Partie intégrante de la nouvelle stratégie visant à faire passer les connexions SMTP à TLS 1.2
Le 18 août, Microsoft a annoncé qu’elle désactiverait les connexions TLS (Transport Layer Security) 1.0 et 1.1 à Exchange Online « en 2022 ». Les clients SMTP devront utiliser TLS 1.2 pour se connecter à Exchange et envoyer des e-mails. Il s’agit de la dernière étape d’un parcours qui a débuté en 2018 lorsque Microsoft a commencé à conseiller aux clients de s’éloigner de TLS 1.0 et 1.1 sur la base du fait que ces versions du protocole présentent des vulnérabilités connues. À compter du 31 octobre 2018, Microsoft a déprécié TLS 1.0 et 1.1 pour Microsoft 365. Bien sûr, la dépréciation ne signifie pas la suppression ou l’arrêt. C’est une intention que quelque chose soit supprimé en temps voulu.
L’équipe Exchange Online a commencé à publier des conseils aux clients pour les aider à analyser l’utilisation de TLS dans leurs locataires en mars 2019. À ce moment-là, juin 2020 était la date cible pour la désactivation de TLS 1.0 et 1.1 dans tout Office 365. Il s’est avéré qu’Exchange Online a cessé de prendre en charge TLS 1.0 et 1.1 en juillet 2020. L’étape suivante a été la publication de MC229914 le 14 décembre 2020, où Microsoft a annoncé qu’elle supprimerait progressivement la prise en charge des connexions TLS 1.0 et 1.1 à partir du 11 janvier 2021, en disant :
« Nous effectuerons progressivement le changement et donc l’impact initial pourrait être des messages retardés et ce n’est que lorsque le changement sera terminé que les messages ne pourront pas être livrés à leurs destinations. »
Microsoft n’a pas pu aller de l’avant, peut-être en raison de la combinaison de la réticence des clients et d’une pandémie mondiale.
Le nouveau plan de Microsoft pour encourager TLS 1.2
Bien qu’Exchange Online ne prenne plus en charge TLS 1.0 et 1.1, certains clients SMTP utilisent encore ces versions pour envoyer des e-mails vers les boîtes aux lettres Exchange Online (Microsoft parle d’une « utilisation significative. ») Pour surmonter le problème des clients qui n’ont pas été en mesure de s’éloigner de TLS 1.0 et 1.1, le nouveau plan de Microsoft est le suivant :
Ne plus prendre en charge les connexions TLS 1.0 et 1.1 pour le point de terminaison smtp ordinaire utilisé pour accepter les courriels entrants vers Exchange Online. C’est ce qui se produira à un moment donné en 2022. Permettre aux locataires ayant de bonnes raisons commerciales de continuer à utiliser le TLS obsolète d’accepter le risque en configurant leur locataire pour accepter ces connexions.
En d’autres termes, Microsoft transfère la responsabilité aux locataires de décider s’ils veulent prendre le risque d’accepter le courrier électronique entrant qui pourrait être un vecteur potentiel d’attaque. Le risque est justifiable lorsque les organisations ont besoin d’un peu plus de temps pour mettre à jour les applications (y compris les clients de messagerie) et les périphériques matériels qui dépendent de TLS 1.0 ou 1.1 pour se connecter à Exchange Online afin d’envoyer des courriels via SMTP.
Je suis sûr que Microsoft fait le pari que la plupart des locataires vont simplement passer à TLS 1.2. Ceux qui doivent continuer à utiliser les anciens protocoles peuvent le faire pendant qu’ils mettent à niveau les composants (y compris les scripts PowerShell). Dans l’ensemble, cela semble être un plan qui peut fonctionner parce que les organisations ont le choix de ce qu’elles font.
