암호화 tls

메일 전송 에이전트-엄격한 전송 보안(MTA-STS)

이름에서 알 수 있듯이 MTA-STS는 두 SMTP 메일 서버 간에 메시지를 암호화하여 전송할 수 있는 프로토콜입니다. MTA-STS는 보내는 서버에 TLS 암호화 연결을 통해서만 이메일을 전송하도록 지정하며, STARTTLS 명령을 통해 보안 연결이 설정되지 않은 경우에는 전혀 전달되지 않도록 합니다. 전송 중인 이메일의 보안을 강화함으로써 MTA-STS는 SMTP 다운그레이드 공격 및 DNS 스푸핑 공격과 같은 중간자 공격(MITM)을 완화하는 데 도움이 됩니다.

MTA-STS는 전송 중인 메시지의 암호화를 어떻게 보장하나요?

이메일 흐름 중에 메시지가 어떻게 암호화되는지 이해하기 위해 간단한 예를 들어 보겠습니다. MTA가 다음 주소로 이메일을 보내는 경우 [email protected]로 이메일을 보내는 경우 MTA는 DNS 쿼리를 수행하여 이메일을 보내야 하는 MTA를 찾습니다. DNS 요청은 powerdmarc.com의 MX 레코드를 가져오기 위해 전송됩니다. 이후 발신 MTA는 DNS 쿼리 결과에서 찾은 수신 MTA에 연결하여 이 수신 서버가 TLS 암호화를 지원하는지 여부를 조회합니다. 암호화를 지원하는 경우 이메일은 암호화된 연결을 통해 전송되지만, 지원하지 않는 경우 발신 MTA는 보안 연결 협상에 실패하고 일반 텍스트로 이메일을 전송합니다.

암호화되지 않은 경로를 통해 이메일을 전송하면 MITM 및 SMTP 다운그레이드와 같은 만연한 모니터링 공격에 노출될 수 있습니다. 그 방법을 알아보세요:

MITM 공격의 구조 분석

기본적으로 MITM 공격은 공격자가 TLS 암호화 없이 보안 연결을 보안되지 않은 연결로 롤백하기 위해 STARTTLS 명령을 대체하거나 삭제할 때 발생합니다. 이를 다운그레이드 공격이라고 합니다. 다운그레이드 공격이 성공적으로 수행되면 공격자는 아무런 방해 없이 이메일 콘텐츠에 액세스하여 볼 수 있습니다.

또한 MITM 공격자는 DNS 쿼리 응답의 MX 레코드를 자신이 액세스하고 제어할 수 있는 메일 서버로 대체할 수 있습니다. 이 경우 메일 전송 에이전트는 이메일을 공격자의 서버로 전달하여 공격자가 이메일 콘텐츠에 액세스하고 변조할 수 있도록 합니다. 이후 이메일은 탐지되지 않고 의도한 수신자의 서버로 전달될 수 있습니다. 이를 DNS 스푸핑 공격이라고 합니다.

자주 묻는 질문

PowerDMARC의 제어판을 사용하면 도메인의 DNS에 CNAME 레코드 3개만 게시하여 도메인에 대한 MTA-STS 및 TLS-RPT를 자동으로 설정할 수 있습니다. MTA-STS 정책 파일 및 인증서 호스팅부터 웹 서버 유지 관리까지, DNS를 변경할 필요 없이 모든 것을 백그라운드에서 처리합니다. 몇 번의 클릭만으로 PowerDMARC를 사용하여 MTA-STS를 배포할 수 있습니다.

단일 창을 통해 모든 도메인에 대해 MTA-STS를 배포하고 관리할 수 있습니다. 이러한 도메인 중 STARTTLS를 지원하지 않는 수신 메일 서버를 사용하는 도메인이 있는 경우 해당 도메인에 대해 TLS-RPT를 사용하도록 설정한 경우 TLS 보고서에 해당 도메인이 반영됩니다.

MTA-STS 정책 모드는 항상 다음과 같이 설정하는 것이 좋습니다. 테스트 로 설정하여 배포 초기 단계에서 활동을 모니터링하고 이메일 에코시스템에 대한 가시성을 확보한 후 적용과 같은 보다 적극적인 정책으로 전환하는 것이 좋습니다. 이렇게 하면 이메일이 TLS 암호화 연결을 통해 전송되지 않더라도 일반 텍스트로 전송됩니다. 단, 이러한 경우 알림을 받으려면 TLS-RPT를 사용하도록 설정해야 합니다.

TLS-RPT는 보안 연결이 설정되지 않아 이메일이 전달되지 않은 경우 알림을 받을 수 있는 광범위한 보고 메커니즘입니다. 이를 통해 이메일 전송 또는 보안되지 않은 연결을 통해 전달된 이메일의 문제를 감지하여 문제를 즉시 완화하고 해결할 수 있습니다.

MTA-STS는 이메일이 TLS 암호화 연결을 통해 전송되도록 보장하지만, 보안 연결이 협상되지 않을 경우 이메일이 전혀 전달되지 않을 수 있다는 점에 유의해야 합니다. 그러나 이는 이메일이 암호화되지 않은 경로를 통해 전달되지 않도록 하기 때문에 반드시 필요합니다. 이러한 문제를 방지하려면 테스트 모드에서 MTA-STS 정책을 설정하고 도메인에 대해 처음에 TLS-RPT를 사용하도록 설정한 후 MTA-STS 적용 모드로 진행하는 것이 좋습니다. 

DNS를 변경할 필요 없이 원하는 정책 모드를 선택하고 변경 사항을 저장하여 PowerMTA-STS 대시보드에서 MTA-STS 모드를 쉽게 변경할 수 있습니다.

정책 모드를 없음으로 설정하여 도메인이 프로토콜을 지원하지 않는다고 MTA에 지정하거나 MTA-STS DNS TXT 레코드를 삭제하여 도메인에 대한 MTA-STS를 해제할 수 있습니다. 

MTA-STS 정책 파일의 MX 레코드에는 도메인에서 사용 중인 모든 수신 메일 서버에 대한 항목이 포함되어야 합니다.