{"id":18969,"date":"2026-04-12T15:05:59","date_gmt":"2026-04-12T13:05:59","guid":{"rendered":"https:\/\/webhosting.de\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/"},"modified":"2026-04-12T15:05:59","modified_gmt":"2026-04-12T13:05:59","slug":"blog-mailserver-tls-configuration-cipher-selection-optimisation-serveur","status":"publish","type":"post","link":"https:\/\/webhosting.de\/fr\/blog-mailserver-tls-konfiguration-cipher-auswahl-optimierung-server\/","title":{"rendered":"Serveur de messagerie Configuration TLS et choix du chiffrement : Guide ultime"},"content":{"rendered":"<p>Je te montre comment <strong>Serveur de messagerie TLS<\/strong> dans Postfix et de choisir des suites de chiffrement puissantes pour que les connexions SMTP soient syst\u00e9matiquement prot\u00e9g\u00e9es. Sur la base de param\u00e8tres \u00e9prouv\u00e9s pour TLS 1.2\/1.3, DANE, MTA-STS et des paires de cl\u00e9s modernes, je te guide pas \u00e0 pas \u00e0 travers la configuration, les tests et le r\u00e9glage, afin que ta connexion soit s\u00e9curis\u00e9e. <strong>s\u00e9curit\u00e9 de la messagerie<\/strong> s'accroche proprement.<\/p>\n\n<h2>Points centraux<\/h2>\n\n<ul>\n  <li><strong>Postfix<\/strong> configurer en toute s\u00e9curit\u00e9 : Activer TLS, limiter les protocoles, d\u00e9finir la journalisation.<\/li>\n  <li><strong>Cipher<\/strong> \u00e9tablir des priorit\u00e9s : ECDHE + GCM\/CHACHA20, forcer le PFS, bloquer les charges h\u00e9rit\u00e9es du pass\u00e9.<\/li>\n  <li><strong>Certificats<\/strong> garder propre : RSA+ECDSA, cha\u00eene compl\u00e8te, courbes fortes.<\/li>\n  <li><strong>DANE\/MTA-STS<\/strong> utiliser les ressources : Ancrer les politiques et r\u00e9duire les risques de d\u00e9classement.<\/li>\n  <li><strong>Tests<\/strong> et surveillance : v\u00e9rifier r\u00e9guli\u00e8rement OpenSSL, le scanner TLS, les logs MTA.<\/li>\n<\/ul>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-konfiguration-4721.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>SMTP sur TLS : ce qui est vraiment s\u00e9curis\u00e9<\/h2>\n\n<p>Je s\u00e9curise SMTP avec <strong>STARTTLS<\/strong>, pour que le transport des e-mails ne se fasse pas en texte clair. TLS opportuniste par <strong>smtpd_tls_security_level = may<\/strong> veille \u00e0 ce que les connexions entrantes utilisent le cryptage d\u00e8s que l'autre partie le propose. Pour les livraisons sortantes, j'utilise <strong>smtp_tls_security_level = dane<\/strong> sur des contr\u00f4les de politique bas\u00e9s sur le DNSSEC afin de rendre plus difficiles les attaques de d\u00e9classement. Sans TLS, les e-mails seraient lisibles et manipulables pendant le transport, ce qui est particuli\u00e8rement dangereux pour les formulaires, les commandes ou les donn\u00e9es de compte. Avec TLS actif en permanence, je r\u00e9duis nettement les risques d'interception et de MITM, et j'obtiens de meilleurs taux de distribution, car les grands fournisseurs \u00e9valuent positivement les connexions s\u00e9curis\u00e9es.