Nouveautés
Un article paru récemment dans le
blog Google sur la sécurité indique que le protocole
TLS (Transport Layer Security) est utilisé dans plus de 96 % du trafic réalisé dans les navigateurs Chrome sous Chrome OS. Il met également en avant un objectif primordial, à savoir activer le protocole TLS par défaut dans nos produits et services Google, et veiller à ce qu'il soit directement opérationnel.
Gmail gère déjà le protocole TLS. Par conséquent, il est appliqué à toute connexion de messagerie SMTP (Simple Mail Transfer Protocol) pouvant être sécurisée par son biais. Toutefois, afin d'encourager davantage d'organisations à renforcer la sécurité de leur messagerie et de poursuivre notre stratégie visant à activer le protocole TLS par défaut, nous avons apporté les modifications suivantes :
- Les connexions sécurisés par le protocole TLS sont désormais activées par défaut pour la messagerie.
- Les administrateurs peuvent maintenant tester la configuration TLS de leurs routages sortants SMTP dans la console d'administration avant tout déploiement. Ils n'ont pas besoin d'attendre de recevoir d'éventuelles notifications de non-distribution de messages.
Bien qu'à la disposition des administrateurs depuis toujours, le chiffrement TLS était jusqu'à présent désactivé par défaut pour les routages d'e-mails. Notez que ces modifications n'ont pas d'incidence sur les routages existants.
Personnes concernées
Administrateurs
Pourquoi ces modifications ?
Dans un souci de protection des utilisateurs finaux, nous recommandons toujours aux administrateurs d'activer les fonctionnalités de sécurité existantes des e-mails , dont les fonctions
SPF,
DKIM et
DMARC. Nous leur conseillons également d'activer le protocole
MTA-STS (MTA Strict Transport Security), qui permet de renforcer la sécurité de Gmail en exigeant des vérifications d'authentification et le chiffrement des messages envoyés à leurs domaines. L'activation par défaut du protocole TLS sur les nouveaux routages d'e-mails SMTP permet de renforcer la sécurité de nos clients. D'autre part, les administrateurs ont la possibilité de tester les connexions avant d'appliquer le protocole aux routes existantes, et peuvent donc déployer plus facilement les règles de sécurité issues des bonnes pratiques.
Cette modification n'a aucune incidence sur les routages d'e-mails déjà créés.
Informations supplémentaires
Activation par défaut du protocole TLS sur les nouveaux routages d'e-mailsL'activation par défaut de ce protocole pour les nouvelles routes entraîne également celle de toutes les exigences de validation des certificats. Vous avez ainsi la garantie qu'un certificat signé par une autorité de certification de confiance est émis pour l'hôte destinataire. Vous trouverez ci-dessous d'autres informations sur les modifications que nous apportons aux exigences requises pour les autorités de certification approuvées.
Les administrateurs pourront continuer à personnaliser les paramètres de sécurité TLS pour les routages d'e-mails qu'ils créent. Par exemple, si le courrier est transféré vers des serveurs de messagerie tiers ou sur site par le biais de certificats CA internes, les administrateurs auront peut-être besoin de désactiver la validation de ces certificats. Cette désactivation, ou celle du protocole TLS dans son intégralité, n'est pas recommandée. Nous encourageons les administrateurs à tester leur configuration TLS SMTP dans la console d'administration afin de valider la connexion TLS aux serveurs de messagerie externes avant de désactiver des validations recommandées. Vous trouverez plus d'informations sur la manière de tester les connexions TLS dans la console d'administration.
Défiance à l'égard de certaines autorités de certification dans GmailPar le passé, le blog Google sur la sécurité a signalé des cas de défiance de Chrome
à l'égard de certificats CA racine utilisés pour intercepter le trafic sur l'Internet public et
vis-à-vis d'autorités de certification spécifiques.
Si ces scénarios devaient se reproduire dans l'avenir, Gmail cessera également de faire confiance à ces certificats. Dans ce cas, les messages envoyés via les routes configurées avec le protocole TLS et un certificat CA pourraient ne pas être distribués et être retournés. La liste des certificats racines approuvés par Gmail est disponible dans le
dépôt Google Trust Services. Néanmoins, nous encourageons les administrateurs à utiliser la fonctionnalité Tester la connexion TLS dans la console d'administration pour savoir si les certificats sont toujours approuvés ou non.
Tester les connexions TLS dans la console d'administrationLes administrateurs disposent désormais de la nouvelle fonctionnalité Tester la connexion TLS pour savoir si un routage d'e-mails peut réussir à établir une connexion TLS pleinement validée avec une destination donnée, qu'il s'agisse d'un serveur de messagerie sur site ou d'un relais de messagerie tiers, avant de lui appliquer le protocole.
Marche à suivre
Administrateurs :
Paramètres TLSLe protocole TLS est activé par défaut pour tout nouveau routage d'e-mails. Nous recommandons aux administrateurs de passer en revue toutes les routes existantes et d'activer également l'ensemble des options de sécurité TLS préconisées pour ces routes.
Test des connexions TLSLes administrateurs qui souhaitent imposer une
connexion TLS sécurisée peuvent maintenant vérifier si la connexion au serveur de messagerie du destinataire fonctionne en cliquant sur le bouton "Tester la connexion TLS" dans la console d'administration. Cela leur évite d'avoir à attendre de recevoir d'éventuelles notifications de non-distribution de messages.
Pour en savoir plus sur la
distribution des messages via une connexion TLS sécurisée et l'
ajout de routages d'e-mails, accédez au centre d'aide.
|
Toutes les validations de certificats sont désormais activées par défaut lors de la création d'un paramètre de conformité TLS. |
|
Le protocole TLS et toutes les validations de certificats sont désormais activés par défaut lors de la création d'un routage d'e-mails. |
Utilisateurs finaux : il n'existe pas de paramètres utilisateur pour ces fonctionnalités.
Déploiement
Disponibilité
- Disponible pour tous les clients G Suite
Ressources