544 lines
31 KiB
Markdown
544 lines
31 KiB
Markdown
---
|
||
title: "SMTP : la « killer app » de DNSSEC"
|
||
slug: smtp-killer-app-dnssec
|
||
author: "Florian Maury"
|
||
date: 2018-05-01
|
||
type: posts
|
||
lang: fr
|
||
categories:
|
||
- internet
|
||
tags:
|
||
- security
|
||
- smtp
|
||
- dns
|
||
- dnssec
|
||
---
|
||
|
||
Huit ans après le déploiement de DNSSEC par la racine du DNS, cette technologie
|
||
peine encore à trouver son public et à prouver son utilité. Cet article démontre
|
||
que la sécurité des échanges de courriers électroniques avec SMTP contre des
|
||
attaquants actifs ne peut être atteinte en l’absence de DNSSEC, compte tenu des
|
||
standards et implémentations actuels.
|
||
|
||
<!--more-->
|
||
|
||
DNSSEC assure l’intégrité cryptographique des enregistrements DNS. Sa faible
|
||
adoption peut s’expliquer par une complexité à l’implémentation et lors de sa
|
||
maintenance, et par le fait que cette technologie est inutile, la plupart du
|
||
temps. En effet, le DNS est principalement utilisé pour la résolution de noms de
|
||
domaine en adresses IP, en vue d’accéder à un service tiers. Si ce service est
|
||
authentifié et protégé en confidentialité et en intégrité, comme c’est le cas
|
||
avec TLS, alors l’attaque active est contrée au moment de l’établissement de
|
||
cette communication sécurisée. À l’inverse, protéger en intégrité le DNS alors
|
||
que le service contacté n’est pas lui-même authentifié semble au mieux inutile :
|
||
l’attaquant actif pourra généralement attaquer le service directement.
|
||
|
||
SMTP, le protocole d’échange de courriers électroniques se trouve, hélas, dans
|
||
le second cas de figure, bien que la plupart des implémentations prennent en
|
||
charge TLS. En effet, pour des raisons historiques et de déploiements
|
||
progressifs transparents, les serveurs de courriers électroniques ne vérifient
|
||
pas ou mal les certificats X.509 fournis dans le cadre de SMTP sur TLS. Ainsi,
|
||
les communications entre serveurs de courriers électroniques ne bénéficient
|
||
généralement que d’une protection contre les écoutes passives ; un attaquant
|
||
actif pourra effectuer une interception aisément, sans même avoir à fournir un
|
||
certificat frauduleux usurpant l’identité de la victime.
|
||
|
||
Les attaques actives ne se limitent cependant pas au protocole SMTP, mais
|
||
s’étendent à son écosystème. En effet, les serveurs de courriers emploient de
|
||
nombreuses techniques pour éviter l’usurpation d’identité de l’expéditeur d’un
|
||
courrier électronique, dont des politiques de sécurité publiées dans le DNS.
|
||
|
||
Cet article expose l’impossibilité de sécuriser les échanges SMTP en l’absence
|
||
d’intégrité cryptographique des enregistrements DNS, que ce soit pour récupérer
|
||
les politiques de sécurité évoquées ci-dessus, ou pour effectuer une
|
||
vérification de certificats efficace.
|
||
|
||
# 1. État des lieux
|
||
|
||
Cette section dresse un état des lieux du déploiement des technologies utilisées
|
||
dans l’écosystème SMTP et qui peuvent être sécurisées grâce à DNSSEC. Des
|
||
mesures actives ont été effectuées par l’auteur de cet article en vue de
|
||
présenter au lecteur une image dénombrée. L’outil de mesures, la méthodologie,
|
||
ainsi que les résultats bruts peuvent être consultés en ligne [^collect].
|
||
|
||
## 1.1. TLS pour SMTP
|
||
|
||
Dans le précédent numéro de MISC, Arthur Provost et Olivier Levillain
|
||
présentaient les résultats de mesures actives sur les serveurs SMTP afin
|
||
d’évaluer la qualité des déploiements de TLS. Leur étude permet d’obtenir une
|
||
estimation intéressante de la sensibilisation des administrateurs de serveurs de
|
||
courriers électroniques aux bonnes pratiques de sécurité. Elle ne permet,
|
||
cependant, pas d’évaluer la quantité de courriers électroniques ainsi protégés,
|
||
car elle comptabilise les serveurs et non les messages envoyés entre ces
|
||
serveurs. Or, le trafic des courriers électroniques est extrêmement concentré
|
||
sur quelques plateformes d’hébergement mutualisé [^ObsANSSI].
