Migration Yunohost V3: STARTTLS est-ce le bon choix?

Bonjour tout le monde,
En préambule j’aimerais préciser que Je ne suis pas du tout un expert en sécurité informatique loin de là ^^
Je voulais migrer mon installation Yunohost vers la V3 et j’ai lu l’avertissement de migration qui indique le changement de port SMTP de 465 (SSL/TLS) vers 587 (STARTTLS) et j’ai lu sur Mastodon que le choix du STARTTLS à la place du TLS n’était peut-être pas le meilleur choix niveau sécurité.

J’avoue ne pas être compétent pour juger par moi-même de ce choix, je voulais simplement porter l’information à votre connaissance et peut-être avoir votre avis.

Je mets ici un lien vers le blog de Stéphane Bortzmeyer ou il en parle plus profondément:
http://www.bortzmeyer.org/8314.html

Il y a eu des discussions là dessus pendant la beta et tout le monde semblait pour s’accorder que justement, le port 465 était obsolète et qu’il fallait utiliser 587, comme expliqué ici : https://busylog.net/smtp-tls-ssl-25-465-587/

Mais visiblement, comme tout dans le mail, y’a pas l’air d’avoir de consensus sur le sujet comme le montre l’article de Bortzmeyer … :expressionless:

Merci beaucoup pour ta réponse @Aleks , j’avoue ne pas être du tout compétent pour juger ^^

Hello,
Les deux articles proposés ne datent pas de la même période:
Celui de Stéphane Bortzmeyer est de janvier 2018 alors que l’autre est de janvier 2016 (et fait référence à un RFC de 1998!)
Peut-être faudrait-il demander son avis d’expert à Stéphane Bortzmeyer (via twitter par exemple)?
Il me semble pour ma part qu’il faudrait garder le port 465 (voire au pire des cas autoriser les deux modes de connexion)…

@Benance il a répondu sur Mastodon:

ok donc c’est bien Bortz’ qui avait raison.
@Aleks suite à cette info, que va décider l’équipe de dev’ de yunohost?

J’ai regardé rapidement et on dirait que par exemple le /etc/services (qui defini les “noms” des ports et leur utilité), sous Strech, ne contient pas “submissions” tel que décrit dans l’article. On pourrait le rajouter, mais ca fait un peu de taf, ou en tout cas c’est un morceau qu’il faut tester… Donc je pense que dans une prochaine itération on repassera a 485 avec submissions mais pour le moment on va continuer avec le port 587 je pense :confused: (meme si c’est certes relou de changer la config thunderbird de tous les clients)

Il semble que l’EFF soutienne STARTTLS.

2 Likes

Bonjour, comme j’ai reconfiguré Thunderbird pour avoir une configuration propre et je me demandais pourquoi sur les comptes Free on me propose du :

  • STARTTLS 587 (mot de passe normal)
  • alors qu’avant j’avais SSL/TLS 465 (mot de passe chiffré)

Suite à cela j’ai un peu fouillé, sur une Debian GNU/Linux 10 (buster), le fichier /etc/service indique :
submissions 465/tcp ssmtp smtps urd # Submission over TLS [RFC8314]
submission 587/tcp # Submission [RFC4409]

Il est aussi indiqué que STARTTLS utilise SSL ou TLS mais peut aussi se rabattre sur du plain text contrairement à SSL/TLS.
Voir https://tools.ietf.org/html/rfc8314#section-3

Pas sur de comprendre où tu veux en venir … ce fil est vieux de 2 ans …

En 2018 il y avait une grosse confusion sur STARTTLS qui, contrairement à ce qu’on pourrait croire n’est pas forcément du TLS, sans compter que la phase initiale de dialogue n’est pas chiffrée. Le SSL/TLS n’a pas ce problème.
Maintenant on recommande une phase de transition en acceptant les 2 mais SSL/TLS sur le port 465 est préférable.