Garantire la consegna sicura delle e-mail con MTA-STS

L'hosted MTA-STS di PowerDMARC vi aiuta a configurare MTA-STS correttamente e con facilità. La maggior parte delle e-mail oggi è protetta con la crittografia Transport Layer Security(TLS), uno standard di settore adottato anche dalle e-mail dei consumatori. Ma gli aggressori possono intercettare le tue e-mail anche prima che vengano crittografate. Se la tua email non viene trasportata su una connessione sicura, i tuoi dati potrebbero essere rubati o addirittura modificati da un aggressore. Mail Transfer Agent-Strict Transport Security (MTA-STS) risolve questo problema, garantendo un transito sicuro per le tue e-mail.

Come funziona la crittografia TLS?

Quando invii un'email dal tuo dominio, il tuo Mail Transfer Agent (MTA) esegue una query al server ricevente per controllare se supporta il comando STARTTLS. Quando il tuo MTA conferma che il destinatario supporta STARTTLS, passa a una connessione criptata e invia l'e-mail in modo sicuro.

Ma un attaccante può interrompere questo processo, reindirizzando l'e-mail a un server controllato da loro, o far fallire la query STARTTLS, spingendo il vostro MTA a inviare l'e-mail su una connessione non criptata. In entrambi i casi, l'attaccante può avere accesso totale alle vostre e-mail.

Come funziona la crittografia TLS?

Perché MTA-STS?

MTA-Strict Transport Security (MTA-STS) è un protocollo di sicurezza progettato per mitigare entrambi gli attacchi MITM. Ecco come lo fa:

  • Uso di server abilitati HTTPS

I record MX, che il vostro MTA interroga tramite DNS, vengono confrontati con i record memorizzati nel file di policy MTA-STS, che vengono recuperati tramite HTTPS. Gli MTA memorizzano anche i file di policy MTA-STS nella cache, il che rende un attacco di spoofing DNS molto più difficile da portare a termine.

  • TLS obbligatorio

MTA-STS permette al vostro dominio di pubblicare una policy che rende obbligatorio l'invio di email con TLS criptato. Se per qualche motivo il server ricevente non supporta STARTTLS, l'email non sarà inviata affatto. Questo rende impossibile eseguire un downgrade SMTP.