|
||
|
||
Cette concentration implique que la sécurisation de quelques acteurs permet de
|
||
protéger un grand pourcentage des communications. Ainsi, plusieurs initiatives
|
||
nationales et internationales ont été lancées, afin d’encourager l’adoption de
|
||
TLS pour sécuriser les échanges entre les grands fournisseurs de service de
|
||
transport de courriers électroniques, au nombre desquelles celle de Google, de
|
||
l’ANSSI ou encore du BSI, l’agence nationale de sécurité des systèmes
|
||
d’information allemande.
|
||
|
||
À ce titre, Google publie des statistiques publiques sur l’utilisation de TLS
|
||
entre ses serveurs SMTP et les serveurs SMTP des organismes avec lesquels ils
|
||
échangent ["SaferEmail]. Il y est notamment possible d’observer le pourcentage
|
||
de courriers envoyés sur un canal chiffré, par domaine expéditeur/destinataire.
|
||
|
||
L’ANSSI a également rédigé une charte [^Charte], en collaboration avec plusieurs
|
||
fournisseurs de service français, afin d’ériger des engagements de sécurité
|
||
minimaux devant être mis en œuvre par les signataires (Orange, SFR/Numéricable,
|
||
Bouygues Télécom, Free et La Poste).
|
||
|
||
Finalement, le BSI a publié un document [^BSI] fournissant des recommandations
|
||
de sécurité pour les fournisseurs de service de courriers électroniques allemand
|
||
s’étant autosaisis de la problématique. Il est intéressant de noter que le BSI
|
||
encourage l’emploi de DNSSEC dans son document.
|
||
|
||
## 1.2. DNSSEC
|
||
|
||
L’auteur de cet article décrivait dans ces mêmes colonnes, en 2012, trois
|
||
mécanismes employant DNSSEC afin de venir au secours de la validation des
|
||
certificats X.509 : {{< abbr DANE "DNS-based Authentication of Named Entities"
|
||
>}} [^RFC6698], {{< abbr CAA "Certification Authority Authorization" >}}
|
||
[^RFC6844] et un mécanisme non standard d’épinglage des certificats par
|
||
l’entremise de DNSSEC. Six ans plus tard, force est de constater que ces
|
||
mécanismes sont peu implémentés [^EtudeCAA] [^EtudeDANE]. Et pour cause : DNSSEC
|
||
peine à se généraliser, avec un taux d’adoption autour de 12,5% des noms de
|
||
domaine se terminant en « .fr. », dont la majorité sont signés automatiquement
|
||
par les bureaux d’enregistrement dans le cadre de la création de nouveaux noms
|
||
de domaine [^ObsANSSI].
|
||
|
||
Du côté des autorités de certification, la prise en charge de DNSSEC n’est pas
|
||
obligatoire, même pour les autorités de certification émettant des certificats
|
||
où seul le contrôle temporaire d’un nom de domaine est validé (certificats dits
|
||
« DV », pour « Domain Validation »). En fait, la seule mention de DNSSEC dans
|
||
les prérequis minimaux édictés par le CA/B Forum – une entité réunissant les
|
||
autorités de certification et les principaux navigateurs web – a trait au
|
||
comportement à adopter dans le cas d’un échec de vérification d’une signature
|
||
DNSSEC dans le cadre de CAA [^CABForumBR].
|
||
|
||
Certaines autorités de certification, comme Let’s Encrypt, implémentent
|
||
cependant la validation DNSSEC de leur propre chef pour l’émission de
|
||
certificats DV ; un fait à porter à leur crédit.
|
||
|
||
## 1.3. SPF
|
||
|
||
{{< abbr SPF "Sender Policy Framework" >}} [^RFC7208] est une politique de
|
||
sécurité permettant à un émetteur de courriers électroniques de spécifier la
|
||
liste des serveurs/adresses IP autorisés à envoyer des courriers provenant de
|
||
son nom de domaine. Cette politique est publiée sous la forme d’un
|
||
enregistrement DNS de type TXT à l’apex (c’est-à-dire « tout en haut ») de la
|
||
zone DNS correspondant au domaine DNS expéditeur à protéger. Par exemple, pour
|
||
l’expéditeur john@example.com, l’enregistrement SPF suivant sera consulté :
|
||
|
||
```
|
||
example.com. 86400 IN TXT “v=spf1 ip4:192.0.2.1 -all”
|
||
```
|
||
|
||
Cette donnée est directement consommée par un validateur SPF et aucun autre
|
||
mécanisme de sécurité n’intervient ultérieurement pour la protéger, comme c’est
|
||
le cas avec TLS pour les courriers électroniques. Les enregistrements SPF
|
||
mériteraient donc d’être protégés en intégrité grâce à DNSSEC. La RFC7208
|
||
n’oblige cependant pas la signature ou la validation cryptographique de cet
|
||
enregistrement DNS, permettant ainsi à un attaquant actif de modifier cet
|
||
enregistrement à la volée et autoriser des adresses IP sous son contrôle à
|
||
émettre des courriers.
