Sécuriser la messagerie Web et les messages avec des certificats SSL/TLS
Lorsque vous communiquez par mail, des tiers malveillants peuvent intercepter, lire et falsifier vos mails ou vos identifiants de messagerie, et ainsi compromettre vos informations confidentielles. Restez serein en protégeant vos communications par mail à l’aide de certificats SSL/TLS. Cette section vous explique quelles connexions sécuriser et comment procéder.
Entre l’émetteur d’un message et son destinataire, il est nécessaire de sécuriser la communication à plusieurs niveaux où celle-ci pourrait être compromise. Les certificats SSL/TLS protègent les données sensibles en chiffrant les communications. Pour bénéficier d’une protection intégrale lors de l’utilisation de la messagerie, vous devez utiliser des certificats SSL/TLS pour sécuriser l’intégralité de la chaîne de transmission, c’est-à-dire :
- La connexion entre le navigateur de l’utilisateur et la messagerie Web exécutée sur un serveur Web. Pour faire simple, nous appelons ceci « sécuriser la messagerie Web ».
- La connexion entre le serveur de messagerie de Plesk et le MTA de l’expéditeur. Pour faire simple, nous appelons ceci « sécuriser le serveur de messagerie Plesk ».
1 Sécuriser la messagerie Web
Lorsque vous accédez à votre boîte mail via la messagerie Web, une connexion est établie entre votre navigateur et la messagerie Web exécutée sur un serveur Web. Pour protéger les mails transférés ainsi que les identifiants de la messagerie afin qu’ils ne soient pas compromis, la messagerie Web est sécurisée par défaut par le même certificat SSL/TLS auto-signé que Plesk. Ce certificat SSL/TLS auto-signé chiffre les données transférées. Toutefois, à chaque fois que vous accédez à votre messagerie Web un avertissement vous signale qu’il y a un certificat SSL/TLS non fiable. Pour cesser de recevoir cet avertissement, vous devez sécuriser la messagerie Web avec un certificat SSL/TLS valide.
Pour sécuriser la messagerie Web avec un certificat SSL/TLS :
-
Obtenez un certificat SSL/TLS valide ou un certificat SAN (Server Alternative Name ou nom alternatif du serveur) qui autorise la configuration de
webmail.<domain>
dans le SAN. Pour cela, vous pouvez :- Obtenir un certificat Wildcard gratuit de Let’s Encrypt. Si vous choisissez cette option, ignorez l’étape 2.
Note: Nous vous recommandons vivement cette solution, car un certificat wildcard sécurise toutes les connexions nécessaires.
-
Allez dans Mail > onglet « Paramètres de la messagerie ». Cliquez sur le nom de domaine, sélectionnez le certificat SSL/TLS pour la messagerie Web, puis sur OK.
2 Sécuriser le serveur de messagerie dans Plesk
Demandez à votre hébergeur s’il a déjà sécurisé le serveur de messagerie Plesk avec un certificat SSL/TLS valide (et non avec le certificat SSL/TLS qui sécurise le serveur de messagerie par défaut). Ceci chiffre la connexion entre le serveur de messagerie Plesk et le MTA de l’expéditeur en protégeant les mails que vous recevez contre les risques d’interception.
Toutefois, sauf si vous payez un serveur dédié, ce processus comporte une faille. À chaque fois que vous accédez à votre boîte mail, un avertissement vous signale un certificat SSL/TLS non fiable. Ceci se produit, car le client de messagerie détecte une incohérence entre le nom de domaine auquel le certificat est attribué (le nom de domaine du serveur Plesk) et le nom de domaine de la messagerie. Par conséquent, la plupart des clients de messagerie considèrent que le certificat du serveur de messagerie n’est pas fiable.
Si vous utilisez les clients de messagerie Postfix et Dovecot (dans Plesk pour Linux) et MailEnable (dans Plesk pour Windows), vous pouvez corriger l’incohérence en affectant un certificat SSL/TLS à votre messagerie individuelle pour un domaine.
Pour d’autres clients de messagerie (par exemple qmail ou Courier), il n’est pas possible actuellement d’affecter un certificat SSL/TLS distinct à votre messagerie individuelle pour un domaine. Le fait que la connexion au serveur de messagerie est sécurisée ou non dépend de la manière dont votre client de messagerie gère les certificats non fiables.
- Le client de messagerie se connecte au serveur de messagerie vai SSL/TLS (même lorsqu’un avertissement signalant un certificat non fiable s’affiche). Dans ce cas, la connexion entre votre messagerie et l’expéditeur est chiffrée et les mails transférés sont protégés face aux risques d’interception.
- Le client de messagerie refuse de se connecter au serveur de messagerie via SSL/TLS et vous avez une connexion non chiffrée. Dans ce cas, les mails transférés sont vulnérables et risquent d’être interceptés. Nous vous recommandons d’opter pour un autre client de messagerie qui autorise les connexions via SSL/TLS même lorsque le certificat est signalé comme non fiable.
Note: Il existe une autre manière de corriger l’incohérence entre les certificats. Si vous utilisez un serveur de messagerie dans Plesk, vous pouvez configurer le client de messagerie pour utiliser le nom de domaine du serveur. Par exemple, le domaine du serveur est server.com
. Si le serveur de messagerie est sécurisé avec un certificat SSL/TLS assigné à server.com
et votre domaine personnel example.com
. Si le serveur de messagerie est sécurisé avec un certificat SSL/TLS est assigné à server.com
, remplacez le nom de domaine du serveur de messagerie mail.example.com
dans les paramètres de votre client de messagerie par server.com
.
3 Assigner un certificat SSL/TLS à votre messagerie pour le domaine
Si vous utilisez les clients de messagerie Postfix et Dovecot (dans Plesk pour Linux) et MailEnable (dans Plesk pour Windows), vous pouvez sécuriser la messagerie d’un domaine avec un certificat SSL/TLS individuel. Nous vous recommandons ceci si votre client de messagerie affiche un avertissement signalant que le certificat SSL/TLS qui sécurise le serveur de messagerie ne peut pas être vérifié. Une fois que vous sécurisez la messagerie pour un domaine avec un certificat SSL/TLS, le serveur de messagerie renvoie le certificat qui sécurise votre messagerie à la place du certificat pour l’ensemble du serveur affecté par votre hébergeur Par conséquent, l’avertissement ne s’affiche plus.
Note: Un certificat SSL/TLS qui sécurise la messagerie pour un domaine chiffre la connexion uniquement si le serveur de messagerie Plesk est également sécurisé avec un certificat SSL/TLS.
Pour sécuriser la messagerie pour un domaine avec un certificat SSL/TLS :
-
Obtenez un certificat SSL/TLS valide ou un certificat SAN (Server Alternative Name ou nom alternatif du serveur) qui autorise la configuration de
mail.<domain>
dans le SAN. Pour cela, vous pouvez :Note: Si vous avez déjà reçu un certificat SSL/TLS wildcard lors de la sécurisation de la messagerie Web, allez à l’étape 2 pour sécuriser votre domaine avec ce certificat.
Note: Nous vous recommandons d’obtenir un certificat SSL/TLS wildcard de Let’s Encrypt, car ce certificat peut à lui seul protéger à la fois les mails pour un domaine, mais aussi la messagerie Web, le domaine lui-même et de multiples sous-domaines (le cas échéant).
-
Allez dans Mail > onglet « Paramètres de la messagerie ». Cliquez sur le nom de domaine, sélectionnez le certificat SSL/TLS pour les mails, puis sur OK.