DNS MX Record Misconfiguration

Mauvaise Configuration des Enregistrements DNS MX

Risque : faible

Description

Les enregistrements MX (Mail Exchanger) dans le DNS sont essentiels pour le routage et la distribution des e-mails. Les mauvaises configurations des enregistrements MX peuvent entraîner des échecs de distribution des e-mails, une vulnérabilité accrue à l'usurpation d'e-mails (spoofing) et un routage de courrier ineficiente. Les domaines suivants sont des préoccupations majeures dans la configuration des enregistrements MX :

1. Format d'Enregistrement : Les enregistrements MX doivent respecter le format standard "priorité nom-d'hôte-pleinement-qualifié.domaine.tld". Un formatage incorrect peut entraîner une mauvaise interprétation par les serveurs de messagerie et les résolveurs DNS. Les valeurs de priorité doivent être des entiers valides et les noms d'hôte doivent être correctement formatés.

2. Valeurs de Priorité : Les priorités des enregistrements MX doivent se situer dans la plage valide de 0 à 65535. La valeur la plus basse indique le serveur de messagerie préféré. Des priorités mal configurées peuvent conduire à un routage d'e-mails inefficace.

3. Enregistrements en Double : Les enregistrements MX en double doivent être évités. Ils peuvent causer de la confusion dans la résolution DNS et entraîner un traitement inutile par les serveurs de messagerie. Il est important d'auditer régulièrement les enregistrements MX pour s'assurer qu'aucun doublon n'existe.

4. Validité du Nom d'Hôte : Les noms d'hôte spécifiés dans les enregistrements MX doivent être valides et résolvables en adresses IP. Des noms d'hôte inexistants ou inaccessibles peuvent causer des échecs de distribution des e-mails. Il est crucial de s'assurer que ces noms d'hôte pointent vers des serveurs de messagerie actifs via des requêtes d'enregistrement A ou AAAA.

5. Cohérence avec les Enregistrements SPF : Les noms d'hôte des enregistrements MX doivent être inclus dans l'enregistrement SPF (Sender Policy Framework) du domaine. Une incohérence entre les enregistrements MX et SPF peut augmenter la vulnérabilité à l'usurpation d'e-mails et avoir un impact négatif sur la délivrabilité des e-mails.

Ces mauvaises configurations peuvent entraîner un retard ou un échec de la distribution des e-mails, une susceptibilité accrue aux attaques basées sur les e-mails et une dégradation globale de la fiabilité de l'infrastructure de messagerie d'une organisation. L'impact peut aller de désagréments mineurs à de graves perturbations dans les communications professionnelles.

Recommandation

Pour corriger les mauvaises configurations d'enregistrement MX, mettez en œuvre les éléments suivants :

• Format d'Enregistrement Correct : Assurez-vous que tous les enregistrements MX suivent le format exact "priorité nom-d'hôte.domaine.tld".

  • Exemple :

    • 10 mail.example.com.

• Valider les Valeurs de Priorité : Définissez des priorités entières dans la plage de 0 à 65535, avec des valeurs plus basses pour les serveurs préférés.

  • Exemple :

    • 10 primary-mail.example.com.
    • 6553 secondary-mail.example.com.

• Gérer les Enregistrements en Double : Assurez-vous qu'il n'y a pas d'enregistrements en double.

  • Exemple :

    • Incorrect :
      • 10 mail1.example.com.
      • 10 mail1.example.com.
    • Correct :
      • 10 mail1.example.com.
      • 20 mail2.example.com.

• Vérifier la Résolvabilité du Nom d'Hôte : Confirmez que tous les noms d'hôte MX se résolvent en adresses IP valides de serveurs de messagerie actifs.

  • Exemple :

    • Pour 10 mail.example.com., assurez-vous que le domaine est résolvable en une adresse IP valide, par exemple :
      • mail.example.com. IN A 203.0.113.1

• Aligner avec les Enregistrements SPF : Incluez tous les noms d'hôte MX dans l'enregistrement SPF du domaine.

  • Exemple :

    • L'enregistrement MX 10 mail.example.com. devrait être inclus dans l'enregistrement SPF, par exemple :
      • v=spf1 MX ip4:203.0.113.1 -all, où la résolution du domaine dans l'enregistrement MX nous donnerait l'adresse IP 203.0.113.1.

Liens

• Comprendre les Enregistrements MX
• Meilleures Pratiques pour les Enregistrements MX

Normes

• PCI_STANDARDS:
  • REQ_1_3
  • REQ_4_1
  • REQ_12_2
• GDPR:
  • ART_25
  • ART_32
• SOC2_CONTROLS:
  • CC_4_1
  • CC_6_1
  • CC_6_6
  • CC_7_1
  • CC_7_2
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213