|
||
|
||
Le déploiement de SPF pour les domaines délégués depuis le nom de domaine de
|
||
premier niveau (en anglais, {{< abbr TLD "Top-Level Domain" >}}) « .fr » est
|
||
d’environ 37%. Cependant, seuls 7,4% des zones étudiées contiennent des
|
||
enregistrements SPF signés avec DNSSEC.
|
||
|
||
## 1.4. DKIM
|
||
|
||
{{< abbr DKIM "DomainKeys Identified Mail" >}} Signatures [^RFC6376] est une
|
||
politique de sécurité permettant à un émetteur de courriers électroniques de
|
||
signer cryptographiquement certains en-têtes et tout ou partie du contenu des
|
||
courriers provenant de son domaine. Cette technologie vise ainsi à prévenir
|
||
l’usurpation d’identité de l’expéditeur et permet la détection en cas
|
||
d’altération des courriers pendant leur transit.
|
||
|
||
La signature DKIM est placée dans les en-têtes d’un courrier électronique. En
|
||
voici un exemple :
|
||
|
||
```
|
||
DKIM-Signature: d=example.net; s=chaine_arbitraire; …
|
||
```
|
||
|
||
La clé publique utilisée pour effectuer la vérification de cette signature est
|
||
publiée dans le DNS, dans un enregistrement TXT. Cet enregistrement est publié
|
||
dans un nom de domaine composé du domaine spécifié dans la métadonnée `d=` de la
|
||
signature, préfixée de la chaîne constante `_domainkey`, elle-même préfixée d’un
|
||
sélecteur (une chaîne de caractères arbitraire, spécifiée dans la métadonnée
|
||
`s=` de la signature). Ainsi pour la signature donnée en exemple ci-dessus,
|
||
l’enregistrement DNS suivant est récupéré :
|
||
|
||
```
|
||
chaine_arbitraire._domainkey.example.net. 86400 IN TXT “v=DKIM1; k=rsa; p=base64clef”
|
||
```
|
||
|
||
Bien que la RFC6376 ne requière pas l’authentification cryptographique de la clé
|
||
publique servant à vérifier la signature des courriers électroniques, DNSSEC
|
||
permet de « certifier » cette clé, la protégeant ainsi d’attaquants actifs.
|
||
|
||
Le déploiement de DKIM ne peut être mesuré avec précision, les sélecteurs étant
|
||
imprédictibles par l’outil de mesure. Il est cependant possible d’inférer
|
||
l’absence d’enregistrements relatifs à DKIM grâce à la RFC8020 [^RFC8020].
|
||
Celle-ci dicte que le DNS est une base de données arborescente, et donc qu’un
|
||
domaine ne peut exister que si tous les domaines parents existent aussi. Ainsi,
|
||
il est possible de déterminer un pourcentage de domaines n’utilisant pas DKIM,
|
||
en comptant les domaines pour lesquels le sous-domaine _domainkey n’existe pas.
|
||
Les autres domaines utilisent peut-être DKIM ou sont des faux positifs.
|
||
|
||
Pour les domaines délégués depuis le TLD « .fr », 81% des domaines n’emploient
|
||
pas DKIM. Seul 1% des domaines étudiés sont susceptibles d’utiliser DKIM et sont
|
||
signés avec DNSSEC. Ces 1% constituent la borne haute du nombre de noms de
|
||
domaine utilisant DKIM avec une protection contre les attaquants actifs.
|
||
|
||
## 1.5. DMARC
|
||
|
||
{{< abbr DMARC "Domain-based Message Authentication, Reporting and Conformance"
|
||
>}} [^RFC7489] est une politique de sécurité publiée dans le DNS, permettant de
|
||
spécifier des actions à prendre en cas de violation des politiques SPF et DKIM.
|
||
Cette politique est publiée dans un enregistrement TXT localisé dans le
|
||
sous-domaine `_dmarc` du domaine de l’expéditeur d’un courrier, dont voici un
|
||
exemple :
|
||
|
||
```
|
||
_dmarc.example.net. 86400 IN TXT “v=DMARC1; p=none; pct=100; ruf=mailto:dmarc-feedback@example.com"
|
||
```
|
||
|
||
Des exemples d’actions à prendre en cas de violation de SPF et DKIM incluent de
|
||
défausser les courriers jugés frauduleux, de les mettre en quarantaine, et
|
||
éventuellement de rapporter cet échec auprès d’un serveur. De manière cruciale,
|
||
ces rapports peuvent contenir des extraits de courriers électroniques. Pour un
|
||
domaine n’étant pas protégé par DNSSEC, un attaquant est donc en mesure de
|
||
modifier les enregistrements DKIM, de façon à faire passer un courrier
|
||
électronique pour frauduleux, puis de retourner un faux enregistrement DMARC
|
||
permettant l’exfiltration d’informations du courrier.
