Che cos'è l'MTA-STS? Impostare il giusto criterio MTA STS
di
Tempo di lettura: 8 min
Uno standard Internet ampiamente conosciuto che facilita il miglioramento della sicurezza delle connessioni tra i server SMTP (Simple Mail Transfer Protocol) è l'SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). L'MTA-STS risolve i problemi esistenti nella sicurezza SMTP sicurezza della posta elettronica di sicurezza delle e-mail SMTP, applicando la crittografia TLS in transito.
I punti chiave da prendere in considerazione
- L'SMTP era inizialmente insicuro, ma ha acquisito capacità di crittografia grazie a STARTTLS, pur rimanendo vulnerabile a vari attacchi.
- MTA-STS migliora la sicurezza delle e-mail applicando la crittografia TLS durante il transito per una comunicazione sicura tra i server di posta.
- L'implementazione di MTA-STS prevede un file di criteri e record DNS per gestire la trasmissione sicura delle e-mail.
- L'MTA-STS opera in tre modalità - Nessuno, Test e Applicazione - che determinano la severità dell'applicazione della crittografia.
- TLS-RPT lavora in tandem con MTA-STS per monitorare i problemi di crittografia delle e-mail e migliorare la deliverability complessiva delle e-mail.
Storia e origine dell'MTA-STS
Nel 1982, SMTP è stato specificato per la prima volta e non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999 è stato aggiunto a SMTP il comando STARTTLS, che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura, crittografata con il protocollo TLS.
In questo caso, vi starete chiedendo se SMTP ha adottato STARTTLS per proteggere le connessioni tra i server, perché è stato necessario il passaggio a MTA-STS e a cosa serve. Approfondiamo l'argomento nelle sezioni successive di questo blog!
Semplificate la sicurezza con PowerDMARC!
Che cos'è MTA-STS? (Mail Transfer Agent Strict Transport Security - Spiegazione)
MTA-STS è l'acronimo di Mail Transfer Agent - Strict Transport Security. Si tratta di uno standard di sicurezza che garantisce la trasmissione sicura delle e-mail attraverso una connessione SMTP crittografata. L'acronimo MTA sta per Message Transfer Agent, un programma che trasferisce i messaggi e-mail tra i computer. L'acronimo STS sta per Strict Transport Security, che è il protocollo utilizzato per implementare lo standard. Un agente di trasferimento della posta (MTA) o un agente di trasferimento sicuro dei messaggi (SMTA) consapevole di MTA-STS opera in conformità a questa specifica e fornisce un canale end-to-end sicuro per l'invio di e-mail su reti non protette.
Il protocollo MTA-STS consente a un client SMTP di verificare l'identità del server e di assicurarsi che non si stia collegando a un impostore, richiedendo al server di fornire l'impronta digitale del suo certificato nell'handshake TLS. Il client verifica quindi il certificato con un archivio di fiducia contenente certificati di server noti.
Introduzione alla sicurezza e-mail MTA-STS
MTA-STS è stato introdotto per colmare il divario di sicurezza nelle comunicazioni SMTP. Come standard di sicurezza, MTA-STS garantisce la trasmissione sicura delle e-mail attraverso una connessione SMTP crittografata.
L'acronimo MTA sta per Message Transfer Agent, un programma che trasferisce i messaggi di posta elettronica tra i computer. L'acronimo STS sta per Strict Transport Security, che è il protocollo utilizzato per implementare lo standard. Un agente di trasferimento della posta (MTA) o un agente di trasferimento sicuro dei messaggi (SMTA) consapevole di MTA-STS opera in conformità a questa specifica e fornisce un canale end-to-end sicuro per l'invio di e-mail su reti non protette.
Il protocollo MTA-STS consente a un client SMTP di verificare l'identità del server e di assicurarsi che non si stia collegando a un impostore, richiedendo al server di fornire l'impronta digitale del suo certificato nell'handshake TLS. Il client verifica quindi il certificato con un archivio di fiducia contenente certificati di server noti.
La necessità di passare alla crittografia TLS forzata
STARTTLS non era perfetto e non è riuscito a risolvere due problemi principali: il primo è che si tratta di una misura opzionale, quindi STARTTLS non riesce a prevenire gli attacchi man-in-the-middle (MITM). Questo perché un attaccante MITM può facilmente modificare una connessione e impedire l'aggiornamento della crittografia. Il secondo problema è che, anche se STARTTLS è implementato, non c'è modo di autenticare l'identità del server di invio, come avviene con SMTP non convalidano i certificati.