<\/p>\n\n<h2>Cl\u00e9s, certificats et protocoles dans Postfix<\/h2>\n\n<p>Je tiens deux certificats \u00e0 disposition : un <strong>RSA<\/strong>-et un certificat ECDSA, afin que les anciens et les nouveaux MTA se connectent de mani\u00e8re optimale. Je d\u00e9finis clairement les chemins d'acc\u00e8s dans Postfix, par exemple <strong>smtpd_tls_cert_file<\/strong> pour RSA et <strong>smtpd_tls_eccert_file<\/strong> pour ECDSA, \u00e0 chaque fois avec la cl\u00e9 correspondante. Pour une authentification propre, je fais attention \u00e0 la cha\u00eene compl\u00e8te, \u00e0 un CN\/SAN qui correspond exactement \u00e0 l'h\u00f4te et \u00e0 une courbe telle que <strong>secp384r1<\/strong> pour la cl\u00e9 ECDSA. Je d\u00e9sactive strictement les protocoles plus anciens, c'est-\u00e0-dire SSLv2 et SSLv3, pour \u00e9viter les r\u00e9trogradations forc\u00e9es. Si tu es en train de peser le type de certificat, un petit coup d'\u0153il sur <a href=\"https:\/\/webhosting.de\/fr\/certificats-tls-dv-ov-ev-hosting-securite-comparaison\/\">DV, OV ou EV<\/a>, Pour choisir le niveau de confiance qui te convient, il te suffit de consulter le site web de l'association.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls_configuration_guide_4928.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Choix du chiffrement : Priorit\u00e9s pour TLS 1.2\/1.3<\/h2>\n\n<p>Je donne la priorit\u00e9 aux suites de chiffrement avec <strong>PFS<\/strong>, ECDHE avant DHE, et misez sur GCM ou CHACHA20-POLY1305. Sous TLS 1.3, la pile te d\u00e9barrasse de nombreuses charges anciennes, tandis que TLS 1.2 continue \u00e0 avoir besoin d'une liste claire. Les suites non s\u00e9curis\u00e9es ou faibles comme <strong>RC4<\/strong>, Je supprime 3DES, CAMELLIA, aNULL, eNULL. Pour Postfix, j'utilise <strong>smtpd_tls_ciphers = haut<\/strong> et une politique restrictive <em>tls_high_cipherlist<\/em>, pour \u00e9viter que des algorithmes obsol\u00e8tes ne passent \u00e0 la trappe. Si tu veux aller plus loin, le <a href=\"https:\/\/webhosting.de\/fr\/tls-cipher-suites-hebergement-securite-serverboost\/\">Guide des suites de chiffrement<\/a> un classement bien compr\u00e9hensible sans lest.<\/p>\n\n<table>\n  <thead>\n    <tr>\n      <th>Version TLS<\/th>\n      <th>Suites de chiffrement pr\u00e9f\u00e9r\u00e9es<\/th>\n      <th>Statut<\/th>\n      <th>Remarque<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td><strong>TLS 1.3<\/strong><\/td>\n      <td>TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256<\/td>\n      <td>actif<\/td>\n      <td>S\u00e9lection fixe dans le protocole, plus d'h\u00e9ritage.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>TLS 1.2<\/strong><\/td>\n      <td>ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305<\/td>\n      <td>actif<\/td>\n      <td>Donner la priorit\u00e9 au PFS, privil\u00e9gier le GCM\/CHACHA.<\/td>\n    <\/tr>\n    <tr>\n      <td><strong>Obsol\u00e8te<\/strong><\/td>\n      <td>RC4, 3DES, CAMELLIA, AES128-SHA, aNULL\/eNULL<\/td>\n      <td>bloqu\u00e9<\/td>\n      <td>D\u00e9sactiver compl\u00e8tement pour des raisons de s\u00e9curit\u00e9.<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n\n<h2>Postfix : param\u00e8tres concrets pour main.cf<\/h2>\n\n<p>Je d\u00e9finis une configuration claire pour que le MTA parle en toute s\u00e9curit\u00e9 aussi bien en entrant qu'en sortant. Pour ECDH \u00e9ph\u00e9m\u00e8re, je d\u00e9finis avec <strong>smtpd_tls_eecdh_grade<\/strong> fixe la qualit\u00e9 des courbes et je d\u00e9sactive la compression pour \u00e9viter les attaques de type CRIME. Un fichier DH fort de 4096 bits emp\u00eache les traitements DHE faibles. Je limite s\u00e9v\u00e8rement les protocoles et j'impose une qualit\u00e9 de chiffrement \u00e9lev\u00e9e, en utilisant de pr\u00e9f\u00e9rence TLS 1.3. Au d\u00e9marrage, un niveau de log mod\u00e9r\u00e9 m'aide \u00e0 v\u00e9rifier les handshake sans inonder le journal.