Uno standard Internet ampiamente conosciuto che facilita e migliora la sicurezza delle connessioni tra i server SMTP (Simple Mail Transfer Protocol) è l'SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS risolve i problemi esistenti nella sicurezza delle e-mail SMTP applicando la crittografia TLS in transito.
Storia e origine dell'MTA-STS
Nel 1982, SMTP è stato specificato per la prima volta e non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999 è stato aggiunto a SMTP il comando STARTTLS, che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura, crittografata con il protocollo TLS.
In questo caso, vi starete chiedendo se SMTP ha adottato STARTTLS per proteggere le connessioni tra i server, perché è stato necessario il passaggio a MTA-STS e a cosa serve? Approfondiamo l'argomento nelle sezioni seguenti di questo blog!
Che cos'è MTA-STS? (Mail Transfer Agent Strict Transport Security - Spiegazione)
MTA-STS è uno standard di sicurezza che garantisce la trasmissione sicura delle e-mail attraverso una connessione SMTP crittografata. L'acronimo MTA sta per Message Transfer Agent, un programma che trasferisce i messaggi di posta elettronica tra i computer. L'acronimo STS sta per Strict Transport Security, che è il protocollo utilizzato per implementare lo standard. Un agente di trasferimento della posta (MTA) o un agente di trasferimento sicuro dei messaggi (SMTA) consapevole di MTA-STS opera in conformità a questa specifica e fornisce un canale end-to-end sicuro per l'invio di e-mail su reti non protette.
Il protocollo MTA-STS consente a un client SMTP di verificare l'identità del server e di assicurarsi che non si stia collegando a un impostore, richiedendo al server di fornire l'impronta digitale del suo certificato nell'handshake TLS. Il client verifica quindi il certificato con un archivio di fiducia contenente certificati di server noti.
La necessità di passare a MTA-STS
STARTTLS non era perfetto, e non è riuscito a risolvere due problemi principali: il primo è che è una misura opzionale, quindi STARTTLS non riesce a prevenire gli attacchi man-in-the-middle (MITM). Questo perché un attaccante MITM può facilmente modificare una connessione e impedire l'aggiornamento della crittografia. Il secondo problema è che anche se STARTTLS è implementato, non c'è modo di autenticare l'identità del server di invio perché i server di posta SMTP non convalidano i certificati.
Sebbene oggi la maggior parte delle e-mail in uscita sia protetta dalla crittografia Transport Layer Security (TLS), uno standard di settore adottato anche dalle e-mail dei consumatori, gli aggressori possono comunque ostacolare e manomettere le vostre e-mail anche prima che vengano crittografate. Se le e-mail vengono trasportate su una connessione sicura, i dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber-attaccante. È qui che MTA-STS interviene e risolve questo problema, garantendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi MITM. Inoltre, gli MTA memorizzano i file dei criteri MTA-STS, rendendo più difficile per gli aggressori lanciare un attacco di spoofing DNS.
MTA-STS offre una protezione contro :
- Attacchi al ribasso
- Attacchi Man-In-The-Middle (MITM)
- Risolve diversi problemi di sicurezza SMTP, compresi i certificati TLS scaduti e la mancanza di supporto per i protocolli sicuri.
Come funziona MTA-STS?
Il protocollo MTA-STS viene implementato mediante un record DNS che specifica che un server di posta può recuperare un file di criteri da un sottodominio specifico. Questo file di criteri viene recuperato tramite HTTPS e autenticato con certificati, insieme all'elenco dei nomi dei server di posta del destinatario. L'implementazione dell'MTA-STS è più semplice dal lato del destinatario rispetto a quello dell'invio, poiché deve essere supportata dal software del server di posta. Alcuni server di posta supportano l'MTA-STS, come PostFix, ma non tutti.
I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Gmail di Google ha già adottato le politiche MTA-STS in tempi recenti. MTA-STS ha rimosso gli inconvenienti nella sicurezza delle connessioni e-mail, rendendo il processo di protezione delle connessioni facile e accessibile per i server di posta supportati.
Le connessioni dagli utenti ai server di posta sono solitamente protette e criptate con il protocollo TLS, tuttavia, nonostante ciò, c'era una mancanza di sicurezza nelle connessioni tra i server di posta prima dell'implementazione di MTA-STS. Con un aumento della consapevolezza sulla sicurezza della posta elettronica negli ultimi tempi e il supporto da parte dei principali fornitori di posta in tutto il mondo, la maggior parte delle connessioni dei server dovrebbe essere criptata nel recente futuro. Inoltre, MTA-STS assicura efficacemente che i criminali informatici sulle reti non siano in grado di leggere il contenuto delle e-mail.
Distribuzione facile e veloce dei servizi MTA-STS ospitati da PowerDMARC
MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e una manutenzione costante. Lo strumento di analisi DMARC di PowerDMARC vi semplifica notevolmente la vita, gestendo tutto questo per voi, completamente in background. Una volta che vi abbiamo aiutato a configurarlo, non dovrete più pensarci.
Con l'aiuto di PowerDMARC, è possibile implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale è possibile imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la vostra connessione sicura e tenendo a bada gli attacchi MITM.
- Passi per prevenire gli attacchi DDoS - 29 settembre 2022
- Soluzioni anti-spoofing - 29 settembre 2022
- Integrazione DMARC SIEM - 28 settembre 2022
