Office 365 renforce la sécurité des e-mails contre MITM et les attaques de rétrogradation

Office 365 boosts email security against MITM, downgrade attacks

Microsoft a ajouté la prise en charge de SMTP MTA Strict Transport Security (MTA-STS) à Exchange Online pour garantir l’intégrité et la sécurité des communications par e-mail des clients Office 365.

Redmond a annoncé pour la première fois l’introduction de MTA-STS en septembre 2020, après avoir révélé qu’il travaillait également sur l’ajout d’une prise en charge entrante et sortante pour DNSSEC (extensions de sécurité du système de noms de domaine) et DANOIS pour SMTP (authentification basée sur DNS des entités nommées).

« Nous avons validé notre implémentation et sommes maintenant heureux d’annoncer la prise en charge de MTA-STS pour tous les messages sortants d’Exchange Online », a déclaré aujourd’hui l’équipe Exchange Online Transport.

Avec MTA-STS Désormais disponible dans Office 365, les e-mails envoyés par les utilisateurs via Exchange Online ne seront livrés qu’à l’aide de connexions avec authentification et cryptage, protégeant les messages contre les tentatives d’interception et d’attaque.

Cette nouvelle norme renforce la sécurité de la messagerie Exchange Online et résout plusieurs problèmes de sécurité SMTP, notamment les certificats TLS expirés, le manque de prise en charge des protocoles sécurisés et les certificats non émis par des tiers de confiance ou les noms de domaine de serveur correspondants.

Avant MTA-STS, les e-mails envoyés via des connexions TLS mal sécurisées étaient exposés à diverses attaques, notamment rétrograder et l’homme au milieu attaques.

« Les attaques de rétrogradation sont possibles là où la réponse STARTTLS peut être supprimée, rendant ainsi le message en texte clair. Des attaques de type Man-in-the-middle (MITM) sont également possibles, grâce auxquelles le message peut être redirigé vers le serveur d’un attaquant », l’équipe Exchange mentionné.

« MTA-STS (RFC8461) aide à contrecarrer de telles attaques en fournissant un mécanisme pour définir des politiques de domaine qui spécifient si le domaine récepteur prend en charge TLS et ce qu’il faut faire lorsque TLS ne peut pas être négocié, par exemple arrêter la transmission. »

Adoption de MTA-STS et prise en charge de DANE pour SMTP

Microsoft fournit des conseils sur la façon d’adopter MTA-STS, y compris où héberger le fichier de stratégie sur l’infrastructure Web de votre domaine.

Redmond travaille toujours sur le déploiement de DANE pour SMTP (avec prise en charge de DNSSEC), qui offre une meilleure protection des connexions SMTP que MTA-STS.

« Nous avons travaillé sur la prise en charge de MTA-STS et de DANE pour SMTP. À tout le moins, nous encourageons les clients à sécuriser leurs domaines avec MTA-STS », a ajouté Microsoft.

« Vous pouvez utiliser les deux normes sur le même domaine en même temps, de sorte que les clients sont libres d’utiliser les deux lorsqu’Exchange Online offre une protection entrante utilisant DANE pour SMTP d’ici la fin de 2022. En prenant en charge les deux normes, vous pouvez tenir compte des expéditeurs qui peuvent ne prend en charge qu’une seule méthode. »

Microsoft a sécurisé plusieurs domaines qu’il utilise pour le transport des e-mails en tant que propriétaire de domaine lui-même, y compris des domaines principaux tels que outlook.com, hotmail.com et live.com.

Cela garantit que toutes les connexions des expéditeurs qui prennent en charge MTA-STS sont mieux protégées contre les attaques de l’homme du milieu.