<\/p>\n\n<pre><code># Activation et politique\nsmtpd_tls_security_level = may\nsmtp_tls_security_level = dane\n\n# Certificats (exemples de chemins d'acc\u00e8s)\nsmtpd_tls_cert_file = \/etc\/ssl\/certs\/mail.example.fr.cer\nsmtpd_tls_key_file = \/etc\/ssl\/private\/mail.example.fr.key\nsmtpd_tls_eccert_file = \/etc\/ssl\/certs\/mail.example.de_ecc.cer\nsmtpd_tls_eckey_file = \/etc\/ssl\/private\/mail.example.de_ecc.key\n\n# Protocoles et chiffrement\nsmtpd_tls_protocols = !SSLv2, !SSLv3\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3\nsmtpd_tls_ciphers = haut\ntls_high_cipherlist = !aNULL:!eNULL:!RC4:!3DES:!CAMELLIA:HIGH:@STRENGTH\ntls_ssl_options = NO_COMPRESSION\nsmtpd_tls_eecdh_grade = ultra\n\n# Param\u00e8tres DH\nsmtpd_tls_dh1024_param_file = \/etc\/postfix\/dh_4096.pem\n\n# DNSSEC\/DANE (si disponible)\nsmtp_dns_support_level = dnssec\n\n# Journalisation\nsmtpd_tls_loglevel = 1\n<\/code><\/pre>\n\n<p>Je maintiens la cha\u00eene de certificats compl\u00e8te, je veille \u00e0 ce que les droits soient corrects pour les <strong>priv\u00e9<\/strong> fichiers de cl\u00e9s et v\u00e9rifie les logs apr\u00e8s le rechargement. Si TLS 1.2 est n\u00e9cessaire pour les anciens partenaires, je m'en tiens strictement \u00e0 GCM\/CHACHA et je bloque tout le reste. Pour TLS 1.3, je mise sur les standards de la pile et j'\u00e9vite les chemins sp\u00e9ciaux qui compliquent la maintenance. L'empilage OCSP ne joue un r\u00f4le dans SMTP que si un proxy en amont le met \u00e0 disposition, c'est pourquoi je ne le v\u00e9rifie que pour les configurations correspondantes. Apr\u00e8s chaque modification, je valide avec OpenSSL afin de d\u00e9tecter rapidement les effets secondaires et d'\u00e9viter les erreurs. <strong>cryptage des e-mails<\/strong> de mani\u00e8re coh\u00e9rente.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver-tls-guide-cipher-tips-6954.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Authenticit\u00e9 du transport avec DANE, MTA-STS, SPF, DKIM et DMARC<\/h2>\n\n<p>Je combine TLS avec <strong>DANE<\/strong>, en publiant des enregistrements TLSA sign\u00e9s sous DNSSEC. En outre, je place des MTA-STS pour que les correspondants sachent que mon h\u00f4te demande TLS et \u00e0 quel MX ils doivent se conformer. Pour la liaison d'identit\u00e9, je signe les e-mails sortants avec <strong>DKIM<\/strong> et s\u00e9curise la livraison du domaine par le biais d'un ensemble de r\u00e8gles SPF. Enfin, DMARC d\u00e9finit la mani\u00e8re dont les destinataires doivent traiter les divergences, ce qui rend l'usurpation d'identit\u00e9 tr\u00e8s difficile. Ces modules agissent ensemble : TLS prot\u00e8ge le transport, tandis que l'authentification renforce l'exp\u00e9diteur et augmente sensiblement le taux de livraison.