Configurer les services de messagerie du gouvernement en toute sécurité – Bien choisir son serveur d impression
[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]
Les administrateurs de messagerie du gouvernement doivent suivre ces instructions pour mettre en œuvre le cryptage et l'anti-usurpation d'identité. Cela vous aidera à vous assurer que votre service de messagerie est configuré de manière sécurisée et qu'il suit les instructions sur la sécurisation des e-mails du gouvernement.
Pour suivre ces conseils, vous aurez besoin de :
-
pouvoir effectuer des modifications administratives dans l'ensemble du service de messagerie
-
un enregistrement de système de nom de domaine public (DNS) que vous pouvez modifier pour chaque domaine de messagerie
-
un service d'hébergement Web pour publier votre politique Mail Transfer Agent Strict Transport Security (MTA-STS)
Sommaire
Préparez-vous à sécuriser votre service de messagerie
Un service de messagerie décrit tout système envoyant des e-mails au nom d'une organisation. Ceci comprend:
-
le service fournissant aux utilisateurs un accès aux boîtes aux lettres
-
relais et passerelles internes
-
services de filtrage des e-mails
-
services tiers qui envoient des e-mails en votre nom, comme les services de messagerie transactionnelle
Configurez vos principaux services de messagerie
Chiffrer les e-mails en transit
TLS est un protocole de cryptage utilisé pour protéger les données en transit entre les ordinateurs. Pour crypter les services de messagerie, utilisez TLS version 1.2 ou ultérieure et les profils cryptographiques préférés pour le transport sécurisé des e-mails entre les services gouvernementaux britanniques.
1. Configurer TLS
Créez des règles pour exiger TLS pour l'envoi à *.gov.uk. Un petit nombre de domaines .gov.uk ne prennent pas encore en charge TLS. Créez une liste d'exceptions pour ces domaines si nécessaire.
Si vous exploitez un domaine .gov.uk qui ne prend pas en charge TLS, vous devez demander aux organisations gouvernementales avec lesquelles vous travaillez étroitement de vous ajouter à leur liste d'exceptions.
Vous pouvez choisir d'exiger des certificats valides pour les domaines avec lesquels vous échangez des e-mails, bien que tous les domaines ne l'aient pas encore mis en œuvre.
Évitez de créer des règles pour exiger TLS sur les e-mails entrants, sauf si vous avez un cas d'utilisation spécifique, car cela peut entraîner le rejet des messages des systèmes hérités. Demandez à l'organisation d'envoi de définir des règles si vous en avez besoin.
Suivez les directives du NCSC sur TLS pour vous assurer que vous utilisez une suite de chiffrement TLS solide et une autorité de certification (CA) appropriée. Vos certificats doivent utiliser un nom commun (CN) ou un autre nom de sujet (SAN) qui correspond aux noms d'hôte du relais.
Les services de messagerie basés sur le cloud incluent des certificats TLS gérés. Si vous exploitez un service de messagerie électronique accessible sur Internet, vous devez acheter et gérer les certificats TLS appropriés sur la place de marché numérique.
Vous devez activer le TLS opportuniste par défaut pour les domaines non inclus dans les règles TLS obligatoires. Vous pouvez utiliser des certificats auto-signés pour le TLS opportuniste.
2. Configurer TLS-RPT
TLS-RPT vous envoie un rapport si quelqu'un essaie de se connecter en utilisant TLS mais échoue. Vous pouvez envoyer les rapports au service de vérification du courrier du NCSC à l'adresse tls-rua@mailcheck.service.ncsc.gov.uk. Cela vérifiera la syntaxe de votre enregistrement TLS-RPT et vous montrera si des échecs TLS ont été signalés pour votre domaine.
Lisez des conseils plus détaillés avec un exemple de mise en œuvre de TLS-RPT.
3. Configurer MTA-STS
MTA-STS indique aux services d'envoi que votre domaine prend en charge l'utilisation de TLS v1.2 ou version ultérieure.
Lisez des conseils plus détaillés avec un exemple de mise en œuvre MTA-STS.
