Guide de configuration des protocoles de messagerie Red Sift
- Learn about MTA-STS and TLS
- What is MTA-STS?
- How does it work?
- MTA-STS policy modes
- What is TLS reporting?
- Set up MTA-STS and TLS-RPT
- 2. Add the reporting address to your DNS
- 3. Signal MTA-STS support via a TXT record
- How do you know that sending MTAs are failing MTA-STS?
- Is there an easier way to deploy MTA-STS?
- Learn about MTA-STS and TLS
- What is MTA-STS?
- How does it work?
- MTA-STS policy modes
- What is TLS reporting?
- Set up MTA-STS and TLS-RPT
- 2. Add the reporting address to your DNS
- 3. Signal MTA-STS support via a TXT record
- How do you know that sending MTAs are failing MTA-STS?
- Is there an easier way to deploy MTA-STS?
Learn about MTA-STS and TLS
What is MTA-STS?
Mail Transfer Agent Strict Transport Security (MTA-STS) is a standard that enables the encryption of messages being sent between two mail servers. It specifies to sending servers that emails can only be sent over a Transport Layer Security (TLS) encrypted connection which prevents emails from being intercepted by cybercriminals.
How does it work?
For receiving domains to enable MTA-STS, they must announce that they support MTA-STS in their DNS and publish a policy configuration file on their website. This lets the sending mail servers (that support MTA-STS) know that they should only use TLS (1.2 or higher) connections when sending emails to the receiving domain’s mail servers. MTA-STS requires the use of STARTTLS (a protocol that tells an email server that an email client wants to upgrade from an insecure to a secure connection) for messages to successfully be sent and received.
MTA-STS also lists what the MX records for the domain are therefore preventing DNS query interception where a malicious party could redirect to another MX record. If a sending mail server does not perform MTA-STS validations, emails will still be delivered as normal, and TLS will be used if the sending mail server chooses to use it.
MTA-STS policy modes
Activating MTA-STS must be done carefully to mitigate blocking emails from being delivered. To avoid this risk, MTA-STS should first be deployed in testing mode, allowing time for TLS reports to provide insight into any errors that need fixing before progressing to the final enforce stage. At this stage, the use of TLS is enforced, and MTAs that support MTA-STS will only deliver email over an encrypted and authenticated connection. TLS reporting (TLS-RPT) is then needed to notify domain owners when delivery fails due to TLS issues.
What is TLS reporting?
How do we know that sending MTAs is failing MTA-STS? Much like DMARC, the answer is emailed reports. Enter SMTP TLS reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTAs and is defined in RFC8460. These reports include detected MTA-STS policies, traffic statistics, successful and unsuccessful connections, and failure reasons.
When you enable TLS-RPT, you will receive daily reports highlighting any emails that were sent without a secure connection and failed to be sent to you. Only with this insight can you identify and fix the issues within your mail server and ensure your inbound mail is not being blocked.
Set up MTA-STS and TLS-RPT
This sub-chapter will show you how to deploy MTA-STS and TLS-RPT on your own.
Deploying MTA-STS is relatively straightforward once you understand the components involved. Here’s an overview of what we’ll cover:
- Draft and publish the policy on a public, secured web server
- Enable SMTP TLS-RPT via a TXT record
- Signal MTA-STS support via a TXT record
Before you start the deployment, if you manage your own email server, make sure your MX records accept inbound TLS connections (according to Google’s Transparency report, about 90% of servers currently do), make sure the servers in your MX records use TLS version 1.2 or later, and that the MX server TLS certificates:
- Match the domain name used by the inbound mail server (the server in your MX records)
- Are signed and trusted by a root certificate authority
- Are not expired
These last three go hand in hand and are very likely already managed by your email host. You should only have to worry about them if you host your own mail server; if you use a third-party hosted service like G Suite, Microsoft 365, Fastmail, etc, these steps are already done for you.
1. Draft and publish the policy on a public, secured web server
Now, to start the deployment, we will proceed to draft the policy. The policy itself is pretty straightforward; here’s a sample policy:
version: STSv1 mode: testing mx: aspmx.l.google.com mx: alt1.aspmx.l.google.com mx: alt2.aspmx.l.google.com mx: *.googlemail.com max_age: 604800
The important bits are mode, mx and max_age, as version will (for now) always be the same.