<\/p>\n\n<p>Si la performance est un goulot d'\u00e9tranglement, j'optimise la r\u00e9somption de session, les fonctions mat\u00e9rielles et le handshake lui-m\u00eame. Tu peux te familiariser avec les astuces pratiques avec <a href=\"https:\/\/webhosting.de\/fr\/optimiser-les-performances-de-la-poignee-de-main-tls-avec-quicboost\/\">TLS handshake plus rapide<\/a>, afin de r\u00e9duire la latence lors de l'\u00e9tablissement de la connexion. Important : je maintiens un \u00e9quilibre entre le choix du chiffrement et la r\u00e9somption, car les compromis faibles ne sont pas payants en termes de s\u00e9curit\u00e9. Une n\u00e9gociation TLS rapide permet de r\u00e9aliser des \u00e9conomies substantielles, surtout en cas de volume de courrier \u00e9lev\u00e9. Ainsi, il reste <strong>D\u00e9bit<\/strong> et la s\u00e9curit\u00e9 en lot.<\/p>\n\n<h2>Tests, suivi et audits<\/h2>\n\n<p>Je v\u00e9rifie les poign\u00e9es de main localement avec <strong>openssl<\/strong> en contr\u00f4lant la version du protocole, le chiffrement et la cha\u00eene de certificats. La commande <em>openssl s_client -connect mail.example.de:25 -starttls smtp<\/em> me montre en direct ce que le serveur oppos\u00e9 n\u00e9gocie. Apr\u00e8s des changements de configuration, j'utilise <em>contr\u00f4le postfix<\/em> et regarde de mani\u00e8re cibl\u00e9e <strong>smtpd_tls_loglevel<\/strong>, pour isoler les images d'erreur. Des scanners TLS externes aident \u00e0 classer la visibilit\u00e9 publique, en particulier apr\u00e8s un changement de certificat. Un rythme d'audit r\u00e9gulier prot\u00e8ge contre les d\u00e9t\u00e9riorations insidieuses, par exemple lorsqu'un changement de biblioth\u00e8que affecte les priorit\u00e9s de chiffrement.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_nacht_4523.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Mauvaises configurations fr\u00e9quentes et corrections rapides<\/h2>\n\n<p>Je vois souvent des chiffrement obsol\u00e8tes comme <strong>AES128-SHA<\/strong>, qui sont encore actives et emp\u00eachent la PFS. Une cha\u00eene de chiffrement stricte et le blocage clair de LOW\/MD5\/RC4\/3DES aident ici. Deuxi\u00e8me mod\u00e8le : absence de certificats interm\u00e9diaires, ce qui emp\u00eache les sites distants de v\u00e9rifier la cha\u00eene ; je compl\u00e8te le fichier bundle et je teste \u00e0 nouveau. Sur des appareils tels qu'une Synology, je r\u00e8gle le profil TLS sur moderne et je supprime les options h\u00e9rit\u00e9es pour que les serveurs SMTP parlent de mani\u00e8re moderne. Sur Microsoft Exchange, je contr\u00f4le de mani\u00e8re cibl\u00e9e les politiques TLS 1.2\/1.3, l'attribution des certificats par connecteur et les \u00e9ventuels Cipher Overrides dans la configuration de l'h\u00f4te, afin que les <strong>Handshake<\/strong>-Le choix est bon.<\/p>\n\n<h2>Pr\u00e9vision de l'avenir : TLS 1.3, 0-RTT et post-Quantum<\/h2>\n\n<p>Je pr\u00e9f\u00e8re TLS 1.3, car le handshake est plus court et les anciennes options sont supprim\u00e9es, ce qui r\u00e9duit les surfaces d'attaque. Le choix des <strong>cipher<\/strong> est clairement limit\u00e9e et les piles modernes fournissent de bons param\u00e8tres par d\u00e9faut. Je n'utilise pas 0-RTT dans le contexte SMTP, car les attaques r\u00e9p\u00e9t\u00e9es entra\u00eenent des risques inutiles. Pour l'avenir, j'observe des proc\u00e9dures hybrides post-quantiques qui pourraient faire leur entr\u00e9e dans l'environnement de messagerie d\u00e8s que la standardisation et le support auront m\u00fbri. Il est important que je mette en place des politiques et une surveillance de telle sorte que les nouvelles proc\u00e9dures puissent \u00eatre int\u00e9gr\u00e9es ult\u00e9rieurement sans rupture.