« smtps » est également le nom d’un service enregistré par l’IANA, avec le numéro de port TCP 465. Ce service était destiné à être utilisé par les agents de transfert de courrier (MTA), comme point de contact où ceux-ci pouvaient échanger des courriers électroniques sous une forme cryptée plutôt qu’en clair. L’enregistrement a toutefois été rapidement révoqué, les efforts de normalisation ayant abouti à la normalisation d’une autre approche. L’enregistrement n’a jamais été rétabli.

Lorsque l’on décrit l’enregistrement du service IANA, la capitalisation officielle est « smtps ». Lors de la description du protocole réseau, la capitalisation « SMTPS » est souvent utilisée (de manière similaire à la capitalisation de HTTPS).

Le port 587 est le port bien connu pour soumettre du courrier à un serveur, fréquemment (mais pas obligatoirement) crypté à l’aide de STARTTLS. Certains fournisseurs de services de messagerie permettent à leurs clients d’utiliser le protocole SMTPS pour accéder à une version chiffrée par TLS du service de « soumission » sur le port 465. Il s’agit d’un service différent de celui auquel l’enregistrement original de l’IANA a dédié le port (car il était auparavant dédié au contenu crypté livré tel quel / en texte clair, alors que le SMTPS de nos jours sur le port 465 utilise toujours du contenu en texte clair, seulement enveloppé dans un transport crypté par TLS – fondamentalement le mécanisme inverse).

Le RFC 8314 vise à rectifier ce problème et à intégrer l’utilisation du port 465 comme port de « soumission » crypté par TLS dans les enregistrements de ports bien connus publiés par l’IANA. Le nom de service proposé est « submissions ».

Bien qu’il n’y ait plus de point de terminaison officiel enregistré pour le service smtps, il est toujours possible d’échanger du courrier électronique sur un transport crypté avec des garanties similaires à celles offertes par smtps, en particulier avec la garantie que soit l’échange réussit de manière sécurisée, soit qu’il ne se produit pas du tout, en utilisant DANE en combinaison avec DNSSEC. De nombreux serveurs de messagerie sont configurés soit pour ne pas délivrer du tout le courrier électronique de manière sécurisée, soit pour essayer d’abord la livraison sécurisée avec le mécanisme STARTTLS, et si cela échoue, par exemple parce que le service distant ne le propose pas, ou parce qu’une attaque MITM réussie a dépouillé l’annonce de la fonctionnalité, se rabattre simplement sur la livraison par des moyens non sécurisés.

By: adminPosted on

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *