[Fsfe-france] Re: [Fsfe-france] DCSSI Procédure de dem ande d'autorisation

[Xavier Roche]

>  > Au fait, qu'en est-il de Sendmail+TLS? 
>       C'est quoi TLS ? URL ? 

Je cite le site de tbs-internet
(https://www.tbs-internet.com/ssl/sendmail-tls.html):

"La nouvelle mouture de Sendmail (8.11.0) est sortie et elle intègre enfin
l'extension STARTTLS (RFC 2487)!
(..)
Cette extension permet: 

- l'authentification forte des serveurs SMTP 
- l'établissement d'une session TLS (chiffrée) entre 2 serveurs 
- l'authentification forte des clients SMTP 
- l'établissement d'une session TLS (chiffrée) entre le client et le
serveur 

Ceci permet par exemple de faire circuler le courrier dans des canaux
chiffrés entre les serveurs d'une même organisation (VPN SMTP), de forcer
le mode chiffré vers des destinations identifiées, ou encore d'autoriser
le relais après présentation d'une authentification TLS cliente. A terme
cette extension permettra de ne plus transporter de courrier en clair.
On peut faire un parallèle entre cette extension STARTTLS et ce que HTTPS
est à HTTP. La seule différence notable est que STARTTLS permet d'utiliser
le même port (25) pour le chiffré et le non chiffré alors que HTTP utilise
encore (pour des raisons historiques) un port différent."

Donc en gros, après le EHLO habituel, le serveur peut indiquer la présence
de l'extension "STARTTLS" dans la liste des fonctions. Ensuite, c'est au
(logiciel) client de décider s'il peut entrer en mode sécurisé.

C'est une extension standard (RFC), publique, et qui procure un fort
niveau de sécurité. J'en ai déja implémenté et cela fonctionne à 
merveille. Cela ne vaut pas un chiffrement point-Ã -point de type
(gnu)pg(p), mais cela permet de sécuriser le canal entre chaque MTA ; avec
une clé certifiée ou non (auto-signature) (dans ce dernier cas, seul la
partie chiffrement sera utilisée). Encore une fois, c'est désormais un
standard, et on peut rêver de voir la fonction implémentée chez tous les
bons ISP.