Aller au contenu principal

Nouveau

Testez la délivrabilité de vos e-mails

Envoyez un e-mail de test et obtenez un diagnostic complet de votre authentification SPF, DKIM et DMARC en quelques secondes.

  • Test réel par envoi
  • Diagnostic instantané
  • Sans inscription
Lancer le test

MTA-STS Generator gratuit

Créez vos enregistrements DNS et fichiers de politique MTA-STS en quelques minutes

MTA-STS Generator gratuit pour créer des enregistrements DNS TXT et fichiers de politique conformes à la RFC 8461. Configurez le mode d'application TLS, les patterns de serveurs MX et la durée de cache—avec guide de déploiement complet.

Le domaine pour lequel générer la configuration MTA-STS.

Commencez par 'testing' pour surveiller avant d'appliquer.

Entrez vos noms de serveurs mail, un par ligne. Utilisez *.domaine.com pour les wildcards.

Durée pendant laquelle les serveurs récepteurs doivent mettre en cache votre policy.

Configuration simple

Entrez votre domaine, sélectionnez un mode et ajoutez vos serveurs MX. Nous gérons le formatage et la syntaxe pour la conformité RFC 8461.

Modes flexibles

Commencez par testing pour surveiller sans appliquer, puis passez à enforce en production. Désactivez avec none si nécessaire.

Support des wildcards MX

Utilisez des noms d'hôtes exacts ou des wildcards (*.mail.exemple.com) pour correspondre à plusieurs serveurs MX avec un seul pattern.

Sortie prête à copier

Copie en un clic pour l'enregistrement DNS et le fichier de politique. Prêt à coller chez votre fournisseur DNS et serveur web.

Guide étape par étape

Instructions de déploiement claires incluses. Sachez exactement où ajouter l'enregistrement DNS et héberger le fichier de politique.

Qu'est-ce que MTA-STS ?

MTA-STS (Mail Transfer Agent Strict Transport Security) est un standard de sécurité email défini dans la RFC 8461. Il permet aux propriétaires de domaines de déclarer que leurs serveurs de messagerie supportent le chiffrement TLS et que les serveurs émetteurs doivent refuser de livrer les emails si une connexion sécurisée ne peut pas être établie.

Pourquoi MTA-STS est important :

  • Empêche les attaques de downgrade - Les attaquants ne peuvent pas forcer l'envoi d'emails non chiffrés
  • Bloque les attaques man-in-the-middle - Les connexions chiffrées protègent le contenu des emails en transit
  • Renforce la confiance - Montre que votre domaine suit les bonnes pratiques de sécurité email
  • Requis par certains fournisseurs - Les grands fournisseurs comme Google recommandent MTA-STS

Composants MTA-STS

MTA-STS nécessite deux composants :

1. Enregistrement DNS TXT

Un enregistrement TXT à _mta-sts.votredomaine.com qui signale le support MTA-STS :

_mta-sts.exemple.com.  IN  TXT  "v=STSv1; id=20240115120000"
  • v=STSv1 - Version du protocole (toujours STSv1)
  • id - Identifiant unique de la politique (changez-le quand vous mettez à jour la politique)

2. Fichier de politique

Un fichier texte hébergé à https://mta-sts.votredomaine.com/.well-known/mta-sts.txt :

version: STSv1
mode: enforce
mx: mail.exemple.com
mx: *.backup-mail.exemple.com
max_age: 604800

Checklist de déploiement

Étape 1 : Configurez l'hôte de la politique

  1. Créez un sous-domaine : mta-sts.votredomaine.com
  2. Obtenez un certificat HTTPS (Let's Encrypt fonctionne)
  3. Configurez votre serveur web pour servir le fichier de politique

Étape 2 : Créez et hébergez le fichier de politique

  1. Utilisez le générateur ci-dessus pour créer votre politique
  2. Sauvegardez-le comme mta-sts.txt
  3. Hébergez-le à /.well-known/mta-sts.txt

Étape 3 : Ajoutez l'enregistrement DNS TXT

  1. Générez l'enregistrement DNS avec l'outil ci-dessus
  2. Ajoutez-le à votre DNS comme enregistrement TXT à _mta-sts

Étape 4 : Testez et surveillez

  1. Utilisez notre Vérificateur MTA-STS pour valider
  2. Commencez en mode testing pour identifier les problèmes
  3. Passez en mode enforce une fois validé

FAQ - Questions fréquentes

Q : Qu'est-ce que MTA-STS et pourquoi en ai-je besoin ?

R : MTA-STS (Mail Transfer Agent Strict Transport Security) est un standard défini dans la RFC 8461 qui permet aux propriétaires de domaines de déclarer que leurs serveurs de messagerie supportent le chiffrement TLS. Il empêche les attaques man-in-the-middle et les attaques de downgrade sur la livraison des emails.

Q : Quelle est la différence entre les modes testing et enforce ?

R : En mode "testing", les serveurs émetteurs signalent les échecs via TLS-RPT mais livrent quand même les emails si TLS échoue. En mode "enforce", les serveurs doivent utiliser TLS ou rejeter la livraison. Commencez par testing pour identifier les problèmes.

Q : Comment déployer le fichier de politique MTA-STS ?

R : Hébergez le fichier de politique à https://mta-sts.votredomaine.com/.well-known/mta-sts.txt. Vous avez besoin d'un certificat HTTPS valide. Le fichier doit être servi avec Content-Type: text/plain sans redirections.

Q : Quelle valeur max_age dois-je utiliser ?

R : La directive max_age spécifie combien de temps (en secondes) les émetteurs doivent mettre en cache votre politique. Valeurs courantes : 86400 (1 jour) pour testing, 604800 (1 semaine) pour production.

Q : Puis-je utiliser des wildcards dans les patterns MX ?

R : Oui, MTA-STS supporte les patterns wildcard avec un astérisque (*) comme label le plus à gauche. Par exemple, *.mail.exemple.com correspond à n'importe quel sous-domaine.

Q : Ai-je aussi besoin d'un enregistrement TLS-RPT ?

R : Bien que non obligatoire, un enregistrement TLS-RPT est fortement recommandé avec MTA-STS pour recevoir les rapports d'échecs de connexion TLS.

Q : Comment configurer MTA-STS pour Microsoft 365 / Office 365 ?

R : Utilisez notre générateur pour créer la configuration MTA-STS pour Microsoft 365. Entrez votre domaine, sélectionnez le mode (commencez par testing), et ajoutez le pattern MX *.mail.protection.outlook.com pour couvrir les serveurs Exchange Online. Copiez l'enregistrement DNS TXT et hébergez le fichier de politique sur votre serveur web.

Q : Comment configurer MTA-STS pour Google Workspace ?

R : Notre MTA-STS Generator crée la configuration pour Google Workspace. Entrez votre domaine et ajoutez les patterns MX de Google : aspmx.l.google.com, *.aspmx.l.google.com, ou *.google.com selon vos enregistrements MX. Le générateur produit l'enregistrement DNS TXT et le fichier de politique prêts à déployer.

Outils complémentaires

OutilDescription
Vérificateur MTA-STSValidez votre configuration MTA-STS
Validateur syntaxe MTA-STSValidez la syntaxe MTA-STS hors ligne
Générateur DMARCCréez des enregistrements DMARC

Ressources utiles