|
||
|
||
Le déploiement de DMARC est très faible, avec seulement 1,4% des noms de domaine
|
||
délégués depuis le TLD « .fr » l’implémentant. Seuls les enregistrements de 1,5
|
||
domaine pour mille sont, en outre, protégés par DNSSEC. Finalement, comme noté
|
||
dans la section 1.2, seuls 12,5% des domaines étudiés sont signés avec DNSSEC et
|
||
sont donc à l’abri de toute attaque active impliquant DMARC en vue d’exfiltrer
|
||
le contenu des courriers électroniques.
|
||
|
||
# 2. Modélisation d’un attaquant actif
|
||
|
||
Dans cette section, nous allons exposer une liste non exhaustive des
|
||
possibilités d’un attaquant actif à l’encontre de SMTP sur TLS, en vue de casser
|
||
la confidentialité des métadonnées ou des échanges en général.
|
||
|
||
## 2.1. Négociation TLS
|
||
|
||
Certains protocoles, comme IMAP ou POP disposent d’un mode d’usage de TLS dit «
|
||
implicite ». Cela signifie que la version sécurisée de ces protocoles dispose
|
||
d’un numéro de port TCP spécifique (IMAPS/993, POPS/995), et que lorsqu’un
|
||
serveur est contacté sur ce port, TLS doit être employé dès les premiers
|
||
segments échangés sur une nouvelle connexion TCP. La version TLS implicite de
|
||
SMTP, appelée SMTPS et employant le port 465, a hélas été supprimée des
|
||
registres de l’IANA, et le port 465 a été réalloué pour d’autres usages. SMTPS
|
||
n’existe donc plus.
|
||
|
||
Certains protocoles disposant de TLS implicite existent également dans une
|
||
version dite « explicite ». Dans ce cas, la connexion TCP est effectuée sur les
|
||
ports « en clair » (IMAP/143, POP/110). C’est alors à la couche applicative
|
||
(IMAP, POP), d’exprimer dans son dialecte qu’une amélioration de la sécurité de
|
||
la communication est désirée. Cela s’exprime généralement par l’affichage d’une
|
||
option `STARTTLS` par le serveur, et que le client est libre de solliciter en
|
||
envoyant le message `STARTTLS`. Lorsque le client sollicite l’usage de TLS
|
||
proposé par le serveur, les échanges en clair sont interrompus et la même
|
||
connexion TCP est subitement employée pour échanger des messages TLS en vue de
|
||
négocier des clés, puis de transférer du trafic chiffré. L’extrait de session
|
||
SMTP ci-dessous illustre une négociation de `STARTTLS`. Les lignes préfixées par
|
||
`S:` sont envoyées par le serveur, et celles par `C:` par le client.
|
||
|
||
```
|
||
S: 220 smtp.gmail.com ESMTP 186sm7907497wmm.32 - gsmtp
|
||
C: EHLO x-cli.eu
|
||
S: 250-smtp.gmail.com at your service, [2001:41d0:51:1::716]
|
||
S: 250-SIZE 35882577
|
||
S: 250-8BITMIME
|
||
S: 250-STARTTLS
|
||
S: 250-ENHANCEDSTATUSCODES
|
||
S: 250-PIPELINING
|
||
S: 250-CHUNKING
|
||
S: 250 SMTPUTF8
|
||
C: STARTTLS
|
||
S: 220 2.0.0 Ready to start TLS
|
||
```
|
||
|
||
L’avantage de l’emploi de TLS de façon implicite est que si la connexion TCP/TLS
|
||
est ouverte avec succès, il n’y a aucun doute sur le fait que les messages
|
||
transférés sont protégés. Avec TLS en mode explicite, la même assurance ne peut
|
||
être fournie. Certains clients codés « un peu rapidement » poursuivent, en
|
||
effet, l’envoi du courrier en clair, sans noter les erreurs renvoyées par les
|
||
serveurs ne souhaitant pas recevoir en l’absence de TLS.
|
||
|
||
En outre, l’indication que le serveur prend en charge TLS et la sollicitation de
|
||
chiffrement du client sont échangées en clair. Un attaquant actif est donc en
|
||
mesure de corrompre le trafic afin de dissimuler/supprimer l’option/la
|
||
sollicitation, afin que la négociation TLS ne soit pas effectuée. Cette attaque
|
||
porte le nom de *STARTTLS Stripping*. Ce risque n’est pas théorique ; dans un
|
||
excellent papier de Google, l’université du Michigan et l’université de
|
||
l’Illinois [^RainSnowMITM], des chercheurs ont effectué une étude des connexions
|
||
SMTP vers les serveurs de Gmail. Ils ont ainsi découvert qu’une grande quantité
|
||
des connexions SMTP avec TLS explicite à destination de Gmail était altérée par
|
||
des attaquants actifs. Dans certains pays, comme la Tunisie, jusqu’à 96% des
|
||
connexions sont affectées par un attaquant, tandis que 9% des connexions sont
|
||
affectées en France, et plus particulièrement à l’île de la Réunion.
