kryptering tls

Mail Transfer Agent-Strict Transport Security (MTA-STS)

MTA-STS, akkurat som navnet antyder, er en protokoll som muliggjør kryptert transport av meldinger mellom to SMTP-postservere. MTA-STS spesifiserer for å sende servere at e-post bare skal sendes over en TLS-kryptert tilkobling, og ikke skal leveres i det hele tatt i tilfelle en sikker tilkobling ikke opprettes via STARTTLS-kommandoen. Ved å øke sikkerheten til e-postmeldinger under transport, hjelper MTA-STS med å redusere Man-In-The-Middle-angrep (MITM) som SMTP-nedgraderingsangrep og DNS-spoofing-angrep.

Hvordan sikrer MTA-STS kryptering av meldinger i transitt?

La oss ta et enkelt eksempel for å forstå hvordan meldinger blir kryptert under e -postflyten. Hvis en MTA sender en e -post til [email protected], utfører MTA en DNS -spørring for å finne ut hvilke MTAer e -posten må sendes til. DNS -forespørselen sendes for å hente MX -postene til powerdmarc.com. Den sendende MTA kobler seg deretter til den mottakende MTA som finnes i DNS -spørringsresultatet, og spør om denne mottaksserveren støtter TLS -kryptering. Hvis den gjør det, sendes e -posten over en kryptert tilkobling, men hvis den ikke gjør det, klarer ikke den sendende MTA å forhandle frem en sikret tilkobling og sender e -posten i ren tekst.

Sende e -post over en ukryptert bane baner vei for gjennomgripende overvåking angrep som MITM og SMTP nedgradering. La oss finne ut hvordan:

Bryte ned anatomi av et MITM -angrep

I hovedsak finner et MITM -angrep sted når en angriper erstatter eller sletter STARTTLS -kommandoen for å få den sikre tilkoblingen til å vende tilbake til en usikret, uten TLS -kryptering. Dette kalles et nedgraderingsangrep. Etter å ha utført et nedgraderingsangrep, kan angriperen få tilgang til og se e -postinnholdet uten hindringer.

En MITM -angriper kan også erstatte MX -postene i DNS -spørresvaret med en e -postserver som de har tilgang til og har kontroll over. Postoverføringsagenten leverer i så fall e -posten til angriperens server, slik at han får tilgang til og manipulere e -postinnholdet. E -posten kan deretter videresendes til den tiltenkte mottakers server, uten å bli oppdaget. Dette er kjent som et DNS -spoofing -angrep.

SMTP-nedgraderingsangrep

Sikre kryptering med MTA-STS

Hver gang du sender e -post med SMTP -serveren til e -postleverandørene dine som Gmail eller Microsoft, blir e -postene overført fra sendingsserveren til den mottakende serveren via Simple Mail Transfer Protocol (SMTP). SMTP tillater imidlertid opportunistisk kryptering, noe som betyr at kommunikasjonen mellom SMTP -servere kan være kryptert for å unngå manipulasjon eller avlytting av e -postinnhold. MTA-STS er publisert ved hjelp av HTTPS, og beskytter den mot MITM-angrep.

MTA-STS sikrer levering via e-post av: 

  • Håndhever TLS -kryptering

  • Betjener MX-postene fra en HTTPS-sikker server

vertsbaserte mta sts-tjenester
vert for MTA STS

MTA-STS-protokollen distribueres ved å ha en DNS-post som angir at en e-postserver kan hente en policyfil fra et bestemt underdomen. Denne policyfilen hentes via HTTPS og godkjennes med sertifikater, sammen med listen over navn på mottakernes e -postservere. Protokollen angir for en SMTP -server at kommunikasjonen med den andre SMTP -serveren må være kryptert og at domenenavnet på sertifikatet skal matche domenet til policyfilen. Hvis MTA-STS håndheves, i tilfelle en kryptert kanal ikke kan forhandles, blir meldingen ikke levert i det hele tatt.

MTA-STS Policy File

MTA-STS policy-filen er egentlig en enkel tekstfil, som ser ut som følgende:

versjon: STSv1
modus: håndheve
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
maks alder: 604800

Merk: Versjonsfeltet må inkluderes i begynnelsen av tekstfilen, mens andre felt kan inkorporeres i hvilken som helst rekkefølge.

Retningslinjefilen bruker nøkkel-verdi-sammenkobling med hver verdi som er kodet på en egen linje i tekstfilen som vist ovenfor. Størrelsen på denne filen kan strekke seg opp til 64 KB. Navnet på policyfilen må være mta-sts.txt. Retningslinjefiler må oppdateres hver gang du legger til eller endrer e -postservere på domenet ditt.