Mentre la maggior parte dei messaggi di posta elettronica in uscita sono oggi protetti da sicurezza del livello di trasporto (TLS) uno standard di settore adottato anche dalle e-mail dei consumatori, gli aggressori possono comunque ostacolare e manomettere le vostre e-mail anche prima che vengano crittografate. Se non trasportate le vostre e-mail su una connessione sicura, i vostri dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber-attaccante.
È qui che MTA-STS interviene e risolve questo problema, garantendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi MITM. Inoltre, gli MTA memorizzano i file dei criteri MTA-STS, rendendo più difficile per gli aggressori lanciare un attacco di spoofing DNS. attacco di spoofing DNS.
Configurazione di MTA-STS con PowerDMARC!
Come funziona MTA-STS?
Il protocollo MTA-STS viene implementato mediante un record DNS che specifica che un server di posta può recuperare un file di criteri da un sottodominio specifico. Questo file di criteri viene recuperato tramite HTTPS e autenticato con certificati, insieme all'elenco dei nomi dei server di posta del destinatario. L'implementazione dell'MTA-STS è più semplice dal lato del destinatario rispetto a quello dell'invio, poiché deve essere supportata dal software del server di posta. Alcuni server di posta supportano MTA-STS, come ad esempio PostFixnon tutti lo supportano.
I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Gmail di Google ha già adottato le politiche MTA-STS in tempi recenti. MTA-STS ha rimosso gli inconvenienti nella sicurezza delle connessioni e-mail, rendendo il processo di protezione delle connessioni facile e accessibile per i server di posta supportati.
Le connessioni dagli utenti ai server di posta sono solitamente protette e crittografate con il protocollo TLS, tuttavia, nonostante ciò, prima dell'implementazione di MTA-STS, esisteva una mancanza di sicurezza nelle connessioni tra i server di posta. Con l'aumento della consapevolezza della sicurezza della posta elettronica negli ultimi tempi e il supporto dei principali provider di posta in tutto il mondo, si prevede che la maggior parte delle connessioni ai server sarà criptata nel prossimo futuro. Inoltre, l'MTA-STS garantisce efficacemente che i criminali informatici sulle reti non siano in grado di leggere il contenuto delle e-mail.
Il file di politica MTA-STS
Il file dei criteri MTA-STS è un file di configurazione MTA-STS in testo semplice ospitato sul server web di un dominio sotto un URL HTTPS: Definisce le regole per stabilire connessioni sicure tra i server di posta, applicare la crittografia TLS e specificare le azioni da intraprendere se non è possibile stabilire una connessione sicura.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Struttura del file dei criteri MTA-STS
| Campi | Descrizione | Esempio |
| versione | La versione del formato del criterio MTA-STS | STS1 |
| modalità | Il livello di applicazione dei criteri è disponibile in 3 opzioni: nessuno, verifica e applica. | test |
| mx | Un elenco dei server Mail Exchange (MX) validi del dominio. | mail.domain.com |
| età massima | La durata in secondi per la quale il criterio deve essere memorizzato nella cache dai server di posta esterni. | 86400 |
Esempio di criterio MTA-STS
versione: STSv1
modalità: applicare
mx: mail.example.com
mx: backupmail.example.com
max_age: 86400
Prerequisiti per la distribuzione di MTA-STS
Prima di iniziare la configurazione di MTA-STS, è necessario disporre di quanto segue:
- Un nome di dominio registrato
- Certificati TLS validi
- I certificati TLS devono essere emessi da una CA affidabile.
- I certificati devono essere aggiornati e non scaduti
- Deve essere almeno un TLS versione 1.2 o superiore.
- Un record DNS TXT per MTA-STS
- Server web HTTPS
- Server di posta configurato per utilizzare TLS
- Il nome host del server di posta corrisponde alle voci del campo mx del file dei criteri.
- Un ambiente di test o un servizio MTA-STS in hosting per monitorare i log e apportare le modifiche necessarie.
Passi per impostare MTA-STS per il proprio dominio
Per configurare l'MTA-STS per il vostro dominio, potete seguire i passaggi indicati di seguito:
- Verificare se il dominio ha configurazioni MTA-STS esistenti. Se utilizzate Google Workspace per le vostre e-mail, potete farlo facilmente con l'aiuto di questa guida guida.
- Creare e pubblicare un criterio MTA-STS, configurato separatamente per ogni dominio. Il file dei criteri MTA-STS definisce i server di posta elettronica abilitati a MTA-STS utilizzati da quel dominio.