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/mailserver_tls_guide_7492.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Performance et taux de distribution en vue<\/h2>\n\n<p>Je mesure la <strong>Latence<\/strong> du handshake TLS et optimiser les caches pour permettre les r\u00e9utilisations. La r\u00e9somption de session (tickets\/IDs) r\u00e9duit la charge de calcul et acc\u00e9l\u00e8re les connexions r\u00e9currentes entre les MTA. Pour la r\u00e9vocation de certificats, je mise sur des informations empilables au niveau du proxy en amont, si disponible, afin d'\u00e9conomiser des acc\u00e8s suppl\u00e9mentaires. Les grands destinataires \u00e9valuent positivement les transports s\u00e9curis\u00e9s, ce qui renforce le taux de livraison, tandis que les chemins non s\u00e9curis\u00e9s augmentent les risques de spam et de rejet. Avec une politique TLS claire, des enregistrements DNS solides et une cha\u00eene de signature propre, je pose une base fiable pour <strong>D\u00e9livrabilit\u00e9<\/strong>.<\/p>\n\n<h2>Ma feuille de route pour la configuration<\/h2>\n\n<p>Je commence par obtenir un certificat aupr\u00e8s d'une autorit\u00e9 de certification de confiance, je g\u00e9n\u00e8re ECDSA et RSA et je les d\u00e9pose proprement sur l'h\u00f4te. Ensuite, j'adapte les <strong>main.cf<\/strong> avec les param\u00e8tres TLS, en d\u00e9finissant des crypteurs forts et en d\u00e9sactivant les anciens protocoles. Un nouveau fichier DH de 4096 bits est ajout\u00e9, suivi d'un rechargement et des premi\u00e8res v\u00e9rifications OpenSSL. Ensuite, je configure DANE, j'ajoute MTA-STS et je v\u00e9rifie la validit\u00e9 de SPF\/DKIM\/DMARC. Enfin, j'effectue des tests par rapport \u00e0 des cibles externes, je v\u00e9rifie les logs en cours d'utilisation et je pr\u00e9vois des audits r\u00e9guliers pour que les <strong>Configuration<\/strong> reste s\u00fbr \u00e0 long terme.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/04\/tls-einstellungen-leitfaden-8421.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Modules manquants : Soumission, SMTPS et SNI<\/h2>\n\n<p>Je ne s\u00e9curise pas seulement le port 25, mais aussi la soumission (587) et, en option, le SMTPS (465). Pour la soumission, je force le cryptage et l'authentification afin que les mots de passe des utilisateurs ne partent jamais en texte clair. Dans <em>master.cf<\/em> j'active les services et je mets des overrides cibl\u00e9s :<\/p>\n\n<pre><code># Soumission (port 587) avec STARTTLS et Auth obligatoire\nsoumission inet n - y - - smtpd\n  -o syslog_name=postfix\/submission\n  -o smtpd_tls_security_level=encrypt\n  -o smtpd_tls_auth_only=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n\n# SMTPS (port 465) en mode wrapper si n\u00e9cessaire\nsmtps inet n - y - - smtpd\n  -o syslog_name=postfix\/smtps\n  -o smtpd_tls_wrappermode=yes\n  -o smtpd_sasl_auth_enable=yes\n  -o milter_macro_daemon_name=ORIGINATING\n<\/code><\/pre>\n\n<p>Si je sers plusieurs domaines de messagerie sur un h\u00f4te avec mes propres certificats, j'utilise <strong>SNI<\/strong>. Avec une carte SNI, j'attribue le chemin de certificat appropri\u00e9 \u00e0 chaque h\u00f4te cible et je m'assure que les clients MUA voient \u00e9galement le certificat correct. Je peux ainsi garantir la s\u00e9paration des mandants et la coh\u00e9rence de l'identit\u00e9 TLS.