Merk: Hvis du setter MTA-STS i håndhevingsmodus, kan det føre til at noen e-poster ikke blir levert til deg. Derfor er det tilrådelig å sette policy -modusen til testing i stedet og velge en lav maksimal alder for å sikre at alt fungerer som det skal før du går over for å håndheve retningslinjene. Vi anbefaler at du også konfigurerer TLS-RPT for retningslinjene dine i testmodus for å bli varslet hvis e-post sendes i ren tekst. 

mta sts politikk

Publisering av MTA-STS Policy File

For å publisere MTA-STS policy-filen må webserveren som er vert for filen din:

  • Støtter HTTPS/SSL
  • Serversertifikatet må være signert og validert av en tredjeparts rotsertifikatmyndighet.

For å publisere en policy-fil for domenet ditt, bør du sette opp en offentlig webserver med underdomenet "mta-sts" lagt til domenet ditt. Den opprettede policy-filen må publiseres i den velkjente katalogen som er opprettet i underdomene. URL-adressen til den opplastede MTA-STS-policyfilen din kan se slik ut:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

vert for MTA STS

MTA-STS DNS-post

En TXT DNS-post for MTA-STS publiseres på DNS på domenet ditt for å angi at domenet ditt støtter MTA-STS-protokollen og for å signalisere for oppdatering av de bufrede verdiene i MTA-ene i tilfelle retningslinjene endres. MTA-STS DNS-posten er plassert på underdomenet _mta-sts som i: _mta-sts.powerdmarc.com. TXT -posten må begynne med v = STSv1, og "id" -verdien kan inneholde opptil 32 alfanumeriske tegn, inkludert på følgende måte:

 v = STSv1; id = 30271001S00T000;

Merk: Verdien for TXT -post -ID må oppdateres til en ny verdi hver gang du gjør endringer i retningslinjene. 

MTA-STS DNS-posten brukes til å: 

  • Spesifiser støtte for MTA-STS for domenet
  • Signal MTA for å hente policyen på nytt over HTTPS hvis retningslinjene endres

Vær oppmerksom på at med MTA-STS TXT DNS-posten, kan policyfilen lagres av MTAs i en lengre periode uten å måtte hente policyen på nytt med mindre den er blitt endret, mens den fortsatt utfører en DNS-spørring hver gang en e-post mottas for domenet.

Konfigurere MTA-STS for domenet ditt

For å aktivere MTA-STS for domenet ditt, må du:

  • Legg til en DNS-post av cname- type på mta-sts.example.com, rettet mot den HTTPS-aktiverte webserveren som er vert for MTA-STS-policyfilen.

  • Legg til en txt- eller cname-type DNS-post på _mta-sts.example.com som angir støtte for MTA-STS for domenet ditt.

  • Sett opp en HTTPS -aktivert webserver med et gyldig sertifikat for domenet ditt.

  • Aktiver SMTP TLS -rapportering for domenet ditt for å oppdage problemer i e -postlevering på grunn av feil i TLS -kryptering.

spf -oppslagssøkikon powerdmarc

Utfordringer man står overfor når man distribuerer MTA-STS manuelt

MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold, noe som gjør distribusjonsprosessen lang, tidkrevende og komplisert. Det er derfor vi i PowerDMARC hjelper deg med å administrere det meste i bakgrunnen ved bare å publisere tre CNAME -poster i domenets DNS.

PowerDMARCs vertskap for MTA-STS-tjenester

PowerDMARC gjør livet ditt mye enklere ved å håndtere alt det for deg, helt i bakgrunnen. Når vi har hjulpet deg med å sette det opp, trenger du ikke engang tenke på det igjen.

  • Vi hjelper deg med å publisere cname -postene dine med bare noen få klikk

  • Vi tar ansvaret for å vedlikeholde webserveren og være vert for sertifikatene

  • Gjennom våre vertskap for MTA-STS-tjenester reduseres distribusjonen fra deg til å bare publisere noen få DNS-poster

  • Du kan gjøre MTA-STS policyendringer umiddelbart og enkelt, via PowerDMARC-dashbordet, uten å måtte gjøre endringer i DNS manuelt

  • PowerDMARCs vertskap for MTA-STS-tjenester er RFC-kompatible og støtter de nyeste TLS-standardene

  • Fra å generere sertifikater og MTA-STS policy-filer til håndhevelse av retningslinjer, hjelper vi deg med å unngå de enorme kompleksitetene som er forbundet med å vedta protokollen

SMTP TLS-rapportering (TLS-RPT)

For å gjøre forbindelsen mellom to kommuniserende SMTP-servere mer sikker og kryptert over TLS, ble MTA-STS introdusert for å håndheve kryptering og forhindre at e-post blir levert i klartekst, i tilfelle en av serverne ikke støtter TLS. Et problem er imidlertid fortsatt uadressert, det vil si: Hvordan varsle domeneeiere hvis eksterne servere står overfor problemer i e -postlevering på grunn av feil i TLS -kryptering? Det er her TLS-RPT spiller inn og gir diagnoserapporter for å muliggjøre overvåking og feilsøking av problemer i serverkommunikasjon, for eksempel utløpte TLS-sertifikater, feilkonfigurasjoner i e-postservere eller feil ved forhandlinger om en sikker tilkobling på grunn av mangel på støtte for TLS -kryptering.

