Uno standard Internet ampiamente conosciuto che facilita il miglioramento della sicurezza delle connessioni tra i server SMTP (Simple Mail Transfer Protocol) è l'SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). L'MTA-STS risolve i problemi esistenti nella sicurezza SMTP sicurezza della posta elettronica applicando la crittografia TLS in transito. La crittografia è facoltativa in SMTP, il che implica che le e-mail possono essere inviate in chiaro. MTA-STS consente ai fornitori di servizi di posta di applicare il Transport Layer Security (TLS) per proteggere le connessioni SMTP e di specificare se i server SMTP di invio devono rifiutarsi di consegnare le e-mail agli host MX che non supportano TLS con un certificato server affidabile. È stato dimostrato che riesce a mitigare gli attacchi di downgrade TLS e gli attacchi Man-In-The-Middle (MITM).
I punti chiave da prendere in considerazione
- Inizialmente l'SMTP mancava di sicurezza, ha ottenuto la crittografia opzionale tramite STARTTLS, ma è rimasto vulnerabile agli attacchi MITM e di downgrade.
- MTA-STS migliora la sicurezza delle e-mail imponendo la crittografia TLS per le comunicazioni da server a server, impedendo il ritorno al testo in chiaro.
- L'implementazione prevede un file di policy ospitato via HTTPS e un record DNS, che definisce le regole e i server di posta fidati.
- MTA-STS opera in modalità (Nessuna, Test, Applicazione) che consentono l'introduzione e l'applicazione graduale dei criteri di crittografia.
- TLS-RPT integra MTA-STS fornendo rapporti diagnostici sui guasti delle connessioni TLS, favorendo la risoluzione dei problemi e migliorando la deliverability.
Storia e origine dell'MTA-STS
Nel 1982, SMTP è stato specificato per la prima volta e non conteneva alcun meccanismo per fornire sicurezza a livello di trasporto per proteggere le comunicazioni tra gli agenti di trasferimento della posta. Tuttavia, nel 1999 è stato aggiunto a SMTP il comando STARTTLS, che a sua volta supportava la crittografia delle e-mail tra i server, fornendo la possibilità di convertire una connessione non sicura in una sicura, crittografata con il protocollo TLS.
In questo caso, vi starete chiedendo se SMTP ha adottato STARTTLS per proteggere le connessioni tra i server, perché è stato necessario il passaggio a MTA-STS e a cosa serve. Approfondiamo l'argomento nelle sezioni successive di questo blog!
Semplificate la sicurezza con PowerDMARC!
Che cos'è MTA-STS? (Mail Transfer Agent Strict Transport Security - Spiegazione)
MTA-STS è l'acronimo di Mail Transfer Agent - Strict Transport Security. Si tratta di uno standard di sicurezza che garantisce la trasmissione sicura delle e-mail attraverso una connessione SMTP crittografata. L'acronimo MTA sta per Message Transfer Agent, un programma che trasferisce i messaggi e-mail tra i computer. L'acronimo STS sta per Strict Transport Security, che è il protocollo utilizzato per implementare lo standard. Un agente di trasferimento della posta (MTA) o un agente di trasferimento sicuro dei messaggi (SMTA) consapevole di MTA-STS opera in conformità a questa specifica e fornisce un canale end-to-end sicuro per l'invio di e-mail su reti non protette.
Il protocollo MTA-STS consente a un client SMTP di verificare l'identità del server e di assicurarsi che non si stia collegando a un impostore, richiedendo al server di fornire l'impronta digitale del suo certificato nell'handshake TLS. Il client verifica quindi il certificato con un archivio di fiducia contenente certificati di server noti.
Introduzione alla sicurezza e-mail MTA-STS
MTA-STS è stato introdotto per colmare il divario di sicurezza nelle comunicazioni SMTP. Come standard di sicurezza, MTA-STS garantisce la trasmissione sicura delle e-mail attraverso una connessione SMTP crittografata.
L'acronimo MTA sta per Message Transfer Agent, un programma che trasferisce i messaggi di posta elettronica tra i computer. L'acronimo STS sta per Strict Transport Security, che è il protocollo utilizzato per implementare lo standard. Un agente di trasferimento della posta (MTA) o un agente di trasferimento sicuro dei messaggi (SMTA) consapevole di MTA-STS opera in conformità a questa specifica e fornisce un canale end-to-end sicuro per l'invio di e-mail su reti non protette.