|
||
|
||
Le mode opératoire de l’attaquant est de remplacer à la volée dans la connexion
|
||
TCP l’option du serveur ou la sollicitation du client par une chaîne de même
|
||
longueur que `STARTTLS`, non reconnue par l’autre partie, comme `XXXXXXXX`. En
|
||
conséquence, le client ne verra pas l’option `STARTTLS`, mais une option
|
||
`XXXXXXXX` qu’il ne sait pas utiliser, ou le serveur recevra une commande
|
||
`XXXXXXXX` du client, à laquelle il répondra avec un message d’erreur indiquant
|
||
qu’il s’agit d’une commande invalide.
|
||
|
||
Finalement, la validation des certificats TLS dans le cadre de SMTP est très en
|
||
retard par rapport à celle de HTTPS. Par exemple, dans l’étude [^RainSnowMITM],
|
||
environ 66% des certificats présentés par les serveurs SMTP sont invalides
|
||
(mauvais sujet, principalement, mais aussi certificats périmés ou autosignés).
|
||
|
||
Le chiffrement est dit « opportuniste » lorsque les serveurs SMTP acceptent
|
||
aveuglément tout certificat présenté. C’est le cas de la plupart des
|
||
déploiements de SMTP sur l’Internet. De plus, au moment où ces lignes sont
|
||
écrites, aucune implémentation de SMTP sur TLS connue de l’auteur n’est
|
||
compatible avec Certificate Transparency. Comparativement, pour le web, tout
|
||
certificat émis à partir d’avril 2018 et n’étant pas dans Certificate
|
||
Transparency est jugé invalide par le navigateur Chrome.
|
||
|
||
---
|
||
|
||
Certificate Transparency est une technologie et un écosystème qui permettent au titulaire d’un nom de domaine de lister les certificats émis pour son nom de domaine, et d’ainsi vérifier qu’ils ont tous été émis avec son accord. Certificate Transparency a été présenté dans MISC Hors-Série n°13, article « Souriez ! Les autorités de certification sont filmées ! ».
|
||
|
||
---
|
||
|
||
## 2.2. Remplacement des enregistrements MX
|
||
|
||
Lorsqu’un serveur SMTP cherche à envoyer un courrier électronique à un tiers inconnu, la recherche du serveur SMTP à contacter s’effectue grâce au DNS. Pour cela, une recherche d’enregistrement de type MX (pour Mail eXchanger, ou relais de courriers, en français) est initiée. Ces enregistrements contiennent les noms des serveurs SMTP à contacter, noms qui doivent ensuite être résolus en adresse IP. Voici un exemple d’enregistrements MX :
|
||
|
||
```
|
||
example.com. 86400 IN MX 5 mail1.example.com.
|
||
example.com. 86400 IN MX 10 smtp.example.net.
|
||
```
|
||
|
||
Dans le même papier [^RainSnowMITM], les chercheurs ont également évalué la
|
||
propension des attaquants à remplacer les enregistrements MX légitimes par des
|
||
enregistrements MX contenant des noms de domaine sous son contrôle. Ce faisant,
|
||
le serveur expéditeur enverra le courrier directement aux serveurs de
|
||
l’attaquant, qui pourra prendre connaissance du contenu. L’attaquant peut,
|
||
ensuite, éventuellement faire suivre le courrier aux vrais serveurs
|
||
destinataires afin de rendre « transparente » l’attaque, en l’absence d’une
|
||
politique SPF sur le domaine expéditeur. En présence de SPF, l’attaquant peut
|
||
émuler un problème serveur, à la suite de la réception du contenu du courrier,
|
||
par exemple, en renvoyant une erreur temporaire, indiquant un espace de stockage
|
||
insuffisant (erreur 452). Le serveur expéditeur original réessaiera alors de
|
||
transmettre ultérieurement le courrier, cette fois-ci au serveur destinataire
|
||
légitime, qui saura valider la légitimité de l’expéditeur avec SPF.