<\/p>\n\n<h2>Politiques par domaine : contr\u00f4le granulaire fin<\/h2>\n\n<p>En plus de la politique globale, je g\u00e8re avec <strong>smtp_tls_policy_maps<\/strong> Exceptions et renforcements par domaine destinataire. Cela me permet de migrer progressivement des partenaires h\u00e9rit\u00e9s ou d'imposer des directives particuli\u00e8rement strictes pour des cibles sensibles.<\/p>\n\n<pre><code># main.cf\nsmtp_tls_policy_maps = hash:\/etc\/postfix\/tls_policy\n\n# \/etc\/postfix\/tls_policy (entr\u00e9es d'exemple)\nexample.org dane-only\nlegacy.example.net may\nsecure.example.com secure\n<\/code><\/pre>\n\n<p><em>dane-only<\/em> impose une protection DANE sans d\u00e9pendance CA, <em>secure<\/em> exige une cha\u00eene de CA valide et refuse la livraison en texte clair, <em>may<\/em> reste opportuniste. Apr\u00e8s des modifications, je construis la map avec <em>postmap<\/em> et recharge Postfix.<\/p>\n\n<h2>DANE et MTA-STS : mise en \u0153uvre concr\u00e8te<\/h2>\n\n<p>Pour <strong>DANE<\/strong> je publie des enregistrements TLSA sous DNSSEC. J'utilise de pr\u00e9f\u00e9rence DANE-EE (3 1 1), car il permet des \u00e9pinglages sur la cl\u00e9 publique et facilite les changements de certificats avec la m\u00eame cl\u00e9. Un exemple d'enregistrement TLSA sous <em>_25._tcp.mail.exemple.fr<\/em> ressemble \u00e0 ceci :<\/p>\n\n<pre><code>_25._tcp.mail.exemple.fr. IN TLSA 3 1 1\n<\/code><\/pre>\n\n<p>Je g\u00e9n\u00e8re le hachage \u00e0 partir du certificat ECDSA ou RSA et je veille \u00e0 le faire tourner avant l'expiration. Il est important que la zone DNS soit sign\u00e9e et que la cha\u00eene des d\u00e9l\u00e9gations soit valid\u00e9e sans faille.<\/p>\n\n<p>Pour <strong>MTA-STS<\/strong> j'h\u00e9berge le fichier de politique via HTTPS et je compl\u00e8te l'entr\u00e9e TXT-DNS. Je d\u00e9termine ainsi que les sites distants parlent TLS et ne sont accept\u00e9s qu'avec des MX d\u00e9finis. Un fichier de politique minimaliste :<\/p>\n\n<pre><code>version : STSv1\nmode : enforce\nmx : mail.exemple.fr\nmax_age : 604800\n<\/code><\/pre>\n\n<p>Pour cela, un enregistrement TXT est ajout\u00e9 dans le DNS sous <em>_mta-sts.exemple.fr<\/em> avec la version actuelle. En option, je mets en place <em>TLS-RPT<\/em> par TXT sous <em>_smtp._tls.exemple.fr<\/em> pour obtenir des rapports sur les violations de politique. Cette t\u00e9l\u00e9m\u00e9trie m'aide \u00e0 d\u00e9tecter rapidement les \u00e9checs, les r\u00e9trogradations et les certificats d\u00e9fectueux.<\/p>\n\n<h2>Renforcer les protocoles, pr\u00e9ciser le chiffrement<\/h2>\n\n<p>Je renforce les limites des protocoles et impose la pr\u00e9f\u00e9rence du serveur. Les TLS 1.0\/1.1 sont aujourd'hui superflus ; je n'autorise plus que les TLS 1.2 et 1.3. Pour TLS 1.2, je d\u00e9finis une liste positive explicite afin d'exclure les stocks mixtes d'anciens chiffres :<\/p>\n\n<pre><code># Durcissement suppl\u00e9mentaire (main.cf)\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n\n# Liste explicite de chiffrement TLS 1.2 (PFS + AEAD uniquement)\ntls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:!aNULL:!eNULL:!MD5:!RC4:!3DES:!CAMELLIA\n\n# Utiliser la pr\u00e9f\u00e9rence de serveur\ntls_preempt_cipherlist = yes\n<\/code><\/pre>\n\n<p>Je m'assure que ECDHE est privil\u00e9gi\u00e9 et que DHE n'est plus qu'une solution de repli. Je tiens mon fichier DH \u00e0 jour ; sous TLS 1.3, il ne joue aucun r\u00f4le, mais il reste utile pour les rares op\u00e9rations DHE.