Uno standard internet molto conosciuto che facilita migliorando la sicurezza delle connessioni tra i server SMTP (Simple Mail Transfer Protocol) è l'SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
Nell'anno 1982, SMTP è stato specificato per la prima volta e non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999, il comando STARTTLS è stato aggiunto a SMTP che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura che è criptata utilizzando il protocollo TLS.
In questo caso, vi starete chiedendo: se SMTP ha adottato STARTTLS per proteggere le connessioni tra server, perché è stato necessario il passaggio a MTA-STS? Approfondiamo la questione nella seguente sezione di questo blog!
La necessità di passare a MTA-STS
STARTTLS non era perfetto, e non è riuscito a risolvere due problemi principali: il primo è che è una misura opzionale, quindi STARTTLS non riesce a prevenire gli attacchi man-in-the-middle (MITM). Questo perché un attaccante MITM può facilmente modificare una connessione e impedire l'aggiornamento della crittografia. Il secondo problema è che anche se STARTTLS è implementato, non c'è modo di autenticare l'identità del server di invio perché i server di posta SMTP non convalidano i certificati.
Mentre la maggior parte delle e-mail in uscita oggi sono protette con la crittografia Transport Layer Security (TLS), uno standard industriale adottato anche dalle e-mail dei consumatori, gli aggressori possono ancora ostacolare e manomettere le tue e-mail anche prima che vengano crittografate. Se le e-mail vengono trasportate su una connessione sicura, i dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber attaccante. Qui è dove MTA-STS interviene e risolve questo problema, garantendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi MITM. Inoltre, gli MTA memorizzano i file di policy MTA-STS, rendendo più difficile per gli attaccanti lanciare un attacco di spoofing DNS.
MTA-STS offre una protezione contro :
- Attacchi al ribasso
- Attacchi Man-In-The-Middle (MITM)
- Risolve diversi problemi di sicurezza SMTP, compresi i certificati TLS scaduti e la mancanza di supporto per i protocolli sicuri.
Come funziona MTA-STS?
Il protocollo MTA-STS è distribuito avendo un record DNS che specifica che un server di posta può recuperare un file di policy da un sottodominio specifico. Questo file di policy viene recuperato via HTTPS e autenticato con certificati, insieme alla lista dei nomi dei server di posta dei destinatari. L'implementazione di MTA-STS è più facile dal lato del destinatario rispetto al lato dell'invio, poiché richiede di essere supportato dal software del server di posta. Mentre alcuni server di posta supportano MTA-STS, come PostFix, non tutti lo fanno.
I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Gmail di Google ha già adottato le politiche MTA-STS in tempi recenti. MTA-STS ha rimosso gli inconvenienti nella sicurezza delle connessioni e-mail, rendendo il processo di protezione delle connessioni facile e accessibile per i server di posta supportati.
Le connessioni dagli utenti ai server di posta sono solitamente protette e criptate con il protocollo TLS, tuttavia, nonostante ciò, c'era una mancanza di sicurezza nelle connessioni tra i server di posta prima dell'implementazione di MTA-STS. Con un aumento della consapevolezza sulla sicurezza della posta elettronica negli ultimi tempi e il supporto da parte dei principali fornitori di posta in tutto il mondo, la maggior parte delle connessioni dei server dovrebbe essere criptata nel recente futuro. Inoltre, MTA-STS assicura efficacemente che i criminali informatici sulle reti non siano in grado di leggere il contenuto delle e-mail.
Distribuzione facile e veloce dei servizi MTA-STS ospitati da PowerDMARC
MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante. PowerDMARC rende la vostra vita molto più facile gestendo tutto questo per voi, completamente in background. Una volta che vi aiutiamo a configurarlo, non dovrete mai più pensarci.
Con l'aiuto di PowerDMARC, è possibile implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale è possibile imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la vostra connessione sicura e tenendo a bada gli attacchi MITM.