Authentifier l'e-mail
Pour empêcher l'usurpation d'e-mail, vous devez mettre en place des politiques pour vérifier les e-mails gouvernementaux entrants et sortants à l'aide de l'authentification, du rapport et de la conformité des messages basés sur le domaine (DMARC).
Mettre en œuvre DMARC en :
Mettre en œuvre le Sender Policy Framework (SPF) en :
- publier des enregistrements DNS publics pour SPF, y compris tous les systèmes qui envoient des e-mails, à l'aide d'un qualificatif d'échec logiciel minimum (~ tous)
Implémentez DomainKeys Identified Mail (DKIM) en :
-
publication du sélecteur DKIM et des enregistrements de politique
-
signature des e-mails sortants suivant la norme DKIM
-
désactiver les pieds de page des e-mails sortants si vous disposez d'un service de filtrage des e-mails sortants
Avoir des enregistrements DNS directs et inverses (A et PTR) correspondants pour le nom d'hôte expéditeur.
Configurer d'autres services d'envoi d'e-mails
D'autres services d'envoi d'e-mails peuvent se trouver à l'intérieur ou à l'extérieur de votre réseau et utiliser le même nom de domaine que vos utilisateurs, ou un sous-domaine. Ces services d'envoi d'e-mails incluent :
-
services de filtrage des e-mails
-
applications ou scripts développés par ou pour votre organisation
-
applications basées sur le cloud qui envoient des e-mails comme Salesforce ou MailChimp
-
applications métier qui envoient des e-mails comme un système RH ou financier
Chiffrer les e-mails en transit
Utilisez TLS version 1.2 ou ultérieure et présentez des certificats valides pour permettre le transport sécurisé des e-mails entre les services gouvernementaux britanniques. Il s'agit d'une exigence lors de l'achat d'un nouveau service de messagerie électronique pour le gouvernement central afin de se conformer à la norme minimale de cybersécurité.
Authentifier l'e-mail
Pour authentifier les e-mails d'autres services d'envoi, procédez comme suit.
-
Incluez des services d'envoi d'e-mails supplémentaires dans vos enregistrements DMARC et SPF.
-
Utilisez la signature DKIM. Les applications basées sur le cloud ou les services de filtrage des e-mails fourniront leur propre signature DKIM. Vous devrez créer un enregistrement DNS DKIM supplémentaire. Pour d'autres services, vous pourrez peut-être utiliser la même signature que votre autre e-mail si vous les envoyez depuis le même domaine.
-
Demandez à votre fournisseur de services des informations sur l'application des signatures DKIM et l'inclusion des services d'envoi d'e-mails dans votre enregistrement SPF.
-
Envisagez d'utiliser un sous-domaine distinct pour les services de messagerie tiers afin de simplifier la mise en œuvre de SPF et DKIM.
Configurez vos enregistrements DNS
DMARC, DKIM, SPF, TLS-RPT et MTA-STS nécessitent que vous apportiez des modifications aux enregistrements DNS de vos domaines. Contactez votre bureau d'enregistrement ou votre fournisseur DNS pour apporter des modifications à .gov.uk ou à d'autres domaines.
Utilisez la recherche WHOIS dans le registre .gov.uk pour trouver votre registraire ou votre fournisseur DNS.
Lorsque vous demandez des modifications, vous devez inclure des informations spécifiques pour chaque enregistrement. Si vous en avez la possibilité, définissez une durée de vie courte (TTL) dans les enregistrements DNS afin de pouvoir voir rapidement les changements et résoudre les problèmes.
Créer et gérer des enregistrements DMARC
Lisez le guide DMARC pour plus de détails sur ce que c'est et comment cela fonctionne.
Lisez le NCSC sur la mise en œuvre de DMARC pour plus d'informations.
Vous devez également vous assurer que les services numériques ont un enregistrement DMARC.