<\/p>\n\n<h2>R\u00e9sum\u00e9s de session et caches<\/h2>\n\n<p>Pour acc\u00e9l\u00e9rer les choses, j'active les caches de session pour le client et le serveur afin de r\u00e9duire les co\u00fbts de reconnexion. La charge de l'unit\u00e9 centrale et la latence diminuent sensiblement, en particulier lorsque le d\u00e9bit de messagerie est \u00e9lev\u00e9 :<\/p>\n\n<pre><code># Cache de session (main.cf)\nsmtpd_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtpd_scache\nsmtp_tls_session_cache_database = btree:\/var\/lib\/postfix\/smtp_scache\nsmtp_tls_connection_reuse = yes\n<\/code><\/pre>\n\n<p>J'observe le taux de r\u00e9ussite dans les logs et je m'assure qu'il n'y a pas d'informations trop courtes. <em>ticket_lifetimes<\/em> dans la librairie TLS pour freiner Resumption. Important : Resumption ne doit pas affaiblir la politique ; je reste sur des exigences de chiffrement identiques.<\/p>\n\n<h2>Entreprise certifi\u00e9e : rotation et entretien de la cha\u00eene<\/h2>\n\n<p>J'automatise le renouvellement et le rechargement du MTA afin d'\u00e9viter que des certificats expir\u00e9s ne se retrouvent dans l'entreprise. Apr\u00e8s chaque renouvellement, je v\u00e9rifie que la feuille et les certificats interm\u00e9diaires se trouvent enti\u00e8rement dans le bundle. Pour le double ECDSA\/RSA, je m'assure que les deux paires tournent avant qu'un changement en masse ne pose probl\u00e8me aux clients. Je teste le chemin SNI et la soumission s\u00e9par\u00e9ment, car les MUA peuvent pr\u00e9senter des images d'erreur diff\u00e9rentes de celles des MTA.<\/p>\n\n<h2>Approfondir le logging et le diagnostic<\/h2>\n\n<p>J'augmente temporairement la profondeur des logs lorsqu'un probl\u00e8me survient et j'utilise des outils de bord pour les recoupements :<\/p>\n\n<pre><code># journalisation cibl\u00e9e (main.cf)\nsmtp_tls_loglevel = 1\nsmtp_tls_note_starttls_offer = yes\n<\/code><\/pre>\n\n<p>Avec <em>posttls-finger cible.exemple.com<\/em> je v\u00e9rifie quelle politique est attendue par un MTA distant et quels chiffrement\/protocole sont n\u00e9goci\u00e9s. J'utilise <em>postconf -n | grep tls<\/em>, pour ne voir que les param\u00e8tres TLS explicitement d\u00e9finis ; je trouve ainsi plus rapidement les diff\u00e9rences par rapport aux valeurs par d\u00e9faut. Dans les logs, je recherche des termes tels que <em>pas de cryptogramme partag\u00e9<\/em>, <em>certificate verify failed<\/em> ou <em>version du protocole<\/em>, Les messages d'alerte sont des messages qui indiquent directement des m\u00e9sappariements de chiffrement, des probl\u00e8mes de cha\u00eene ou des limites de protocole trop strictes ou trop souples.