Il protocollo MTA-STS consente a un client SMTP di verificare l'identità del server e di assicurarsi che non si stia collegando a un impostore, richiedendo al server di fornire l'impronta digitale del suo certificato nell'handshake TLS. Il client verifica quindi il certificato con un archivio di fiducia contenente certificati di server noti.
La necessità di passare alla crittografia TLS forzata
STARTTLS non era perfetto e non è riuscito a risolvere due problemi principali: il primo è che si tratta di una misura opzionale, quindi STARTTLS non riesce a prevenire gli attacchi man-in-the-middle (MITM). Questo perché un attaccante MITM può facilmente modificare una connessione e impedire l'aggiornamento della crittografia. Il secondo problema è che, anche se STARTTLS è implementato, non c'è modo di autenticare l'identità del server di invio, come avviene con SMTP non convalidano i certificati.
Mentre la maggior parte dei messaggi di posta elettronica in uscita è oggi protetta da sicurezza del livello di trasporto (TLS) uno standard di settore adottato anche dalle e-mail dei consumatori, gli aggressori possono comunque ostacolare e manomettere le e-mail anche prima che vengano crittografate. Poiché è stato necessario modificare la sicurezza di SMTP per assicurarsi che fosse retrocompatibile, aggiungendo il comando STARTTLS per avviare la crittografia TLS, nel caso in cui il client non supporti TLS la comunicazione torna in chiaro. In questo modo le e-mail in transito possono essere preda di attacchi di monitoraggio pervasivi come il MITM, in cui i criminali informatici possono origliare i messaggi e alterare e manomettere le informazioni sostituendo o eliminando il comando di crittografia (STARTTLS), facendo tornare la comunicazione in chiaro. Un aggressore MITM può semplicemente sostituire il comando STARTTLS con una stringa spazzatura che il client non riesce a identificare. Pertanto, il client torna prontamente a inviare l'e-mail in chiaro. Se non trasportate le vostre e-mail su una connessione sicura, i vostri dati potrebbero essere compromessi o addirittura modificati e manomessi da un cyber-attaccante.
È qui che MTA-STS interviene e risolve questo problema, garantendo un transito sicuro per le vostre e-mail e mitigando con successo gli attacchi MITM. MTA-STS impone che le e-mail vengano trasferite attraverso un percorso criptato TLS e, nel caso in cui non sia possibile stabilire una connessione criptata, l'e-mail non viene consegnata affatto, invece di essere consegnata in chiaro. Inoltre, gli MTA memorizzano i file dei criteri MTA-STS, rendendo più difficile per gli aggressori lanciare un attacco di spoofing DNS. attacco di spoofing DNS. L'obiettivo principale è migliorare la sicurezza a livello di trasporto durante la comunicazione SMTP e garantire la privacy del traffico e-mail. Inoltre, la crittografia dei messaggi in entrata e in uscita migliora la sicurezza delle informazioni, utilizzando la crittografia per salvaguardare le informazioni elettroniche.
Configurazione di MTA-STS con PowerDMARC!
Come funziona MTA-STS?
Il protocollo MTA-STS viene implementato mediante un record DNS che specifica che un server di posta può recuperare un file di criteri da un sottodominio specifico. Questo file di criteri viene recuperato tramite HTTPS e autenticato con certificati, insieme all'elenco dei nomi dei server di posta del destinatario. L'implementazione dell'MTA-STS è più semplice dal lato del destinatario rispetto a quello dell'invio, poiché deve essere supportata dal software del server di posta. Alcuni server di posta supportano MTA-STS, come ad esempio PostFixnon tutti lo supportano. MTA-STS consente ai server di indicare che supportano TLS, il che consente loro di non chiudere (cioè di non inviare l'e-mail) se la negoziazione dell'aggiornamento TLS non ha luogo, rendendo così impossibile un attacco di downgrade TLS.
I principali fornitori di servizi di posta come Microsoft, Oath e Google supportano MTA-STS. Gmail di Google ha già adottato le politiche MTA-STS in tempi recenti. MTA-STS ha rimosso gli inconvenienti nella sicurezza delle connessioni e-mail, rendendo il processo di protezione delle connessioni facile e accessibile per i server di posta supportati.
