- Non joignable via une adresse Internet moderne, ou amélioration possible (IPv6) //-------------------------- Adresse moderne (IPv6) Dommage! Votre serveur de messagerie n'est pas accessible aux expéditeurs utilisant des adresses modernes (IPv6), ou une amélioration est possible. Votre serveur de messagerie ne fait donc pas encore partie de l’Internet moderne. Vous devez demander à votre fournisseur de messagerie d'activer complètement IPv6. //-------------- Serveurs de noms de domaine Échec : fermeture des adresses IPv6 pour les serveurs de noms Verdict: Un seul serveur de noms de votre domaine possède une adresse IPv6. Explication du test : Nous vérifions si votre nom de domaine possède au moins deux serveurs de noms avec une adresse IPv6. Ceci est conforme aux "Exigences techniques pour l'enregistrement et l'utilisation des noms de domaine .nl" d.d. 13 novembre 2017 par SIDN (registre TLD .nl) qui exige que chaque domaine .nl ait au moins deux serveurs de noms. Les « adresses IPv6 mappées IPv4 » (RFC 4291, commençant par ::ffff:) échoueront dans ce test, car elles ne fournissent pas de connectivité IPv6. //-------------------------- - Connexion au serveur de messagerie non ou insuffisamment sécurisée (STARTTLS et DANE) //-------------------------- Connexion au serveur de messagerie sécurisé (STARTTLS et DANE) Dommage! Les serveurs de messagerie d'envoi prenant en charge le transport sécurisé des e-mails (STARTTLS et DANE) peuvent établir une connexion inexistante ou insuffisamment sécurisée avec votre(vos) serveur(s) de messagerie de réception. Les attaquants passifs et/ou actifs pourront donc lire les emails qui vous parviennent. Vous devez demander à votre fournisseur de messagerie d'activer STARTTLS et DANE et de le configurer en toute sécurité. //-------------- Clôture des paramètres d'échange clés Verdict: Au moins un de vos serveurs de messagerie prend en charge des paramètres insuffisamment sécurisés pour l'échange de clés Diffie-Hellman. Détails techniques: Serveur de messagerie (MX) Paramètres concernés Niveau de sécurité smtp.zw3b.eu. DH-2048 insuffisant Explication du test : Nous vérifions si les paramètres publics utilisés dans l'échange de clés Diffie-Hellman par vos serveurs de messagerie de réception (MX) sont sécurisés. ECDHE : La sécurité de l'échange de clés éphémères à courbe elliptique Diffie-Hellman (ECDHE) dépend de la courbe elliptique utilisée. Nous vérifions si la longueur en bits des courbes elliptiques utilisées est d'au moins 224 bits. Actuellement, nous ne sommes pas en mesure de vérifier le nom de la courbe elliptique. DHE : la sécurité de l'échange de clés éphémères Diffie-Hellman (DHE) dépend de la longueur des clés publiques et secrètes utilisées dans le groupe de champs finis choisi. Nous testons si votre matériel de clé publique DHE utilise l'un des groupes de champs finis prédéfinis spécifiés dans la RFC 7919. Les groupes auto-générés sont « insuffisants ». Les tailles de clé plus grandes requises pour l'utilisation de DHE entraînent une pénalité en termes de performances. Évaluez soigneusement et utilisez ECDHE au lieu de DHE si vous le pouvez. RSA comme alternative : outre ECDHE et DHE, RSA peut être utilisé pour l'échange de clés. Cependant, il risque de devenir insuffisamment sécurisé (état actuel de « suppression progressive »). Les paramètres publics RSA sont testés dans le sous-test 'Clé publique du certificat'. Notez que RSA est considéré comme « bon » pour la vérification des certificats. Voir les « Directives de sécurité informatique pour Transport Layer Security (TLS) v2.1 » du NCSC-NL, la ligne directrice B5-1 et le tableau 9 pour l'ECDHE, et la ligne directrice B6-1 et le tableau 10 pour le DHE (en anglais). //---- Courbe elliptique pour ECDHE Bon : secp384r1, secp256r1, x448 et x25519 Suppression progressive : secp224r1 Insuffisant : Autres courbes Groupe de champs finis pour DHE Suffisant: ffdhe4096 (RFC7919) Somme de contrôle sha256 : 64852d6890ff9e62eecd1ee89c72af9af244dfef5b853bcedea3dfd7aade22b3 ffdhe3072 (RFC7919) Somme de contrôle sha256 : c410cc9c4fd85d2c109f7ebe5930ca5304a52927c0ebcb1a11c5cf6b2386bbab Notez que nous testons également ffdhe8192 et ffdhe6144. Cependant, leur gain limité en matière de sécurité compense rarement la perte en performances. Suppression progressive : ffdhe2048 (RFC7919) Somme de contrôle sha256 : 9ba6429597aeed2d8617a7705b56e96d044f64b07971659382e426675105654b Insuffisant : Autres groupes //--------------------------