Prérequis

Avant de pouvoir renforcer les connexions SMTP à l’aide de DANE pour un domaine individuel, vous devez :

• Sécuriser les connexions au serveur de messagerie à l’aide d’un certificat SSL/TLS.
• Activer DNSSEC pour le domaine.

Sécuriser les connexions serveur SMTP

Une fois que DNSSEC est activé pour un domaine, vous pouvez continuer. Vous pouvez renforcer les connexions via n’importe quel protocole d’application qui est déjà sécurisé à l’aide d’un certificat SSL/TLS via la combinaison correspondante du protocole de transport et du port (par exemple : « TCP/25 » pour SMTP, « TCP/443 » pour HTTPS, etc.)

Renforcer les connexions via un protocole d’application spécifique est un processus en deux étapes :

• D’abord, vous devez générer un hash de la clé publique du certificat SSL/TLS. Vous pouvez bien entendu aussi utiliser une clé publique sans hash ou le hash du certificat complet, mais dans cet exemple, nous utiliserons le hash de la clé publique.
• Ensuite, vous avez besoin d’un enregistrement DNS TLSA qui spécifie le nombre de paramètres nécessaires, dont le hash.

Vous devez répéter l’étape ci-dessus pour chaque protocole d’application que vous voulez renforcer.

Dans l’exemple ci-dessous, nous fournissons les étapes pour renforcer les connexions SMTP au serveur de messagerie pour un domaine individuel. Vous pouvez les utiliser comme référence pour renforcer d’autres connexions si vous le souhaitez.

Générer le hash de la clé publique du certificat

1. Connectez-vous à Plesk.

2. Allez sous Sites web et domaine. Ensuite, cherchez le domaine concerné.

3. Cliquez sur Certificats SSL/TLS.

4. Cherchez le certificat qui sécurise le serveur de messagerie (celui marqué avec « Protège la messagerie »). Ensuite, cliquez sur l’icône pour télécharger le certificat en tant que fichier *.pem.

5. Ajoutez le fichier *.pem sur une machine Linux. Ensuite, exécutez la commande suivante (assurez-vous de remplacer au préalable le répertoire de travail par celui qui contient le fichier et aussi de remplacer « certificate.pem » par le nom réel du fichier) :

   openssl x509 -in certificate.pem -pubkey -noout | openssl rsa -pubin -outform der | sha256sum | awk '{print $1}'
   

Le résultat (par exemple : 499e42e36d7b04529725a1f8036e0f7cf1030b4e25a3fa1988f2572e1ce70d28) est le hash SHA-256 que vous utiliserez lors de la création de l’enregistrement DNS TLSA.

Ajouter un enregistrement DNS TLSA

1. Connectez-vous à Plesk.
2. Allez sous Sites web et domaine. Ensuite, cherchez le domaine concerné.
3. Allez dans l’onglet Hébergement et DNS et cliquez sur DNS.
4. Cliquez sur Ajouter un enregistrement.
5. Sélectionnez « TLSA » dans le menu déroulant « Type d’enregistrement ».
6. (Facultatif) Spécifiez un TTL pour l’enregistrement. Si vous avez un doute quant au TTL optimal, n’ajoutez rien au champ « TTL ». Dans ce cas, la valeur TTL par défaut sera utilisée.
7. Spécifiez le port « 25 ». N’ajoutez pas de tiret bas, celui-ci s’ajoute automatiquement.
8. Spécifiez le protocole « tcp ». N’ajoutez pas de tiret bas, celui-ci s’ajoute automatiquement.
9. Dans le champ « Nom de domaine », indiquez « mail ».
10. Dans le menu déroulant « Utilisation », sélectionnez « 3, DANE-EE ».
11. Dans le menu déroulant « Sélecteur », sélectionnez « 1, SPKI ».
12. Dans le menu déroulant « Méthode de correspondance », sélectionnez « 1, SHA-256 ».
13. Dans le champ « Données d’association de certificat », collez le hash de la clé publique du certificat que vous avez généré auparavant.
14. Cliquez sur OK. Ensuite, cliquez sur Mettre à jour pour appliquer les modifications à la zone DNS.

Un enregistrement DNS TLSA est ajouté et ces changements sont appliqués à la zone DNS. Une fois que les modifications DNS sont été propagées (cela prend en général 24 heures), DANE devient actif pour les connexions SMTP au domaine.