Exemple d'enregistrement DMARC :
Type d'enregistrement : SMS
Nom d'hôte ou d'enregistrement : _dmarc
Valeur d'enregistrement : v=DMARC1;p=none;fo=1;rua=mailto:dmarcrua@dmarc.service.gov.uk,mailto:dmarc@
Créez l'adresse e-mail et mettez votre domaine à la place de <votredomaine.gov.uk
>.
Créer et gérer DKIM
Lisez le guide DKIM pour plus de détails sur ce que c'est et comment cela fonctionne.
Lisez les conseils du NCSC sur la mise en œuvre de DKIM pour plus d'informations.
Il peut être difficile d'implémenter DKIM sur les services de messagerie existants. Dans ce cas, vous devez passer à un service cloud compatible et à un service de filtrage des e-mails pour appliquer DKIM au lieu d'ajouter des coûts et de la complexité à votre environnement existant.
Exemple d'enregistrement DKIM :
Type d'enregistrement : SMS
Nom d'hôte ou d'enregistrement : selector._domainkey
Mettez votre sélecteur, ou le sélecteur fournisseur par votre fournisseur de services, à la place du sélecteur dans le nom d'hôte ou d'enregistrement.
Valeur d'enregistrement : v=DKIM1; k=rsa; p=
Collez votre clé DKIM de votre générateur de clé à la place de
Certains fournisseurs utiliseront un enregistrement CNAME au lieu d'un enregistrement TXT. Suivez les instructions de votre fournisseur.
Créer et gérer un enregistrement TLS-RPT
Lisez le guide TLS-RPT pour plus de détails sur ce que c'est et comment cela fonctionne.
Exemple d'enregistrement TLS-RPT :
Type d'enregistrement : SMS
Nom d'hôte ou d'enregistrement : _smtp._tls
Valeur d'enregistrement : v=TLSRPTv1;rua=[mailto:tls-rua@mailcheck.service.ncsc.gov.uk](mailto:tls-rua@mailcheck.service.ncsc.gov.uk)
Créer et itérer un enregistrement MTA-STS
Lisez le guide MTA-STS pour plus de détails sur ce que c'est et comment cela fonctionne.
Créez un fichier de stratégie et hébergez-le sur :
https://mta-sts.yourdomain.gov.uk/well-known/mta-sts.txt
Vous pouvez utiliser votre hébergeur existant ou un nouveau fournisseur. Vous devez servir le fichier de stratégie sur HTTPS avec un certificat valide.
Le fichier doit initialement contenir :
version: STSv1
mode: essai
mx :
âge_max : <86401>
– valeur suggérée d'un jour
Une fois que vous êtes sûr d'avoir correctement configuré vos serveurs de messagerie et votre politique, passez à une politique d'application pour protéger vos e-mails entrants :
version: STSv1
mode: imposer
mx :
âge_max : <315576000>
– valeur maximale suggérée d'un an
Vous pouvez utiliser le mode « test » au départ, mais passer rapidement à « appliquer » ou la politique n'aura aucun effet.
Le max_age est la durée maximale pendant laquelle vous pouvez utiliser une stratégie mise en cache. Vous devez vérifier cela chaque fois que l'ID de stratégie dans l'enregistrement DNS change.
Il est important que cette valeur soit suffisante pour atténuer les attaques par déni de service à long terme ou les problèmes de disponibilité d'hébergement.
Répertoriez chaque hôte de votre enregistrement MX sur une nouvelle ligne commençant par mx :. Vous pouvez utiliser des caractères génériques le cas échéant.
Exemple d'enregistrement MTA-STS :
Type d'enregistrement : SMS
Nom d'hôte ou d'enregistrement : _mta-sts
Valeur d'enregistrement : v=STSv1; id=valeur-id
Remplacez « id-value » par une chaîne pour la version de votre stratégie. Nous vous recommandons d'utiliser la date et l'heure au format AAAAMMJJHHMM comme valeur d'identification. Mettez à jour la valeur de l'identifiant si vous mettez à jour la politique afin que l'envoi de services de messagerie détecte le changement.
