Huit ans après le déploiement de DNSSEC par la racine du DNS, cette technologie peine encore à trouver son public et à prouver son utilité. Cet article démontre que la sécurité des échanges de courriers électroniques avec SMTP contre des attaquants actifs ne peut être atteinte en l’absence de DNSSEC, compte tenu des standards et implémentations actuels.

Au sommaire de l’article

1 État des lieux

1.1 TLS pour SMTP

1.2 DNSSEC

1.3 SPF

1.4 DKIM

1.5 DMARC

2 Modélisation d’un attaquant actif

2.1 Négociation TLS

2.2 Remplacement des enregistrements MX

3 La contre-mesure : DNSSEC et DANE

Conclusion

Remerciements

Références

Florian MAURY

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans MISC n°97, disponible sur la boutique et sur Connect !

Partager : sur Twitter sur Facebook sur Google+