Mode can be none, testing or enforce.
nonedisables MTA-STStestingtells external servers sending to you to evaluate the policy, and requests reports (via TLS-RPT), but does not enforce connection security required by MTA-STS.enforcetells external servers to verify they’re connecting to an MX listed in the policy, and that the SMTP connection is both encrypted (using TLS) and authenticated (that the server has a valid, signed certificate).
If the connection is not both encrypted and authenticated:
- Servers that support MTA-STS will not send mail to your domain.
- Servers that don’t support MTA-STS continue to send messages to your domain over SMTP connections as they normally do, but they may not be encrypted.
We recommend keeping the policy in testing mode for at least a month. That way you can get familiar with MTA-STS and fix any issues that may be brought up by the STS reports, if any.
mx lists the MX records that serve email for the domain. In almost all cases, it’s the same records you already have published in your DNS.
To specify servers that match a naming pattern, use a wildcard. The wildcard character replaces one leftmost label only, for example .domain.com or .mail.domain.com.
max_age is the amount of time the sending MTA will cache the policy. The RFC suggests a value of 1 or 2 weeks (between 604800 and 1209600 seconds), but it can be anything.
Now that we have the policy drafted, we need to publish it. The policy has to be uploaded to a public-facing web server and it must be served over HTTPS with a signed, trusted certificate (eg: Let’s Encrypt).
- Add a subdomain to your domain in the form of mta-sts.domain.com and point it to the web server
- Create a directory named .well-known
.well-knownin the subdomain. - Upload the policy file you created to the .well-known
.well-knowndirectory with mta-sts.txtmta-sts.txtas the file name.
Your policy should be available at https://mta-sts.domain.com/.well-known/mta-sts.txt
2. Add the reporting address to your DNS
Now, the last step consists of adding two DNS records: one for TLS-RPT and one to signify that you support MTA-STS and they’re both simple TXT records.
Let’s start with TLS-RPT. To receive reports you will need a mailbox where you will receive them, or you can point them to your OnDMARC address (the same as for your DMARC record) and we'll parse and display them for you.
The first TXT record should be added like this:
smtp.tls.example.com. 900 IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"
Host: smtp.smtp.tls
TTL: 900 (or your default value)
Value: v=TLSRPTv1; rua=mailto:tlsrpt@example.com
3. Signal MTA-STS support via a TXT record
Lastly, we need to publicize our support for MTA-STS. The TXT record should be added as follows:
_mta-sts.example.com. 900 IN TXT "v=STSv1; id=1575556993"
Host: _mta-sts (note the underscore at the beginning)
TTL: 900 (or your default value)
Value: v=STSv1; id=1575556993
Update the id to a new value every time you change your MTA-STS policy. External servers use the id value to determine when your policy changes. We usually use the epoch timestamp for the id value, it’s unique enough and lets you know when was the last time it was changed.
And that’s it! You’ve enabled both MTA-STS and TLS-RPT, and you’re on your way to supporting secure, un-tampered SMTP transmissions.
How do you know that sending MTAs are failing MTA-STS?
Much like DMARC, the answer is in emailed reports. These reports include detected MTA-STS policies, traffic statistics, unsuccessful connections, and failure reasons.
Enter SMTP TLS Reporting (or TLS-RPT for short). It enables reporting of TLS connectivity problems experienced by the sending MTA’s and is defined in RFC8460.
Is there an easier way to deploy MTA-STS?
The short answer is yes. With Red Sift OnDMARC’s MTA-STS feature, you don’t need to worry about complex deployment. Simply add the MTA-STS Smart Records OnDMARC provides to your DNS and we do all the hard work for you such as hosting the MTA-STS policy file, maintaining the SSL certificate, and flagging any policy violation through the TLS report.
Once MTA-STS has been enabled, you can use OnDMARC’s TLS Reports to gain clear insight into the volume of emails received over a given period and how many of them have experienced domain successes and failures. You can easily uncover more details about a specific domain’s success or failure, such as a missing or expired certificate. This granularity tells you exactly what needs fixing for you to progress to an MTA-STS enforce mode and fully secure your inbound emails.
