crittografia tls

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS, come suggerisce il nome, è un protocollo che permette il trasporto criptato di messaggi tra due server di posta SMTP. MTA-STS specifica ai server di invio che le e-mail dovrebbero essere inviate solo su una connessione cifrata TLS, e non dovrebbero essere consegnate affatto nel caso in cui una connessione protetta non sia stabilita tramite il comando STARTTLS. Migliorando la sicurezza delle e-mail in transito, MTA-STS aiuta a mitigare gli attacchi Man-In-The-Middle (MITM) come gli attacchi SMTP downgrade e gli attacchi DNS spoofing.

Come fa MTA-STS a garantire la crittografia dei messaggi in transito?

Facciamo un semplice esempio per capire come i messaggi vengono criptati durante il flusso di e-mail. Se un MTA sta inviando un'email a [email protected]l'MTA esegue una query DNS per scoprire a quale MTA l'email deve essere inviata. La richiesta DNS viene inviata per recuperare i record MX di powerdmarc.com. L'MTA che invia si connette successivamente all'MTA ricevente trovato nel risultato della query DNS, chiedendo se questo server ricevente supporta la crittografia TLS. Se lo fa, l'e-mail viene inviata su una connessione criptata, tuttavia, se non lo fa, l'MTA di invio non riesce a negoziare una connessione protetta e invia l'e-mail in chiaro.

L'invio di email su un percorso non criptato apre la strada ad attacchi di monitoraggio pervasivi come MITM e SMTP downgrade. Scopriamo come: