Bonjour,

Je cherche à envoyer des Mail via smtp.orange.fr (port 465), avec sécurisation TLS/SSL.

Pour cela, j'utilise libcurl 7.66.0 + openssl 1.1.1, en ne laissant actif que les suites suites cryptographiques recommandées par l'ANSSI, à savoir  :

• Suites TLS 1.3

TLS_AES_256_GCM_SHA384 (0x1302)
TLS_AES_128_GCM_SHA256 (0x1301)
TLS_AES_128_CCM_SHA256 (0x1304)
TLS_CHACHA20_POLY1305_SHA256 (0x1303)

• Suites TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xC02C)
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xC02B)
TLS_ECDHE_ECDSA_WITH_AES_256_CCM (0xC0AD)
TLS_ECDHE_ECDSA_WITH_AES_128_CCM (0xC0AC)
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xCCA9)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xC030)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC02F)
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xCCA8)

La négociation TLS échoue (Aucune suite TLS commune trouvée). En effet, en listant les suites TLS prises en charge par le serveur (via le script fourni ici), j'obtiens :

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
Aucune de ces suites ne respectent les préconisations TLS de l'ANSSI.

Par quel biais solliciter Orange afin qu'il revoient la configuration de leur serveur SMTP ?

Merci !

 je pense qu'ils vont t'envoyer balader.

pour moi c'est garantit...

Merci à tous pour vos première réponses
Je peux tenter la solution abuse@orange.fr, mais il y a effectivement un fort risque que le mail ne tombe pas chez les personnes à même de remédier à la situation.

Electrocut, le SMTP d'Orange ne supporte que TLS 1.0

Oui en 2020 !

Thunderbird 78 vient de supprimer le support de TLS 1.0 et TLS 1.1. On espère que cela va faire bouger Orange.

A priori ça passe quand même en TLS 1.2, mais avec des suites crypto non recommandables.

Si je force l'utilisation de TLS 1.2 avec l'une des 6 suites crypto listée ci-dessus, c'est bon :

pi@domoticz:~ $ openssl s_client -connect smtp.orange.fr:465 -cipher ECDHE-RSA-AES256-SHA -tls1_2
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert SHA2 Secure Server CA
verify return:1
depth=0 C = FR, L = Paris, O = Orange, OU = Orange France, CN = smtp.orange.fr
verify return:1
---
Certificate chain
 0 s:/C=FR/L=Paris/O=Orange/OU=Orange France/CN=smtp.orange.fr
   i:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
 1 s:/C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
 2 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
---
...

Mais la suite ECDHE-RSA-AES256-SHA n'est pas conforme aux recommandations ANSSI ;-)

Pour info, je viens de soumettre smtp.orange aux tests https://www.ssllabs.com/ssltest/ et https://tls.imirhil.fr/
Les résultats sont sans appel !

L'idéal serait effectivement qu'un client tel que Thunderbird déprécie les algorithmes concernés, ça devrait accélérer les choses

Bonne nouvelle, il y a un an, TLS 1.2 n'était pas supporté.

C'est dommage que le rajout de TLS 1.2 ne s'est pas fait avec les suites cryptographiques recommandées.