|
||
|
||
Les auteurs de [^RainSnowMITM] ont interrogés les serveurs DNS récursifs et les
|
||
relais DNS (forwarders) souffrant d’un défaut de contrôle d’accès (serveurs
|
||
appelés résolveurs DNS ouverts) afin de collecter des réponses DNS depuis de
|
||
nombreux points d’observation de l’Internet. Le résultat de ces mesures actives
|
||
a révélé que 2% des serveurs DNS interrogés renvoyaient une réponse frauduleuse
|
||
pouvant mener au détournement de courriers électroniques.
|
||
|
||
Il convient de noter que cette attaque ne saurait être prévenue même si
|
||
l’expéditeur exigeait l’utilisation de TLS avec des certificats X.509 valides
|
||
(sujet, dates, usage, etc.) de la part du destinataire. En effet, l’hébergement
|
||
mutualisé de plusieurs domaines sur un seul serveur SMTP de réception n’emploie
|
||
pas l’extension TLS appelée {{< abbr "SNI" "Server Name Indication" >}}. À la
|
||
place, c’est le nom du serveur SMTP fourni dans l’enregistrement MX qui est
|
||
généralement recherché à l’intérieur du certificat présenté par le serveur SMTP
|
||
destinataire. Or, si l’enregistrement MX n’est pas signé avec DNSSEC, celui-ci
|
||
peut être modifié à la volée par un attaquant pour y mettre tout nom sous son
|
||
contrôle et pour lequel il est en mesure d’obtenir un certificat valide et
|
||
légitime.
|
||
|
||
---
|
||
|
||
SNI permet de spécifier lors de l’initialisation de la connexion TLS, un nom de domaine spécifique parmi plusieurs domaines cohébergés sur la même machine ; c’est ainsi que l’on peut avoir plusieurs hôtes virtuels (*Virtual Host*) sur une même adresse IP servant du HTTPS.
|
||
|
||
---
|
||
|
||
L’emploi de SNI aurait permis à un expéditeur de préciser pendant la négociation
|
||
TLS qu’il envoyait un courrier électronique à destination d’une adresse en
|
||
`@example.com`. Le serveur de destination aurait alors pu fournir un certificat
|
||
valide pour `example.com`.
|
||
|
||
Plusieurs explications existent pour justifier ce choix qui semble sous-optimal.
|
||
En premier lieu, les serveurs SMTP réutilisent les connexions TCP/TLS ouvertes
|
||
entre deux hôtes, afin de créer un pipeline. Cette réutilisation vise à éviter,
|
||
lorsque c’est possible, le coûteux établissement d’une connexion TCP/TLS pour
|
||
l’envoi d’un unique courrier. Il ne semblerait donc pas correct de réutiliser
|
||
une connexion établie et authentifiée pour `example.com` pour l’envoi d’un
|
||
courrier au nom de domaine cohébergé `example.net`. À la place, deux connexions
|
||
indépendantes vers la même adresse IP devraient être employées ; un coût que
|
||
tous les opérateurs ne souhaitent pas payer.
|
||
|
||
Ensuite, utiliser SNI présente le défaut de divulguer une partie des métadonnées
|
||
(le nom du domaine du destinataire parmi les N domaines cohébergés) à un
|
||
attaquant passif écoutant le réseau.
|
||
|
||
# 3. La contre-mesure : DNSSEC et DANE
|
||
|
||
Comme vu dans les précédentes sections de cet article, DNSSEC fournit une aide
|
||
contre les attaquants actifs. Notamment, les signatures cryptographiques des
|
||
enregistrements DNS permettent d’assurer l’intégrité et l’authentification de la
|
||
source des données des technologies SPF, DKIM et DMARC. En outre, une
|
||
vérification effective des informations contenues dans les certificats TLS
|
||
pourrait être effectuée puisque DNSSEC confirme l’authenticité des noms présents
|
||
dans les enregistrements MX.
|
||
|
||
Un aspect « chiffrement opportuniste » demeure néanmoins, lors du signalement de
|
||
la prise en charge de TLS par le client et le serveur, avec `STARTTLS`, comme
|
||
expliqué dans la section 2.1 de cet article. Il est, bien sûr, possible de
|
||
refuser de communiquer avec toute personne n’offrant pas TLS. L’attaquant qui
|
||
corrompt la négociation de TLS ne pratique alors qu’un déni de service, puisque
|
||
les deux parties refuseront de communiquer en l’absence de canal chiffré. Ce
|
||
choix peut être raisonnable pour certains types d’infrastructures,
|
||
d’interconnexions ou d’organismes. Sur l’Internet, et en particulier dans un
|
||
réseau comme SMTP où toute partie peut écrire à un autre, une telle
|
||
intransigeance n’est cependant pas réaliste. En conséquence, il est nécessaire
|
||
de disposer d’un mécanisme de signalement de la prise en charge de TLS qui soit
|
||
lui-même résistant aux attaquants actifs, largement déployable, et ce de manière
|
||
incrémentale.