- Dopo aver creato il file dei criteri, è necessario caricarlo su un server web pubblico, facilmente accessibile da server remoti.
- Infine, creare e pubblicare il record DNS MTA-STS (record TXT "_mta-sts") per indicare ai server di ricezione che le e-mail devono essere crittografate con TLS per essere considerate autentiche e che l'accesso alla casella di posta del destinatario deve essere consentito solo se la prima condizione è vera.
Una volta che si dispone di un file di criterio attivo, i server di posta esterni non consentiranno l'accesso alle e-mail senza una connessione sicura.
3 Modalità dei criteri MTA-STS: Nessuna, Test e Applicazione
I tre valori disponibili per le modalità dei criteri MTA-STS sono i seguenti:
- Nessuno: Questo criterio annulla la configurazione di MTA-STS poiché i server esterni considereranno il protocollo inattivo per il dominio.
- Prova: Con questo criterio, le e-mail trasferite su una connessione non crittografata non verranno rifiutate; al contrario, con TLS-RPT abilitato si continueranno a ricevere i rapporti TLS sul percorso di consegna e sul comportamento delle e-mail.
- Forza: Infine, se si attiva il criterio Enforce, i messaggi di posta elettronica trasferiti tramite una connessione SMTP non crittografata verranno rifiutati dal server.
MTA-STS offre una protezione contro :
- Attacchi al ribasso
- Attacchi Man-In-The-Middle (MITM)
- Risolve diversi problemi di sicurezza SMTP, tra cui i certificati TLS scaduti e la mancanza di supporto per i protocolli sicuri.
Reporting TLS: Monitoraggio delle lacune di recapito delle e-mail dopo l'installazione di MTA-STS
TLS-RPT (Transport Layer Security Reporting) è un protocollo che consente ai proprietari di domini di ricevere rapporti dettagliati sui guasti della crittografia TLS nelle comunicazioni e-mail. TLS Reporting funziona insieme a MTA-STS.
Le caratteristiche principali includono:
- Segnalazione degli errori: Fornisce rapporti dettagliati sui problemi di consegna o sui guasti causati da problemi TLS, come certificati scaduti o versioni TLS non aggiornate e guasti di crittografia TLS.
- Visibilità: Vi aiuta a monitorare i problemi relativi all'implementazione dell'MTA-STS e alla deliverability delle e-mail.
- Maggiore sicurezza delle e-mail: Grazie alla risoluzione degli errori relativi alle trattative di crittografia TLS non andate a buon fine, è possibile migliorare l'efficacia complessiva della configurazione dell'MTA-STS, prevenendo in modo più efficace gli attacchi informatici.
Installazione semplice di MTA-STS con PowerDMARC
MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e una manutenzione costante. L'analizzatore PowerDMARC analizzatore DMARC di PowerDMARC vi semplifica la vita gestendo tutto questo in background. Una volta che vi abbiamo aiutato a configurarlo, non dovrete più pensarci.
Con l'aiuto di PowerDMARC, è possibile distribuire MTA-STS in hosting nella vostra organizzazione senza dover gestire i certificati pubblici. Vi aiutiamo a:
- Aggiornate con un solo clic i criteri e le ottimizzazioni del vostro record senza dover accedere alle impostazioni DNS.
- Verificare la versione del criterio e la convalida del certificato
- Rilevare i guasti dell'applicazione dei criteri MTA-STS
- Ospitare il file di testo dei criteri MTA-STS
- Individuate più rapidamente i fallimenti delle connessioni, i successi delle connessioni e i problemi di connessione grazie a rapporti semplificati.
Iscrivetevi per imporre rapidamente l'invio di e-mail al vostro dominio tramite una connessione crittografata TLS e rendere la vostra connessione sicura contro MITM e altri attacchi informatici.
Esperto di sicurezza informatica, CEO di PowerDMARC
Maitham è un imprenditore tecnologico, esperto di sicurezza informatica, CEO e fondatore di PowerDMARC con oltre 15 anni di esperienza nel settore. Maitham ha conseguito un MBA presso l'Università di Manchester e varie certificazioni professionali, tra cui CISSP, CISM, CRISC e ISC2 CCSP.
Ultimi messaggi di Maitham Al Lawati (vedi tutti)
- Come creare e pubblicare un record DMARC - 3 marzo 2025
- Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
- Come leggere un rapporto DMARC - 19 gennaio 2025
