protocole qui sert à lier un serveur à un certificat en toute sécurité, pendant l’établissement d’une connexion sécurisée par TLS. Le protocole agit comme un filtre intermédiaire entre le serveur expéditeur et le serveur destinataire. En effet, il vérifie l’empreinte ou le hash du certificat X.509 utilisé par le serveur destinataire pour analyser l’authenticité de ce certificat. Si le certificat est authentique, le DANE autorise la connexion entre les deux serveurs. Dans le cas contraire, il bloque les communications.
Un protocole compatible avec toutes les connexions
Pour ce faire, DANE s’appuie sur DNSSEC pour assurer la sécurisation des entrées DNS. DANE nécessite donc l’utilisation de DNSSEC sur les DNS du domaine protégé. Une fois DNSSEC déployé, la mise en place de DANE peut être envisagée sur votre serveur de messagerie (ou serveur web), il vous suffit alors de diffuser l’empreinte du certificat de votre serveur sur votre zone DNS.
Comment utilise-t-on le protocole DANE ?
En bref, le protocole DANE va sécuriser les connexions entre serveurs et ne pourra être efficace qu’avec la présence de certains éléments. En effet, l’exploitation du protocole nécessite un serveur DNS compatible avec DNSSEC, un serveur SMTP (ou web) compatible avec DANE. Il faut également que le serveur dispose d’un certificat ou d’une empreinte d’un certificat sécurisé par DNSSEC et qui sera présent dans le DNS du nom d’hôte destinataire. Si ces conditions sont respectées, l’utilisation du protocole DANE sera fiable et sécurisera au maximum les connexions entre serveurs. Des services de protection de la messagerie comme ALTOSPAM proposent cela par défaut, ainsi DANE est automatiquement intégré dès lors que les DNS du client sont sécurisés par DNSSEC.