SMTP : le protocole qui fait circuler les e-mails
Le Simple Mail Transfer Protocol (SMTP) est le protocole fondamental pour l'envoi et le transfert d'e-mails sur Internet. Défini initialement dans la RFC 821 en 1982, il a été mis à jour à plusieurs reprises jusqu'à la RFC 5321 actuelle. Malgré son âge, SMTP reste le protocole universel pour le courrier électronique, pris en charge par tous les serveurs de messagerie dans le monde. Comprendre son fonctionnement est essentiel pour diagnostiquer les problèmes de livraison et garantir la sécurité des communications.
Une session SMTP est une conversation textuelle entre un client et un serveur. Le client se connecte au port 25 (ou 587 pour la soumission), se présente avec EHLO, le serveur répond avec ses capacités, le client spécifie l'expéditeur (MAIL FROM) et le destinataire (RCPT TO), envoie le message (DATA) et ferme la connexion (QUIT). Chaque réponse du serveur inclut un code numérique à trois chiffres : 2xx indique un succès, 4xx une erreur temporaire, 5xx une erreur permanente.
Ce que teste le Diagnostic SMTP
Notre Diagnostic SMTP exécute une batterie complète de tests sur le serveur de messagerie : il vérifie l'accessibilité TCP, lit la bannière SMTP pour identifier le logiciel, teste EHLO pour énumérer les capacités prises en charge, vérifie la prise en charge de STARTTLS et la version TLS utilisée, effectue un test d'open relay, et mesure les temps de réponse pour chaque phase de la connexion.
STARTTLS et la sécurité des connexions SMTP
STARTTLS est une extension SMTP qui permet de mettre à niveau une connexion en clair vers une connexion chiffrée TLS. Lorsqu'un serveur prend en charge STARTTLS, le client peut demander la mise à niveau avant d'envoyer des données sensibles. Cependant, STARTTLS est opportuniste : si la commande échoue, de nombreux clients continuent en clair. Cette vulnérabilité est connue sous le nom d'attaque de rétrogradation et peut être atténuée avec MTA-STS Lookup qui impose des connexions TLS obligatoires.
Pour vérifier la qualité de la configuration TLS de votre serveur, notre Test de chiffrement TLS analyse les suites de chiffrement prises en charge et identifie les suites faibles. Un serveur SMTP moderne devrait prendre en charge TLS 1.2 et 1.3, avec des suites garantissant la confidentialité persistante (ECDHE). Les protocoles TLS 1.0 et 1.1 devraient être désactivés également sur les ports SMTP, pas seulement sur HTTPS.
Open relay : un risque à ne pas sous-estimer
Un test fondamental est la vérification de l'open relay. Un serveur SMTP configuré en open relay accepte les e-mails de n'importe quel expéditeur vers n'importe quel destinataire sans authentification. Les spammeurs scannent Internet à la recherche d'open relays pour envoyer des millions d'e-mails de spam en passant par les serveurs d'autrui. Les conséquences sont immédiates : l'IP du serveur se retrouve en liste noire, les e-mails légitimes sont rejetés, et le propriétaire peut être tenu légalement responsable du spam envoyé.
Vérifiez régulièrement que votre serveur n'est pas un open relay avec notre Test d'Open Relay. Après chaque modification de la configuration SMTP, relancez le test. Les causes accidentelles d'open relay incluent : des règles de relais trop permissives, une confiance réseau configurée sur des plages IP trop larges, et des mises à jour logicielles qui réinitialisent la configuration. La prévention est bien plus simple que la suppression des listes noires après un incident.
Si le test détecte un open relay, corrigez immédiatement la configuration. Sur Postfix, vérifiez smtpd_relay_restrictions. Sur Exchange, contrôlez les Receive Connectors. Après la correction, relancez le test de vérification et surveillez les listes noires pendant les 24 à 48 heures suivantes pour vous assurer que l'IP n'a pas été signalée entre-temps.