Sécurisation des sessions SMTP à l'aide de l'extension STARTTLS

Les sessions SMTP effectuées via un canal TCP/IP standard ne sont pas à l'abri des écoutes clandestines puisque toute transmission non codée peut facilement être interceptée. Pour protéger les communications SMTP, les serveurs peuvent faire appel à la sécurité de la couche transport (TLS), plus connue sous le nom de chiffrement SSL, pour assurer confidentialité et authentification.

Certains serveurs mettent en oeuvre SSL pour les communications SMTP en envoyant et recevant uniquement le trafic SMTP via le port SSL (port 465, par défaut). Toutefois, étant donné que cela nécessite que les serveurs émetteur et récepteur prennent en charge SMTP sur SSL, cette solution n'est pas toujours réalisable.

Pour fournir une sécurité SSL aux transferts SMTP sur TCP/IP, Domino® prend en charge le recours à un protocole SSL négocié. Dans un SSL négocié, les hôtes d'envoi et de réception utilisent chacun l'extension SMTP STARTTLS, telle que définie par le document RFC 2487, pour signaler qu'ils sont prêts à négocier une connexion SSL. Le serveur récepteur affiche le mot clé STARTTLS en réponse à la commande EHLO du serveur émetteur. Ce dernier envoie la commande STARTTLS pour demander la création d'une connexion sécurisée. A l'issue de la poignée de main TLS initiale, les deux parties configurent un canal SSL entre eux. Le serveur émetteur et le serveur récepteur doivent posséder des certificats SSL.

Prise en charge de STARTTLS pour les sessions SMTP en sortie

Un serveur Domino® configuré pour utiliser un SSL négocié pour le courrier sortant se connecte au port TCP/IP SMTP du serveur récepteur (port 25, par défaut). Si la réponse SMTP initiale du serveur récepteur indique qu'il prend en charge l'extension STARTTLS, Domino® émet la commande STARTTLS pour demander l'utilisation de SSL afin de chiffrer le reste de la session.

Si le serveur récepteur n'annonce pas une prise en charge de STARTTLS en réponse à la commande EHLO du serveur Domino®, le serveur Domino® émetteur établit une session TCP/IP SMTP non chiffrée.

Pour activer la prise en charge STARTTLS en sortie, définissez l'état du port TCP/IP SMTP en sortie sur : SSL négocié.

Prise en charge de STARTTLS pour les sessions SMTP en entrée

Il est possible de configurer Domino® de façon à ce qu'il prenne en charge la commande STARTTLS pour les transactions SMTP entrantes. Lorsqu'un serveur SMTP Domino® est configuré pour utiliser un SSL négocié pour les sessions entrantes, le serveur annonce une prise en charge de STARTTLS en réponse aux commandes EHLO que le port TCP/IP reçoit des hôtes qui se connectent. L'hôte qui se connecte peut ensuite émettre la commande STARTTLS pour demander une session chiffrée.

Lorsque Domino® est configuré pour requérir STARTTLS pour les sessions SMTP sur TCP/IP et qu'un hôte qui se connecte ne peut accéder à cette demande, aucun courrier n'est envoyé via cette connexion.

Pour activer la prise en charge de STARTTLS en sortie :

  • Activez la tâche d'écoute SMTP.
  • Activez le port TCP/IP SMTP en sortie.
  • Activez l'extension ESMTP STARTTLS. Suite à cette procédure, Domino® annonce dans la réponse de message d'accueil ESMTP EHLO que STARTTLS est l'une des extensions prises en charge.
  • (Facultatif) Activez l'authentification par nom et mot de passe pour le port SSL. Bien que les sessions SMTP qui font appel à un SSL négocié s'effectuent sur le port TCP/IP Domino®, Domino® utilise les options d'authentification définies pour le port SSL du serveur pour déterminer le mode de traitement des arguments nom et mot de passe.

Demande d'authentification par nom et mot de passe pour les sessions SMTP STARTTLS

L'activation de la prise en charge ESMTP pour le SSL négocié permet à un serveur d'accepter les demandes d'utilisation de SSL sur TCP/IP provenant de serveurs qui se connectent de façon anonyme. Toutefois, les connexions entrantes ne sont pas toutes anonymes. Un serveur SMTP qui se connecte peut être invité à envoyer à Domino® un nom et un mot de passe par le biais d'une commande ESMTP AUTH.

Pour prendre en charge les connexions provenant de clients SMTP qui envoient un nom et un mot de passe lors d'une session SSL négocié, sélectionnez Oui dans le champ "Nom et mot de passe" pour le port SSL SMTP en entrée. Il n'est pas nécessaire d'activer le port SSL. Si le port SSL ne prend pas en charge l'authentification par nom et mot de passe, le serveur SMTP Domino® rejette la commande AUTH provenant du serveur distant et renvoie une erreur indiquant que la commande n'est pas implémentée.

Même s'il reçoit la commande Domino® sur le port AUTH, Domino® se sert des paramètres d'authentification par nom et mot de passe SSL pour déterminer s'il doit accepter la demande AUTH, puisqu'il reçoit cette commande dans le cadre d'une session SSL. Le paramètre d'authentification "Nom et mot de passe" spécifié pour le port TCP/IP est ignoré.