Huit ans après le déploiement de DNSSEC par la racine du DNS, cette technologie peine encore à trouver son public et à prouver son utilité. Cet article démontre que la sécurité des échanges de courriers électroniques avec SMTP contre des attaquants actifs ne peut être atteinte en l’absence de DNSSEC, compte tenu des standards et implémentations actuels.
Au sommaire de l’article
1 État des lieux
1.1 TLS pour SMTP
1.2 DNSSEC
1.3 SPF
1.4 DKIM
1.5 DMARC
2 Modélisation d’un attaquant actif
2.1 Négociation TLS
2.2 Remplacement des enregistrements MX
3 La contre-mesure : DNSSEC et DANE
Conclusion
Remerciements
Références
Florian MAURY
> Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect
Retrouvez cet article (et bien d’autres) dans MISC n°97, disponible sur la boutique et sur Connect !