Le connessioni dagli utenti ai server di posta sono solitamente protette e crittografate con il protocollo TLS, tuttavia, nonostante ciò, prima dell'implementazione di MTA-STS, esisteva una mancanza di sicurezza nelle connessioni tra i server di posta. Con l'aumento della consapevolezza della sicurezza della posta elettronica negli ultimi tempi e il supporto dei principali provider di posta in tutto il mondo, si prevede che la maggior parte delle connessioni ai server sarà criptata nel prossimo futuro. Inoltre, l'MTA-STS garantisce efficacemente che i criminali informatici sulle reti non siano in grado di leggere il contenuto delle e-mail.
Il file di politica MTA-STS
Il file dei criteri MTA-STS è un file di configurazione MTA-STS in testo semplice ospitato sul server web di un dominio sotto un URL HTTPS: Definisce le regole per stabilire connessioni sicure tra i server di posta, applicare la crittografia TLS e specificare le azioni da intraprendere se non è possibile stabilire una connessione sicura.
https://mta-sts.<domain>//.well-known/mta-sts.txt
Struttura del file dei criteri MTA-STS
Campi | Descrizione | Esempio |
versione | La versione del formato del criterio MTA-STS | STS1 |
modalità | Il livello di applicazione dei criteri è disponibile in 3 opzioni: nessuno, verifica e applica. | test |
mx | Un elenco dei server Mail Exchange (MX) validi del dominio. | mail.domain.com |
età massima | La durata in secondi per la quale il criterio deve essere memorizzato nella cache dai server di posta esterni. | 86400 |
Esempio di criterio MTA-STS
versione: STSv1
modalità: applicare
mx: mail.example.com
mx: backupmail.example.com
max_age: 86400
Prerequisiti per la distribuzione di MTA-STS
Prima di iniziare la configurazione di MTA-STS, è necessario disporre di quanto segue:
- Un nome di dominio registrato
- Certificati TLS validi
- I certificati TLS devono essere emessi da una CA affidabile.
- I certificati devono essere aggiornati e non scaduti
- Deve essere almeno un TLS versione 1.2 o superiore.
- Un record DNS TXT per MTA-STS
- Server web HTTPS
- Server di posta configurato per utilizzare TLS
- Il nome host del server di posta corrisponde alle voci del campo mx del file dei criteri.
- Un ambiente di test o un servizio MTA-STS in hosting per monitorare i log e apportare le modifiche necessarie.
Passi per impostare MTA-STS per il proprio dominio
Per configurare l'MTA-STS per il vostro dominio, potete seguire i passaggi indicati di seguito:
- Verificare se il dominio ha configurazioni MTA-STS esistenti. Se utilizzate Google Workspace per le vostre e-mail, potete farlo facilmente con l'aiuto di questa guida guida.
- Creare e pubblicare un criterio MTA-STS, configurato separatamente per ogni dominio. Il file dei criteri MTA-STS definisce i server di posta elettronica abilitati a MTA-STS utilizzati da quel dominio.
- Dopo aver creato il file dei criteri, è necessario caricarlo su un server web pubblico, facilmente accessibile da server remoti.
- Infine, creare e pubblicare il record DNS MTA-STS (record TXT "_mta-sts") per indicare ai server di ricezione che le e-mail devono essere crittografate con TLS per essere considerate autentiche e che l'accesso alla casella di posta del destinatario deve essere consentito solo se la prima condizione è vera.
Una volta che si dispone di un file di criterio attivo, i server di posta esterni non consentiranno l'accesso alle e-mail senza una connessione sicura.
3 Modalità dei criteri MTA-STS: Nessuna, Test e Applicazione
I tre valori disponibili per le modalità dei criteri MTA-STS sono i seguenti:
- Nessuno: Questo criterio annulla la configurazione di MTA-STS poiché i server esterni considereranno il protocollo inattivo per il dominio.
- Prova: Con questo criterio, le e-mail trasferite su una connessione non crittografata non verranno rifiutate; al contrario, con TLS-RPT abilitato si continueranno a ricevere i rapporti TLS sul percorso di consegna e sul comportamento delle e-mail.
- Forza: Infine, se si attiva il criterio Enforce, i messaggi di posta elettronica trasferiti tramite una connessione SMTP non crittografata verranno rifiutati dal server.
MTA-STS offre una protezione contro :
- Attacchi al ribasso
- Attacchi Man-In-The-Middle (MITM)
- Risolve diversi problemi di sicurezza SMTP, tra cui i certificati TLS scaduti, la mancanza di supporto per i protocolli sicuri e i certificati non emessi da terze parti affidabili.