|
||
|
||
DNS remplit le cahier des charges, avec son rôle d’annuaire protégé en intégrité
|
||
par DNSSEC. Il est ainsi possible de publier un enregistrement DNS indiquant que
|
||
le serveur SMTP contacté prend en charge TLS ; cet enregistrement pourra alors
|
||
être récupéré par un client SMTP, au moment où il demande les enregistrements
|
||
MX.
|
||
|
||
La technologie DANE [^RFC6698] permet d’effectuer ce signalement de la prise en
|
||
charge de TLS par la simple présence d’un enregistrement DNS de type TLSA. Il
|
||
convient de noter que la spécification requiert que l’enregistrement TLSA soit
|
||
signé et vérifiable par DNSSEC, ce qui apporte la protection contre l’attaquant
|
||
actif.
|
||
|
||
Cet enregistrement est situé dans un sous-domaine des noms de domaine contenus
|
||
dans les enregistrements MX. Plus précisément, le nom du MX est préfixé de la
|
||
chaîne `_25._tcp.`. Ainsi, le serveur `smtp.gmail.com` pourrait disposer d’un
|
||
enregistrement TLSA comme celui-ci :
|
||
|
||
```
|
||
_25._tcp.smtp.gmail.com. IN TLSA 3 1 1 Base64DuCertificatOuDeLaClefPublique
|
||
```
|
||
|
||
L’objectif de DANE dépasse celui du simple signalement de prise en charge de
|
||
TLS, et permet notamment d’épingler le certificat ou la clé publique qui doivent
|
||
être présentés par le serveur contacté. Pour cela, des outils comme [^GenTLSA]
|
||
permettent de générer l’enregistrement TLSA à partir d’un certificat. Il suffit
|
||
alors de le publier dans la zone DNS appropriée et de signer cette dernière avec
|
||
DNSSEC.
|
||
|
||
Côté serveurs SMTP expéditeurs, la configuration pour la prise en compte de DANE
|
||
est un peu moins aisée, puisqu’il faut valider les réponses DNSSEC d’une part,
|
||
et configurer le serveur pour demander les enregistrements DANE d’autre part. La
|
||
validation DNSSEC en elle-même devrait être effectuée par un résolveur validant
|
||
local (Unbound ou Knot-Resolver sont de bons choix). Ensuite, avec Postfix,
|
||
l’administrateur doit indiquer dans son fichier de configuration `main.cf` les
|
||
lignes suivantes :
|
||
|
||
```
|
||
smtp_tls_security_level = dane
|
||
smtp_dns_support_level = dnssec
|
||
```
|
||
|
||
Ces lignes indiquent à Postfix de se comporter comme suit : en présence d’un
|
||
enregistrement TLSA validé, le serveur contacté doit prendre en charge TLS ; si
|
||
un attaquant actif corrompt l’échange et que l’option `STARTTLS` n’est pas
|
||
négociée, Postfix ne transmet pas le courrier électronique. En cas d’erreur de
|
||
validation de l’enregistrement TLSA, ou d’absence de réponse du serveur, le même
|
||
comportement conservatoire doit être adopté. Dans les cas où la réponse DNS
|
||
n’est pas signée, ou si elle ne contient pas d’enregistrement TLSA, alors le
|
||
chiffrement opportuniste est employé avec le serveur contacté. En conséquence,
|
||
le mode dane de Postfix permet un déploiement progressif, offrant une sécurité
|
||
contre les attaquants actifs si DANE est employé, et conservant le chiffrement
|
||
opportuniste dans le cas contraire.
|
||
|
||
# 4. Conclusion
|
||
|
||
Dans cet article, nous avons étudié différentes menaces pouvant affecter les
|
||
échanges de courriers électroniques, en présence d’un attaquant actif. La figure
|
||
1 rappelle ces dernières de manière synthétique.
|
||
|
||
![Synthèse des menaces étudiées dans cet article](./schema_smtp.jpg "Fig. 1 : Synthèse des menaces étudiées dans cet article pouvant affecter les échanges de courriers électroniques. Les flux en rouge sont créés ou modifiés par l’attaquant.")
|
||
|
||
Nous avons également observé l’effet positif que DNSSEC peut avoir pour
|
||
améliorer la sécurité des échanges de courriers électroniques. Hélas, son faible
|
||
taux de déploiement à ce jour, signifie que la plupart des courriers
|
||
électroniques peuvent être et sont la proie d’attaques actives plus ou moins
|
||
ciblées (comme le cas tunisien, évoqué en section 2.1 nous l’a montré).
