Dernière mise à jour : juillet 2026
En bref : MTA-STS ne peut pas s’activer d’un clic chez les grands hébergeurs mutualisés allemands (IONOS, Strato, All-Inkl, Netcup, domainfactory, united-domains, checkdomain). La partie DNS est triviale — l’obstacle est le fichier de politique servi en HTTPS. Cet article explique pourquoi, et montre les chemins qui te restent ouverts.
Ce que MTA-STS exige
MTA-STS (SMTP MTA Strict Transport Security, RFC 8461) garantit que les autres serveurs de messagerie ne distribuent les messages vers ton domaine que via une connexion « authentifiée avec un certificat public valide » et « chiffrée avec TLS 1.2 ou supérieur ». Cela ferme une brèche dangereuse : normalement, « si une connexion TLS ne peut pas être établie, les serveurs envoient souvent le message quand même » — c’est-à-dire en clair. C’est précisément ce qui rend SMTP vulnérable, car « les connexions SMTP sont exposées aux attaques man-in-the-middle et à d’autres types d’attaques malveillantes ».
Le hic : MTA-STS se compose de deux parties — et une seule d’entre elles relève du DNS.
- Enregistrement TXT DNS sous
_mta-sts.ton-domaine(v=STSv1; id=…). Tout hébergeur qui autorise les enregistrements TXT peut le faire — donc tous. - Fichier de politique à
https://mta-sts.ton-domaine/.well-known/mta-sts.txt. Et là, ça devient contraignant.
Pourquoi le fichier de politique est l’obstacle
Le fichier de politique doit, selon la norme, être accessible en HTTPS — sur un sous-domaine dont le nom commence par mta-sts, avec un certificat valide signé par une vraie CA. Concrètement, il te faut :
- un sous-domaine
mta-sts.ton-domainepointant vers un serveur web, - un certificat TLS valide pour exactement ce sous-domaine,
- la capacité de servir un fichier texte statique sous
/.well-known/, - et la discipline d’incrémenter l’
iddans le DNS à chaque changement de politique.
Les serveurs de messagerie managés t’en déchargent — Mailcow, par exemple, « héberge le fichier de politique de façon centralisée pour simplifier la gestion », génère la politique dynamiquement et maintient l’id lui-même. Google Workspace et Microsoft 365 documentent MTA-STS en profondeur, mais exigent que toi héberges le fichier de politique (Microsoft suggère Azure).
Les hébergeurs mutualisés allemands n’offrent tout simplement aucune fonction MTA-STS — ni interrupteur ni hébergement centralisé de politique. Ils ne connaissent pas ta configuration MX comme une « fonctionnalité » et ne fournissent aucune URL de politique.
Les chemins qui restent chez un hébergeur mutualisé
Tu peux quand même mettre en œuvre MTA-STS — juste manuellement :
A) Héberger le fichier de politique sur ton espace web. Si tu as un pack d’hébergement web chez le même hébergeur, configure le sous-domaine mta-sts.ton-domaine, obtiens un certificat (généralement Let’s Encrypt en un clic dans le panneau de l’hébergeur), et place le fichier à /.well-known/mta-sts.txt. Le fichier de politique lui-même est simple :
version: STSv1
mode: testing
mx: mail.your-host.com
max_age: 86400
Les lignes mx doivent contenir exactement les noms d’hôte de tes enregistrements MX. Commence par mode: testing, analyse les rapports TLS-RPT, puis passe à enforce.
B) Utiliser un hébergeur MTA-STS externe. Il existe des services spécialisés et des modèles d’auto-hébergement (espace web statique, un petit bucket cloud avec HTTPS, ou un Cloudflare Worker) qui ne servent que le fichier de politique. Le DNS de ton domaine reste chez l’hébergeur, seul le sous-domaine mta-sts pointe ailleurs.
C) D’abord les fondations, puis MTA-STS. Honnêtement : MTA-STS est la touche finale. Si SPF, DKIM et DMARC ne sont pas encore proprement en place, fais d’abord cela — le gain de sécurité par effort y est nettement plus élevé.
Et TLS-RPT ?
Contrairement à MTA-STS, TLS-RPT est un enregistrement TXT DNS pur, sans fichier HTTPS — tu peux le définir facilement chez n’importe quel hébergeur mutualisé. Il vaut la peine d’activer TLS-RPT même si tu ne mets pas (encore) en œuvre MTA-STS : les rapports te montrent à quelle fréquence les e-mails vers ton domaine sont distribués en TLS.
Vérifier le résultat
Le scanner MXAudit gratuit vérifie si ton enregistrement _mta-sts existe, si le fichier de politique est accessible, et si son certificat est valide — avec TLS-RPT et ton statut TLS général.
Pour aller plus loin
- Aide Google Workspace : à propos de MTA-STS et des rapports TLS (consulté le 10 juillet 2026)
- Docs Mailcow : configurer MTA-STS (consulté le 10 juillet 2026)
- RFC 8461 — SMTP MTA Strict Transport Security (MTA-STS)