Reporting TLS: Monitoraggio delle lacune di recapito delle e-mail dopo l'installazione di MTA-STS
TLS-RPT (Transport Layer Security Reporting) è un protocollo che consente ai proprietari di domini di ricevere rapporti dettagliati sui guasti della crittografia TLS nelle comunicazioni e-mail. TLS Reporting funziona insieme a MTA-STS. Consente di segnalare i problemi di connettività TLS riscontrati dalle applicazioni che inviano e-mail e di rilevare le configurazioni errate. Consente di segnalare i problemi di consegna delle e-mail che si verificano quando un'e-mail non è crittografata con TLS. Nel settembre 2018 lo standard è stato documentato per la prima volta nella RFC 8460.
Le caratteristiche principali includono:
- Segnalazione degli errori: Fornisce rapporti dettagliati sui problemi di consegna o sui guasti causati da problemi TLS, come certificati scaduti o versioni TLS non aggiornate e guasti di crittografia TLS. Non appena si abilita TLS-RPT, gli agenti di trasferimento della posta conformi inizieranno a inviare rapporti diagnostici sui problemi di consegna delle e-mail tra i server comunicanti al dominio e-mail designato. I rapporti vengono inviati in genere una volta al giorno e riguardano e trasmettono i criteri MTA-STS osservati dai mittenti, le statistiche sul traffico e le informazioni sui guasti o sui problemi di consegna delle e-mail.
- Visibilità: Vi aiuta a monitorare i problemi relativi all'implementazione dell'MTA-STS e alla deliverability delle e-mail. TLS-RPT fornisce una maggiore visibilità su tutti i canali e-mail, in modo da ottenere una migliore comprensione di tutto ciò che accade nel vostro dominio, compresi i messaggi che non vengono consegnati.
- Maggiore sicurezza delle e-mail: Grazie alla risoluzione degli errori relativi alle trattative di crittografia TLS non andate a buon fine, è possibile migliorare l'efficacia complessiva della propria configurazione MTA-STS, prevenendo in modo più efficace gli attacchi informatici. Inoltre, fornisce rapporti diagnostici approfonditi che consentono di identificare e individuare la radice del problema di consegna delle e-mail e di risolverlo senza ritardi.
Installazione semplice di MTA-STS con PowerDMARC
MTA-STS richiede un server web abilitato HTTPS con un certificato valido, record DNS e una manutenzione costante. L'implementazione di MTA-STS può essere un compito arduo che comporta complessità in fase di adozione. Dalla generazione dei file e dei record dei criteri alla manutenzione del server web e dei certificati di hosting, si tratta di un processo lungo. L'analizzatore PowerDMARC analizzatore DMARC di PowerDMARC vi semplifica notevolmente la vita, gestendo tutto questo in background. Una volta che vi abbiamo aiutato a configurarlo, non dovrete più pensarci.
Con l'aiuto di PowerDMARC, è possibile distribuire MTA-STS in hosting nella vostra organizzazione senza dover gestire i certificati pubblici. Vi aiutiamo a:
- Pubblica i tuoi record DNS CNAME con pochi clic
- Aggiornate con un solo clic i criteri e le ottimizzazioni del vostro record senza dover accedere alle impostazioni DNS.
- Verificare la versione del criterio e la convalida del certificato
- Rilevare i guasti dell'applicazione dei criteri MTA-STS
- Ospitare il file di testo dei criteri MTA-STS
- Assumere la responsabilità della manutenzione del server web della politica e dell'hosting dei certificati.
- Individuate più rapidamente i fallimenti delle connessioni, i successi delle connessioni e i problemi di connessione grazie a rapporti semplificati.
- Garantire la conformità RFC e il supporto degli ultimi standard TLS.
PowerDMARC rende il processo di implementazione di SMTP TLS Reporting (TLS-RPT) facile e veloce. Convertiamo i complicati file JSON contenenti i vostri rapporti sui problemi di consegna delle e-mail in documenti semplici e leggibili (per risultato e per fonte di invio) di facile comprensione.
Iscrivetevi per imporre rapidamente l'invio di e-mail al vostro dominio tramite una connessione crittografata TLS e rendere la vostra connessione sicura contro gli attacchi MITM e altri attacchi informatici.
"`
- Come creare e pubblicare un record DMARC - 3 marzo 2025
- Come risolvere il problema "Nessun record SPF trovato" nel 2025 - 21 gennaio 2025
- Come leggere un rapporto DMARC - 19 gennaio 2025