Mail Transfer Agent-Strict Transport Security (MTA-STS) è un nuovo standard che permette ai fornitori di servizi di posta di applicare Transport Layer Security (TLS) per proteggere le connessioni SMTP, e di specificare se i server SMTP di invio devono rifiutarsi di consegnare le email agli host MX che non offrono TLS con un certificato server affidabile. È stato dimostrato che mitiga con successo gli attacchi di downgrade TLS e gli attacchi Man-In-The-Middle (MITM).

In termini più semplici, MTA-STS è uno standard internet che protegge le connessioni tra i server di posta SMTP. Il problema più evidente di SMTP è che la crittografia è completamente opzionale e non viene applicata durante il trasferimento della posta. Questo è il motivo per cui SMTP ha adottato il comando STARTTLS per passare dal testo in chiaro alla crittografia. Questo è stato un passo prezioso per mitigare gli attacchi passivi, tuttavia, affrontare gli attacchi tramite reti attive e gli attacchi MITM è rimasto ancora senza risposta.

Quindi, il problema che MTA-STS sta risolvendo è che SMTP utilizza la crittografia opportunistica, cioè se un canale di comunicazione criptato non può essere stabilito, la connessione ricade in chiaro, tenendo così a bada gli attacchi MITM e downgrade.

Cos'è un attacco TLS Downgrade?

Come già sappiamo, SMTP non è arrivato con un protocollo di crittografia e la crittografia ha dovuto essere adattata in seguito per migliorare la sicurezza del protocollo esistente aggiungendo il comando STARTTLS. Se il client supporta la crittografia (TLS), capirà il verbo STARTTLS e inizierà uno scambio TLS prima di inviare l'email per assicurarsi che sia criptata. Se il client non conosce TLS, semplicemente ignorerà il comando STARTTLS e invierà l'email in chiaro.

Pertanto, poiché la crittografia doveva essere inserita nel protocollo SMTP, l'aggiornamento per la consegna crittografata deve basarsi su un comando STARTTLS che viene inviato in chiaro. Un attaccante MITM può facilmente sfruttare questa caratteristica eseguendo un attacco di downgrade sulla connessione SMTP manomettendo il comando di aggiornamento. L'attaccante ha semplicemente sostituito lo STARTTLS con una stringa spazzatura che il client non riesce a identificare. Pertanto, il client ricade prontamente nell'invio dell'e-mail in chiaro.

L'attaccante di solito sostituisce il comando con la stringa spazzatura contenente lo stesso numero di caratteri, piuttosto che buttarla via, perché questo preserva la dimensione del pacchetto e quindi lo rende più facile. Le otto lettere della stringa spazzatura nel comando dell'opzione ci permettono di rilevare e identificare che un attacco TLS downgrade è stato eseguito da un criminale informatico, e possiamo misurarne la prevalenza.

In breve, un attacco di downgrade è spesso lanciato come parte di un attacco MITM, in modo da creare un percorso per abilitare un attacco crittografico che non sarebbe possibile nel caso di una connessione criptata sull'ultima versione del protocollo TLS, sostituendo o eliminando il comando STARTTLS e facendo tornare la comunicazione in chiaro.

Mentre è possibile imporre TLS per le comunicazioni client-to-server, poiché per quelle connessioni sappiamo che le applicazioni e il server lo supportano. Tuttavia, per le comunicazioni da server a server, dobbiamo fallire open per permettere ai server legacy di inviare email. Il nocciolo del problema è che non abbiamo idea se il server dall'altra parte supporti TLS o meno. MTA-STS permette ai server di indicare che supportano TLS, il che permetterà loro di fallire in chiusura (cioè di non inviare l'email) se la negoziazione di aggiornamento non avviene, rendendo così impossibile un attacco di downgrade TLS.

segnalazione tls

Come fa MTA-STS a venire in soccorso?

MTA-STS funziona aumentando la sicurezza delle e-mail EXO o Exchange Online ed è la soluzione definitiva a una vasta gamma di problemi e svantaggi della sicurezza SMTP. Risolve i problemi di sicurezza SMTP come la mancanza di supporto per i protocolli sicuri, i certificati TLS scaduti e i certificati che non sono emessi da terze parti affidabili.

Mentre i server di posta procedono all'invio di e-mail, la connessione SMTP è vulnerabile agli attacchi crittografici come gli attacchi di downgrade e MITM. Gli attacchi di downgrade possono essere lanciati cancellando la risposta STARTTLS, consegnando così il messaggio in chiaro. Allo stesso modo, gli attacchi MITM possono essere lanciati reindirizzando il messaggio a un intruso del server su una connessione insicura. MTA-STS permette al vostro dominio di pubblicare una policy che rende obbligatorio l'invio di una mail con TLS criptato. Se per qualche motivo il server ricevente non supporta STARTTLS, l'email non sarà inviata affatto. Questo rende impossibile istigare un attacco di downgrade TLS.

Negli ultimi tempi, la maggior parte dei fornitori di servizi di posta ha adottato MTA-STS rendendo così le connessioni tra i server più sicure e criptate sul protocollo TLS di una versione aggiornata, mitigando così con successo gli attacchi TLS downgrade e annullando le falle nella comunicazione tra i server.

PowerDMARC vi offre servizi MTA-STS in hosting facili e veloci che rendono la vostra vita molto più facile, poiché ci prendiamo cura di tutte le specifiche richieste da MTA-STS durante e dopo l'implementazione, come un server web abilitato HTTPS con un certificato valido, record DNS e manutenzione costante. PowerDMARC gestisce tutto questo completamente in background in modo che dopo avervi aiutato a configurarlo, non dovrete mai più pensarci!

Con l'aiuto di PowerDMARC, è possibile implementare Hosted MTA-STS nella vostra organizzazione senza problemi e ad un ritmo molto veloce, con l'aiuto del quale è possibile imporre l'invio di e-mail al vostro dominio su una connessione criptata TLS, rendendo così la connessione sicura e tenendo a bada gli attacchi TLS downgrade.