Vérifiez que vos services de messagerie sont sécurisés
Vérifiez que vos certificats de messagerie sont valides et renouvelés
Vous devez vous assurer que vos certificats de messagerie sont valides et renouvelés, sinon votre organisation pourrait ne pas être en mesure de recevoir des e-mails en toute sécurité.
Les fournisseurs de messagerie Software as a Service doivent gérer vos certificats de messagerie en votre nom. Si vous rencontrez des problèmes avec vos certificats, vous devez :
-
Vérifiez si vous avez toujours besoin du domaine.
-
Supprimez le domaine si vous ne l'utilisez plus.
-
Si vous utilisez toujours le domaine, demandez à votre autorité de certification de remplacer vos certificats de messagerie.
-
Enregistrez votre domaine avec le service Mail Check de NCSC et assurez-vous de configurer des notifications pour recevoir des alertes de sécurité.
Vous trouverez plus d'informations sur les certificats par courrier électronique sur le site Web du NCSC.
Vérifiez que votre e-mail s'authentifie
Votre e-mail peut ne pas fonctionner correctement, être traité comme du spam ou être susceptible d'être détourné si vous avez :
-
un enregistrement SPF manquant
-
enregistrement SPF mal configuré ou mal configuré
-
un enregistrement DMARC (Domain-based Message Authentication, Reporting and Conformance) manquant
-
pas configuré une politique de quarantaine ou de rejet DMARC
Pour vérifier que votre e-mail s'authentifie, vous devez :
-
Mettez en œuvre les directives sur la sécurisation des e-mails du gouvernement, y compris les domaines qui n'envoient pas d'e-mails.
-
Enregistrez votre domaine avec le service Mail Check de NCSC et assurez-vous de configurer des notifications pour recevoir des alertes de sécurité.
Vérifiez que votre serveur de messagerie est actif et réactif
Vous devez vous assurer que votre serveur de messagerie est actif et réactif donc :
Pour vous assurer que votre serveur de messagerie est actif et réactif, vous devez :
-
Vérifiez que les enregistrements de votre serveur de messagerie (MX) sont corrects.
-
Corrigez les fautes de frappe et supprimez les enregistrements MX inactifs.
-
Enregistrez votre domaine avec le service Mail Check de NCSC et assurez-vous de configurer des notifications pour recevoir des alertes de sécurité.
Vérifiez que vos services de messagerie cryptent les e-mails
Assurez-vous que vos services de messagerie utilisent TLS 1.2 ou supérieur pour chiffrer les e-mails en transit.
Pour vous assurer que votre e-mail est crypté en transit, vous devez :
Remplacer les anciens services de messagerie basés sur PSN
Vous devez suivre les conseils pour passer à des solutions de réseau modernes qui sont plus flexibles, actuelles, moins chères et plus rapides à déployer que l'utilisation de services sur mesure sur des réseaux dédiés.
Les noms de domaine de la famille Gsi (gsi.gov.uk, gse.gov.uk, gcsx.gov.uk ou gsx.gov.uk) ne sont plus émis. Les domaines existants doivent maintenant être remplacés par un domaine gouvernemental comme gov.uk, gov.scot, llyw.cymru ou gov.wales.
Si vous avez besoin d'informations spécifiques sur un fournisseur de messagerie du réseau de services publics (PSN) ou une application, envoyez un e-mail à psnservicedesk@digital.cabinet-office.gov.uk ou contactez le fournisseur pour obtenir des conseils.
Communiquer les changements à votre organisation
Vous devez communiquer les modifications apportées à la sécurité des e-mails à toute personne de votre organisation qui exécute :
-
services de filtrage des e-mails
-
applications ou scripts développés par ou pour votre organisation
-
applications basées sur le cloud qui envoient des e-mails comme Salesforce ou MailChimp
-
applications métier qui envoient des e-mails comme un système RH ou financier
Vous pouvez également communiquer ces changements plus largement au sein de votre organisation. Il peut être important d'expliquer qu'il s'agit d'une norme convenue dans l'ensemble du gouvernement central.
Commentaires
Laisser un commentaire