<\/p>\n\n<h2>G\u00e9rer la compatibilit\u00e9 sans sacrifier la s\u00e9curit\u00e9<\/h2>\n\n<p>Je planifie les transitions en toute connaissance de cause : je m'arr\u00eate en priorit\u00e9 sur <em>may<\/em>, J'ai choisi de ne pas perdre les e-mails des anciens serveurs, mais de consigner les livraisons en texte clair. En partant de l\u00e0, je reste strict (DANE\/MTA-STS\/secure) et j'utilise <em>smtp_tls_policy_maps<\/em> pour les cas particuliers. Si des partenaires isol\u00e9s ne parviennent \u00e0 mettre en place que TLS 1.2 avec AES-GCM, c'est supportable ; tout ce qui est en dessous, je le g\u00e8re par le biais d'exceptions concert\u00e9es avec une dur\u00e9e limit\u00e9e, je les documente et je les int\u00e8gre dans la planification de la migration. Ainsi, le niveau global reste \u00e9lev\u00e9 sans bloquer l'activit\u00e9 commerciale.<\/p>\n\n<h2>Vue d'ensemble des d\u00e9fauts TLS du syst\u00e8me<\/h2>\n\n<p>Je note que Postfix utilise la biblioth\u00e8que TLS du syst\u00e8me. Les mises \u00e0 jour d'OpenSSL\/LibreSSL peuvent modifier les priorit\u00e9s de chiffrement et le comportement TLS 1.3. Apr\u00e8s les mises \u00e0 jour du syst\u00e8me, je v\u00e9rifie donc de mani\u00e8re al\u00e9atoire les handshake et compare la sortie de <em>postconf -n<\/em> avec mes valeurs de consigne. Un r\u00e9glage <em>niveau_de_compatibilit\u00e9<\/em> dans Postfix aide \u00e0 maintenir des valeurs par d\u00e9faut stables, mais je ne m'y fie pas aveugl\u00e9ment et je documente les \u00e9carts explicites dans le main.cf\/master.cf.<\/p>\n\n<h2>Bilan succinct pour les administrateurs<\/h2>\n\n<p>Je retiens que des chiffres forts avec PFS, des certificats propres et des politiques claires sont essentiels pour <strong>SMTP<\/strong> d\u00e9cisif. TLS 1.3 te lib\u00e8re des charges h\u00e9rit\u00e9es du pass\u00e9, tandis que TLS 1.2 exige une liste de chiffrement disciplin\u00e9e. DANE et MTA-STS durcissent le chemin de transport, SPF\/DKIM\/DMARC s\u00e9curisent l'identit\u00e9 et le reporting. Des tests r\u00e9guliers et des analyses de logs montrent rapidement si une modification entra\u00eene des effets secondaires ind\u00e9sirables. Gr\u00e2ce \u00e0 ce guide, tu peux mettre en place ton serveur de messagerie de mani\u00e8re s\u00fbre, performante et durable - sans d\u00e9penses inutiles. <strong>Risques<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Configuration du serveur de messagerie TLS et choix du chiffrement : smtp tls config pour une s\u00e9curit\u00e9 optimale du courrier et un h\u00e9bergement d'encryption d'email. Guide complet de l'expert.<\/p>","protected":false},"author":1,"featured_media":18962,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[708],"tags":[],"class_list":["post-18969","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-email"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"512","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"Mailserver TLS","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"18962","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/18969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/comments?post=18969"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/posts\/18969\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media\/18962"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/media?parent=18969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/categories?post=18969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/fr\/wp-json\/wp\/v2\/tags?post=18969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}