Questions fréquemment posées : Guide de configuration des protocoles de messagerie
Avant l’apparition de DMARC, les enregistrements SPF utilisaient couramment le mécanisme « -all » pour appliquer strictement les politiques d’expéditeur. Cependant, les recommandations de l’industrie en 2026 privilégient désormais « ~all » afin d’équilibrer sécurité et délivrabilité, évitant ainsi le rejet inutile d’e-mails valides qui pourraient échouer à SPF mais réussir DKIM et DMARC.
Le principe est que « ~all », combiné à DMARC (avec la politique p=reject), rejettera quand même les messages non authentifiés si SPF et DKIM échouent, sans pour autant bloquer les courriels légitimes, ce qui améliore la délivrabilité globale.
La spécification DMARC (RFC 7489) précise qu’un préfixe « - » sur le mécanisme SPF d’un expéditeur, tel que « -all », peut activer le rejet de messages plus tôt dans le traitement, avant toute intervention de DMARC. Il est donc conseillé de n’utiliser « -all » que pour les domaines inactifs qui n’envoient aucun e-mail. DMARC ne prend pas en compte la nuance entre l’échec doux et strict de SPF, les considérant tous les deux comme des échecs SPF.
DMARC n’exige pas seulement que SPF ou DKIM soient PASS, mais impose aussi qu’au moins un des domaines utilisés par SPF ou DKIM s’aligne sur le domaine figurant dans l’en-tête From. Un bon alignement est essentiel pour la délivrabilité en 2026 car les principaux fournisseurs de messagerie appliquent ces exigences.
Pour SPF, l’alignement de l’identifiant signifie que le contrôle MAIL FROM/Return-PATH doit réussir et que la partie domaine du MAIL FROM/Return-PATH doit s’aligner sur le domaine utilisé dans l’adresse From. En mode strict, les domaines doivent correspondre exactement, tandis qu’en mode relâché, les sous-domaines sont également tolérés à condition qu’ils appartiennent au même domaine organisationnel.
Par exemple, si le MAIL-FROM/RETURN-PATH est @ondmarc.com et que l’en-tête From est @knowledge.ondmarc.com, ils ne sont pas alignés en mode strict. Mais en mode relâché, DMARC considèrera l’alignement comme valide.
Un rapport agrégé DMARC fournit des informations sur le statut d’authentification des messages envoyés au nom d’un domaine. Il s’agit d’un rapport de rétroaction XML destiné à donner de la visibilité sur les e-mails ayant réussi ou échoué aux vérifications SPF et DKIM. Ce rapport donne au propriétaire du domaine une vision précise des sources qui envoient en son nom et des actions appliquées à ces e-mails (la politique appliquée par le destinataire).
Les destinataires examinent la balise 'rua' de votre enregistrement DMARC et envoient les rapports à cette adresse. Vous pouvez spécifier l’intervalle d’envoi des rapports agrégés grâce à la balise ri (par défaut à 86 400 secondes soit 24 heures). Les rapports judiciaires contiennent des informations détaillées sur chaque échec d’authentification. Les informations personnelles identifiables (PII) sont retirées, mais tout ce qui peut aider à diagnostiquer l’échec DMARC reste, comme les détails du rejet SPF et DKIM, l’adresse From complète et l’objet du message.
L’adresse de réception des rapports judiciaires DMARC est spécifiée par la balise 'ruf' dans votre enregistrement DMARC. Tous les systèmes de réception ne prennent pas en charge l’envoi de rapports judiciaires. Red Sift OnDMARC fait partie des rares applications DMARC du marché qui reçoivent ces rapports grâce à son partenariat avec Yahoo.
Une macro SPF correspond à un mécanisme utilisé dans les enregistrements SPF pour définir des ensembles d’adresses IP réutilisables. Les macros SPF augmentent la flexibilité et la maintenance des enregistrements SPF en permettant de définir des ensembles complexes d’IP dans un seul mécanisme, qui peut être appelé dans plusieurs enregistrements SPF. Par exemple, au lieu de lister chaque adresse IP autorisée, on peut définir une macro telle que « %{i} » qui appelle l’IP de l’expéditeur du message. Gérer les SPF ainsi permet de contrôler une grande liste d’IP sans dépasser la limite de recherches SPF, et d’obscurcir les adresses IP autorisées pour les requêtes publiques.