|
||
|
||
Les utilisateurs souhaitant échanger de manière confidentielle sont encouragés à
|
||
chiffrer le contenu de leurs courriers électroniques, en complément de la
|
||
protection offerte, de manière opportuniste ou non, par TLS. Il existe pour cela
|
||
plusieurs options, dont des moyens intégrés (comme S/MIME ou, dans une moindre
|
||
mesure, OpenPGP), ou non (comme ceux listés dans le catalogue des produits
|
||
certifiés par l’ANSSI). Dans le cas du chiffrement opportuniste, les métadonnées
|
||
de ces échanges ne sont, cependant, protégées que contre les écoutes passives
|
||
lors de leur transit sur le réseau. Les administrateurs de serveurs de courriers
|
||
électroniques souhaitant offrir une sécurité adéquate à leurs utilisateurs
|
||
contre les attaques actives devraient donc signer leurs zones DNS avec DNSSEC,
|
||
publier des enregistrements TLSA, et configurer leurs serveurs pour utiliser
|
||
DANE lorsqu’il est disponible.
|
||
|
||
Pour finir, publier des enregistrements SPF, DKIM et DMARC signés participe à
|
||
lutter contre les usurpations d’identité. Il convient cependant d’exiger des
|
||
signatures DNSSEC sur les enregistrements DMARC ou de désactiver l’envoi de
|
||
rapports dans son validateur DMARC, lorsque la configuration logicielle le
|
||
permet, afin d’éviter les exfiltrations de métadonnées sur les courriers
|
||
électroniques.
|
||
|
||
# 5. Remerciements
|
||
|
||
Je tiens à remercier mes relecteurs, Baloo (@baloose), Olivier Levillain et
|
||
Christophe Malinge, pour leurs remarques constructives qui ont significativement
|
||
contribué à l’amélioration de cet article.
|
||
|
||
Merci également à Claudio Fiandrino pour son code TikZ pour topologies réseaux,
|
||
publié en [^CCBy].
|
||
|
||
# 6. Références
|
||
|
||
[^collect]: Outil de mesures DNS développé pour cet article : https://github.com/X-Cli/collectDNSSECEmailStats
|
||
|
||
[^ObsANSSI]: Observatoire de la résilience de l’Internet français : https://www.ssi.gouv.fr/observatoire
|
||
|
||
[^SaferEmail]: Site de Google pour la consultation de statistiques de SMTP sur TLS : https://transparencyreport.google.com/safer-email/overview
|
||
|
||
[^Charte]: Charte de l’ANSSI pour l’amélioration de la sécurité des échanges de courriers électroniques : https://www.ssi.gouv.fr/particulier/precautions-elementaires/charte-pour-la-securite-des-courriers-electroniques/
|
||
|
||
[^BSI]: Document équivalent au lien précédent, rédigé par l’homologue de l’ANSSI en Allemagne : http://www.project-consult.de/files/BSI_TR03108-1_Sichere_EMail.pdf
|
||
|
||
[^RFC6698]: The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol : TLSA https://tools.ietf.org/html/rfc6698
|
||
|
||
[^RFC6844]: DNS Certification Authority Authorization (CAA) Resource Record : https://tools.ietf.org/html/rfc6844
|
||
|
||
[^EtudeCAA]: CAA Study : https://caastudy.github.io/
|
||
|
||
[^EtudeDANE]: Measuring DANE TLSA Deployment : https://www.isi.edu/~liangzhu/presentation/dns-oarc/dane_tlsa_survey.pdf
|
||
|
||
[^CABForumBR]: Baseline Requirements Documents : https://cabforum.org/baseline-requirements-documents/
|
||
|
||
[^RFC7208]: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 : https://tools.ietf.org/html/rfc7208
|
||
|
||
[^RFC6376]: DomainKeys Identified Mail (DKIM) Signatures : https://tools.ietf.org/html/rfc6376
|
||
|
||
[^RFC8020]: NXDOMAIN : There Really Is Nothing Underneath : https://tools.ietf.org/html/rfc8020
|
||
|
||
[^RFC7489]: Domain-based Message Authentication, Reporting, and Conformance (DMARC) : https://tools.ietf.org/html/rfc7489
|
||
|
||
[^RainSnowMITM]: Neither Snow Nor Rain Nor MITM… An Empirical Analysis of Email Delivery Security : https://static.googleusercontent.com/media/research.google.com/fr//pubs/archive/43962.pdf
|
||
|
||
[^CCBy]: Attribution 2.5 Generic : https://creativecommons.org/licenses/by/2.5/
|
||
|
||
[^GenTLSA]: https://www.huque.com/bin/gen_tlsa
|
||
|
||
Publié par les [Editions Diamond](https://connect.ed-diamond.com/MISC/misc-097/smtp-la-killer-app-de-dnssec) sous licence [CC-BY-NC-ND](https://creativecommons.org/licenses/by-nc-nd/4.0/deed.fr).
|