TLS -rapporter hjelper til med å oppdage og svare på problemer i e -postlevering gjennom en rapporteringsmekanisme i form av JSON -filer. Disse JSON-filene kan være kompliserte og ulastelige for en ikke-teknisk person.

PowerDMARC hjelper til med å forenkle JSON -filene i form av enkle. omfattende og lesbare dokumenter med diagrammer og tabeller for enkelhets skyld. Diagnoserapportene for domenet ditt vises også i to formater på PowerDMARC -dashbordet: per resultat og per senderkilde.

powerdmarc tls rpt
json-diagrammer

Aktivering av TLS-RPT for domenet ditt

Prosessen med å aktivere SMTP TLS -rapportering er ganske enkel. Alt du trenger å gjøre for å aktivere den er å legge til en TXT DNS -post på riktig sted, og sette prefiks _smtp._tls. til domenenavnet ditt. Med PowerDMARC kan dette imidlertid konfigureres direkte fra PowerDMARC UI uten at du trenger å gjøre endringer i DNS!

Så snart du aktiverer TLS-RPT, vil godkjente e-postoverføringsagenter begynne å sende diagnoserapporter angående e-postleveringsproblemer mellom kommunikasjonsservere til det angitte e-postdomenet. Rapportene sendes vanligvis en gang om dagen, og dekker og formidler MTA-STS-retningslinjene observert av avsendere, trafikkstatistikk samt informasjon om feil eller problemer ved levering av e-post.

ofte stilte spørsmål

PowerDMARCs kontrollpanel lar deg automatisk konfigurere MTA-STS og TLS-RPT for domenet ditt ved å publisere bare tre CNAME-poster i domenets DNS. Fra hosting MTAS-STS policy-filer og sertifikater til vedlikehold av webserveren, tar vi vare på det hele i bakgrunnen uten at du trenger å gjøre noen endringer i DNS-en din. Distribusjon av MTA-STS fra din side med PowerDMARC reduseres til bare noen få klikk.

Du kan distribuere og administrere MTA-STS for alle domenene dine fra PowerDMARC-kontoen din, gjennom en enkelt glassrute. Hvis noen av disse domenene bruker mottakende e-postservere som ikke støtter STARTTLS, gjenspeiles det i TLS-rapportene dine, forutsatt at du har aktivert TLS-RPT for disse domenene.

Det er alltid lurt å sette MTA-STS policy-modus til testing under de første faser av distribusjonen, slik at du kan overvåke aktiviteter og få synlighet i e-postøkosystemet ditt før du går over til en mer aggressiv policy som håndhevelse. På denne måten, selv om e -postene ikke sendes over en TLS -kryptert tilkobling, vil de fortsatt bli sendt i ren tekst. Sørg imidlertid for at du aktiverer TLS-RPT for å bli varslet hvis det skjer.

TLS-RPT er en omfattende rapporteringsmekanisme som lar deg bli varslet i tilfelle en sikker tilkobling ikke kunne opprettes og e-posten ikke ble levert til deg. Dette hjelper deg med å oppdage problemer med e -postlevering eller e -post levert via en usikret tilkobling, slik at du raskt kan dempe og løse dem.

Du må være oppmerksom på at selv om MTA-STS sikrer at e-post overføres over en TLS-kryptert tilkobling, kan det hende at e-posten ikke blir levert i det hele tatt hvis en sikker tilkobling ikke forhandles. Dette er imidlertid nødvendig ettersom det sikrer at e -post ikke blir levert via en ukryptert vei. For å unngå slike problemer, er det lurt å sette opp en MTA-STS-policy for en testmodus og aktivere TLS-RPT for domenet ditt først, før du går videre til MTA-STS-håndhevingsmodus. 

Du kan enkelt endre MTA-STS-modusen fra PowerMTA-STS-dashbordet ved å velge ønsket policy-modus og lagre endringer uten at du trenger å gjøre endringer i DNS.

Du kan slå av MTA-STS for domenet ditt ved å enten angi policy-modus til ingen, og dermed angi for MTA at domenet ditt ikke støtter protokollen, eller ved å slette MTA-STS DNS TXT-posten. 

MX-postene for MTA-STS-policyfilen bør inneholde oppføringene for alle mottakende e-postservere som brukes av domenet ditt.