Cependant, selon la structure de l’enregistrement SPF utilisant des macros, l’absence de développement des macros peut entraîner des erreurs SPF ou des résultats « Neutral » (indiqués par le mécanisme ?all). Si les macros SPF sont essentielles pour autoriser certains serveurs expéditeurs légitimes, les e-mails pourraient échouer les contrôles SPF ou être considérés comme suspects par les serveurs destinataires qui s’appuient sur SPF pour l’authentification.
Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle indique aux serveurs expéditeurs que les e-mails doivent obligatoirement être transférés via une connexion chiffrée TLS, ce qui empêche leur interception par des cybercriminels.
L’adoption de MTA-STS a fortement augmenté, les organisations en 2026 considérant la sécurité de la couche de transport comme essentielle pour protéger les e-mails en transit. Pour permettre l’activation de MTA-STS sur un domaine destinataire, il faut annoncer la prise en charge de MTA-STS dans le DNS du domaine et publier un fichier de politique sur le site web associé.
L’activation de MTA-STS doit être réalisée avec précaution pour éviter de bloquer la livraison. Il est conseillé de déployer d’abord MTA-STS en mode test, afin d’analyser les rapports TLS et corriger les éventuels problèmes avant de passer à une politique d’application stricte. Cette démarche progressive devrait devenir la norme en 2026 pour les organisations souhaitant mettre en œuvre la sécurité du transport.
Le SMTP TLS Reporting (ou TLS-RPT) permet de signaler les problèmes de connectivité TLS rencontrés par les MTAs expéditeurs, et il est défini dans le RFC8460. Comme pour DMARC, TLS-RPT envoie des rapports par e-mail pour avertir les propriétaires de domaine lorsqu’une livraison échoue en raison d’un incident TLS. Ces rapports incluent la politique MTA-STS détectée, des statistiques de trafic, les connexions ayant échoué et les raisons des échecs.
Avec la fonctionnalité MTA-STS de Red Sift OnDMARC, vous n’avez pas à craindre une mise en place complexe. Il suffit d’ajouter les Smart Records MTA-STS fournis par OnDMARC dans votre DNS, puis Red Sift héberge le fichier de politique MTA-STS, maintient le certificat SSL et signale toute violation de politique à travers les rapports TLS. Les plateformes DMARC modernes incluent en 2026 MTA-STS hébergé comme un standard, facilitant ainsi le déploiement de la sécurité de la couche de transport.
Publiée dans le RFC 7671, DANE (DNS-based Authentication of Named Entities) introduit un nouveau standard Internet pour configurer la communication TLS entre un client et un serveur, sans dépendre des autorités de certification traditionnelles (CA).
Le modèle classique de TLS par CA permet à n’importe quelle CA d’émettre un certificat pour n’importe quel domaine. DANE s’appuie sur l’infrastructure DNSSEC (Domain Name System Security Extensions) pour lier un nom de domaine à un certificat. Le protocole DNSSEC déjà existant garantit que les données reçues sont authentiques et n’ont pas été altérées.
DANE introduit également un nouveau type de RR DNS appelé TLSA, signalant au client qu’un serveur prend en charge TLS. Il est recommandé de configurer MTA-STS et DANE ensemble. DANE est obligatoire pour de nombreux gouvernements, et les organismes publics de l’UE doivent généralement l’implémenter.
DANE et MTA-STS sont efficaces uniquement si l’expéditeur les prend en charge. Or, la plupart des expéditeurs ne prennent en charge qu’un seul des deux, donc les utiliser ensemble renforce la sécurité. En 2026, les organisations déploient souvent d’abord MTA-STS pour une compatibilité plus large, puis ajoutent DANE pour une sécurité accrue là où c’est nécessaire.
La politique de sous-domaine permet aux administrateurs de protéger différents domaines et sous-domaines selon leur niveau d’avancement DMARC. Par exemple, si tous vos services émetteurs configurés pour votre domaine principal utilisent SPF et DKIM, vous pouvez appliquer une politique DMARC de p=reject au domaine principal tout en laissant les sous-domaines en p=none, ou inversement.
Ainsi, si un service d’envoi d’e-mails n’est pas compatible DMARC (ne supporte pas SPF ou DKIM), il est possible de lui attribuer un sous-domaine distinct et de lui assigner une autre politique DMARC, sans empêcher la protection des autres domaines. Cela permet de répartir le trafic sur plusieurs sous-domaines, chacun étant protégé indépendamment.