I 1982, da SMTP først ble spesifisert, inneholdt den ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-post mellom serverne, noe som gir muligheten til å konvertere en usikker tilkobling til en sikker som er kryptert ved hjelp av TLS-protokoll.

Kryptering er imidlertid valgfri i SMTP, noe som innebærer at e -post kan sendes selv i ren tekst. Mail Transfer Agent-Strict Transport Security (MTA-STS) er en relativt ny standard som gir e-postleverandører muligheten til å håndheve Transport Layer Security (TLS) for å sikre SMTP-tilkoblinger, og angi om de sender SMTP-serverne skal nekte å levere e-post til MX -verter som ikke tilbyr TLS med et pålitelig serversertifikat. Det har vist seg å lykkes med å redusere TLS-nedgraderingsangrep og Man-In-The-Middle (MITM) -angrep. SMTP TLS-rapportering (TLS-RPT) er en standard som muliggjør rapportering av problemer i TLS-tilkobling som oppleves av applikasjoner som sender e-post og oppdager feilkonfigurasjoner. Det muliggjør rapportering av e -postleveringsproblemer som oppstår når en e -post ikke er kryptert med TLS. I september 2018 ble standarden først dokumentert i RFC 8460.

Hvorfor krever e -postene dine kryptering i transitt?

Hovedmålet er å forbedre transportnivået under SMTP-kommunikasjon og sikre personvernet til e-posttrafikk. Videre forbedrer kryptering av innkommende og utgående meldinger informasjonssikkerheten ved å bruke kryptografi for å beskytte elektronisk informasjon. Videre har kryptografiske angrep som Man-In-The-Middle (MITM) og TLS Downgrade blitt stadig mer populær i nyere tid og har blitt en vanlig praksis blant cyberkriminelle, som kan unngås ved å håndheve TLS-kryptering og utvide støtten til sikre protokoller.

Hvordan startes et MITM -angrep?

Siden kryptering måtte ettermonteres i SMTP -protokollen, må oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan enkelt utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen, og tvinge klienten til å gå tilbake til å sende e -posten i ren tekst.

Etter å ha snappet opp kommunikasjonen kan en MITM -angriper enkelt stjele den dekrypterte informasjonen og få tilgang til innholdet i e -posten. Dette er fordi SMTP er bransjestandarden for postoverføring, bruker opportunistisk kryptering, noe som innebærer at kryptering er valgfri og e -post fortsatt kan leveres i klartekst.

Hvordan starter et TLS -nedgraderingsangrep?

Siden kryptering måtte ettermonteres i SMTP -protokollen, må oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen. Angriperen kan ganske enkelt erstatte STARTTLS med en streng som klienten ikke klarer å identifisere. Derfor faller klienten lett tilbake til å sende e -posten i ren tekst.

Kort sagt, et nedgraderingsangrep blir ofte lansert som en del av et MITM -angrep, for å lage en vei for å muliggjøre et angrep som ikke ville være mulig i tilfelle en forbindelse som er kryptert over den siste versjonen av TLS -protokollen, ved å erstatte eller slette STARTTLS -kommandoen og tilbakestille kommunikasjonen til klar tekst.

Bortsett fra å forbedre informasjonssikkerheten og dempe gjennomgripende overvåkingsangrep, løser kryptering av meldinger i transitt også flere SMTP -sikkerhetsproblemer.

Oppnå tvungen TLS-kryptering av e-post med MTA-STS

Hvis du ikke klarer å transportere e -postene dine over en sikker tilkobling, kan dataene dine bli kompromittert eller endret og manipulert av en cyberangriper. Her er det hvor MTA-STS går inn og løser dette problemet, noe som muliggjør trygg transitt for e-postene dine, samt vellykket lindring av kryptografiske angrep og forbedring av informasjonssikkerheten ved å håndheve TLS-kryptering. Enkelt sagt, MTA-STS håndhever e-postene som skal overføres via en TLS-kryptert bane, og hvis en kryptert forbindelse ikke kan opprettes, blir e-posten ikke levert i det hele tatt, i stedet for å bli levert i klartekst. Videre lagrer MTAer MTA-STS policy-filer, noe som gjør det vanskeligere for angriperne å starte et DNS-spoofing-angrep.

 

MTA-STS gir beskyttelse mot:

  • Nedgrader angrep
  • Man-In-The-Middle (MITM) angrep
  • Det løser flere SMTP -sikkerhetsproblemer, inkludert utløpte TLS -sertifikater og mangel på støtte for sikre protokoller.

Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Google, som er den største aktøren i bransjen, oppnår midtpunktet mens den tar i bruk en hvilken som helst protokoll, og vedtakelsen av MTA-STS av google indikerer utvidet støtte til sikre protokoller og fremhever viktigheten av e-postkryptering under transport.

Feilsøking av problemer i e-postlevering med TLS-RPT

SMTP TLS Reporting gir domeneeiere diagnostiske rapporter (i JSON -filformat) med detaljerte detaljer om e -postmeldinger som har blitt sendt til domenet ditt og står overfor leveringsproblemer, eller som ikke kunne leveres på grunn av et nedgraderingsangrep eller andre problemer, slik at du kan løse problemet proaktivt. Så snart du aktiverer TLS-RPT, vil godkjente e-postoverføringsagenter begynne å sende diagnoserapporter angående e-postleveringsproblemer mellom kommunikasjonsservere til det angitte e-postdomenet. Rapportene sendes vanligvis en gang om dagen, og dekker og formidler MTA-STS-retningslinjene observert av avsendere, trafikkstatistikk samt informasjon om feil eller problemer ved levering av e-post.

Behovet for å distribuere TLS-RPT:

  • Hvis en e -post ikke blir sendt til mottakeren på grunn av et problem med leveringen, vil du bli varslet.
  • TLS-RPT gir forbedret synlighet på alle e-postkanalene dine, slik at du får bedre innsikt i alt som skjer på domenet ditt, inkludert meldinger som ikke blir levert.
  • TLS-RPT gir grundige diagnostiske rapporter som lar deg identifisere og komme til roten til e-postleveringsproblemet og fikse det uten forsinkelse.

Vedta MTA-STS og TLS-RPT gjort enkelt og raskt av PowerDMARC

MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold. PowerDMARC gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen- fra generering av sertifikater og MTA-STS policy-filer til håndhevelse av politikk, hjelper vi deg med å unngå de enorme kompleksitetene som er involvert i vedtakelsen av protokollen. Når vi hjelper deg med å konfigurere det med bare noen få klikk, trenger du ikke engang tenke på det igjen.

Ved hjelp av PowerDMARCs e- postautentiseringstjenester kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre tilkoblingen din sikker og holde MITM -angrep i sjakk.

PowerDMARC gjør livet ditt enklere ved å gjøre implementeringsprosessen for SMTP TLS Reporting (TLS-RPT) lett og rask, lett tilgjengelig. Så snart du registrerer deg hos PowerDMARC og aktiverer SMTP TLS -rapportering for domenet ditt, tar vi smerten av å konvertere de kompliserte JSON -filene som inneholder rapportene dine om e -postleveringsproblemer, til enkle, lesbare dokumenter (per resultat og per sendingskilde), som du kan enkelt gå gjennom og forstå! PowerDMARCs plattform oppdager og videreformidler automatisk problemene du står overfor i e -postlevering, slik at du raskt kan løse og løse dem på kort tid!

Registrer deg for å få din gratis DMARC i dag!