MTA-STS( 메일 전송 에이전트-엄격한 전송 보안)는 TLS(전송 계층 보안) 를 적용할 수 있는 메일 서비스 제공업체가 SMTP 연결을 보호하고, 보내는 SMTP 서버가 신뢰할 수 있는 서버 인증서로 TLS를 제공하지 않는 MX 호스트에 이메일 전송을 거부할지 여부를 지정할 수 있는 새로운 표준입니다. 이 기능은 TLS 다운그레이드 공격과 중간자(MITM) 공격을 성공적으로 완화하는 것으로 입증되었습니다.
간단히 말해서, MTA-STS는 SMTP 메일 서버 간의 연결을 보호하는 인터넷 표준입니다. SMTP의 가장 두드러진 문제점은 암호화가 완전히 선택 사항이며 메일 전송 중에 강제 적용되지 않는다는 것입니다. 이것이 바로 SMTP가 일반 텍스트에서 암호화로 업그레이드하기 위해 STARTTLS 명령을 채택한 이유입니다. 이는 수동 공격을 완화하기 위한 중요한 조치였지만, 활성 네트워크를 통한 공격과 MITM 공격은 여전히 해결되지 않은 채로 남아있었습니다.
따라서 MTA-STS가 해결하고 있는 문제는 SMTP가 기회 암호화, 즉 암호화된 통신 채널을 설정할 수 없는 경우 연결이 평문으로 되돌아가기 때문에 MITM 및 다운그레이드 공격을 차단할 수 있다는 점입니다.
TLS 다운그레이드 공격이란 무엇인가요?
이미 알고 있듯이 SMTP에는 암호화 프로토콜이 포함되어 있지 않았으며, 나중에 STARTTLS 명령을 추가하여 기존 프로토콜의 보안을 강화하기 위해 암호화를 추가해야 했습니다. 클라이언트가 암호화(TLS)를 지원하는 경우, 클라이언트는 STARTTLS 동사를 이해하고 이메일을 보내기 전에 TLS 교환을 시작하여 이메일이 암호화되었는지 확인합니다. 클라이언트가 TLS를 모르는 경우 STARTTLS 명령을 무시하고 일반 텍스트로 이메일을 전송합니다.
따라서 암호화를 SMTP 프로토콜에 다시 적용해야 했기 때문에 암호화된 전송을 위한 업그레이드는 일반 텍스트로 전송되는 STARTTLS 명령에 의존해야 합니다. MITM 공격자는 업그레이드 명령을 변조하여 SMTP 연결에 대한 다운그레이드 공격을 수행함으로써 이 기능을 쉽게 악용할 수 있습니다. 공격자는 STARTTLS를 클라이언트가 식별하지 못하는 가비지 문자열로 대체하기만 하면 됩니다. 따라서 클라이언트는 쉽게 일반 텍스트로 이메일을 보내는 것으로 되돌아갑니다.
공격자는 일반적으로 패킷 크기를 보존하고 더 쉽게 공격할 수 있도록 명령을 버리지 않고 같은 수의 문자가 포함된 가비지 문자열로 대체합니다. 옵션 명령의 가비지 문자열에 포함된 8개의 문자를 통해 사이버 범죄자가 TLS 다운그레이드 공격을 실행했음을 감지하고 식별할 수 있으며, 그 유행을 측정할 수 있습니다.
즉, 다운그레이드 공격은 종종 MITM 공격의 일부로 시작되며, 최신 버전의 TLS 프로토콜을 통해 암호화된 연결의 경우 불가능했던 암호화 공격을 가능하게 하는 경로를 만들기 위해 STARTTLS 명령을 대체하거나 삭제하고 통신을 일반 텍스트로 롤백하는 방식으로 이루어집니다.
클라이언트-서버 간 통신의 경우 앱과 서버가 이를 지원한다는 것을 알고 있기 때문에 TLS를 적용할 수 있습니다. 그러나 서버 간 통신의 경우 레거시 서버가 이메일을 보낼 수 있도록 허용하려면 연결이 실패해야 합니다. 문제의 핵심은 상대방의 서버가 TLS를 지원하는지 여부를 알 수 없다는 것입니다. MTA-STS를 사용하면 서버가 TLS를 지원한다고 표시할 수 있으며, 업그레이드 협상이 이루어지지 않을 경우 서버가 실패 닫기 (즉, 이메일을 보내지 않음)를 수행할 수 있으므로 TLS 다운그레이드 공격이 발생할 수 없습니다.
MTA-STS는 어떻게 구출하나요?
MTA-STS는 EXO 또는 Exchange Online 이메일 보안을 강화하는 기능을 하며, 광범위한 SMTP 보안 단점 및 문제에 대한 궁극적인 솔루션입니다. 보안 프로토콜에 대한 지원 부족 , 만료된 TLS 인증서, 신뢰할 수 있는 타사에서 발급하지 않은 인증서와 같은 SMTP 보안 문제를 해결합니다.
메일 서버가 이메일을 발송할 때 SMTP 연결은 다운그레이드 공격 및 MITM과 같은 암호화 공격에 취약합니다. 다운그레이드 공격은 STARTTLS 응답을 삭제하여 메시지를 일반 텍스트로 전달함으로써 시작될 수 있습니다. 마찬가지로, 안전하지 않은 연결을 통해 서버 침입자에게 메시지를 리디렉션하여 MITM 공격을 시작할 수도 있습니다. MTA-STS를 사용하면 도메인에서 암호화된 TLS가 포함된 이메일 전송을 의무화하는 정책을 게시할 수 있습니다. 어떤 이유로 수신 서버가 STARTTLS를 지원하지 않는 것으로 확인되면 이메일이 전혀 전송되지 않습니다. 따라서 TLS 다운그레이드 공격이 불가능합니다.
최근 대부분의 메일 서비스 제공업체는 MTA-STS를 채택하여 서버 간 연결을 더욱 안전하게 하고 업데이트된 버전의 TLS 프로토콜을 통해 암호화함으로써 TLS 다운그레이드 공격을 성공적으로 완화하고 서버 통신의 허점을 무효화했습니다.
PowerDMARC는 유효한 인증서가 있는 HTTPS 지원 웹 서버, DNS 레코드 및 지속적인 유지 관리와 같이 구현 중 및 구현 후에 MTA-STS에 필요한 모든 사양을 처리하므로 빠르고 쉬운 호스팅 MTA-STS 서비스를 제공하여 사용자의 삶을 훨씬 더 쉽게 만들어 줍니다. PowerDMARC는 이 모든 것을 백그라운드에서 완벽하게 관리하므로 설정을 도와드리고 나면 다시는 고민할 필요가 없습니다!
PowerDMARC의 도움으로 번거로움 없이 매우 빠른 속도로 조직에 호스팅된 MTA-STS를 배포할 수 있으며, 이를 통해 이메일이 TLS 암호화 연결을 통해 도메인으로 전송되도록 하여 연결을 안전하게 보호하고 TLS 다운그레이드 공격을 차단할 수 있습니다.
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일