En allment kjent internettstandard som letter ved å forbedre sikkerheten til tilkoblinger mellom SMTP-servere (Simple Mail Transfer Protocol) er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
I 1982 ble SMTP først spesifisert, og den inneholdt ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-post mellom serverne, noe som gir muligheten til å konvertere en usikker tilkobling til en sikker som er kryptert ved hjelp av TLS-protokoll.
I så fall må du lure på at hvis SMTP vedtok STARTTLS for å sikre tilkoblinger mellom servere, hvorfor var skiftet til MTA-STS nødvendig? La oss hoppe inn i det i den følgende delen av denne bloggen!
Behovet for å skifte til MTA-STS
STARTTLS var ikke perfekt, og det klarte ikke å løse to store problemer: Det første er at det er et valgfritt tiltak, og derfor klarer STARTTLS ikke å forhindre man-in-the-middle (MITM) angrep. Dette er fordi en MITM -angriper enkelt kan endre en tilkobling og forhindre at krypteringsoppdateringen finner sted. Det andre problemet med det er at selv om STARTTLS er implementert, er det ingen måte å autentisere identiteten til sendingsserveren ettersom SMTP -e -postservere ikke validerer sertifikater.
Selv om de fleste utgående e -poster i dag er sikret med Transport Layer Security (TLS) -kryptering, en bransjestandard som er vedtatt selv av forbrukernes e -post, kan angriperne fortsatt hindre og tukle med e -posten din selv før den blir kryptert. Hvis du sender en e -post for å transportere e -postene dine over en sikker tilkobling, kan dataene dine bli kompromittert eller endret og manipulert av en cyberangriper. Det er her MTA-STS går inn og løser dette problemet, og garanterer trygg transitt for e-postene dine samt vellykket dempende MITM-angrep. Videre lagrer MTAer MTA-STS policy-filer, noe som gjør det vanskeligere for angriperne å starte et DNS-spoofing-angrep.
MTA-STS gir beskyttelse mot:
- Nedgrader angrep
- Man-In-The-Middle (MITM) angrep
- Det løser flere SMTP -sikkerhetsproblemer, inkludert utløpte TLS -sertifikater og mangel på støtte for sikre protokoller.
Hvordan fungerer MTA-STS?
MTA-STS-protokollen distribueres ved å ha en DNS-post som angir at en e-postserver kan hente en policyfil fra et bestemt underdomen. Denne policyfilen hentes via HTTPS og godkjennes med sertifikater, sammen med listen over navn på mottakernes e -postservere. Implementering av MTA-STS er enklere på mottakersiden i forhold til sendersiden, da det krever støtte for e-postserverprogramvaren. Noen e-postservere støtter MTA-STS, for eksempel PostFix, men ikke alle gjør det.
Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Googles Gmail har allerede vedtatt MTA-STS-retningslinjer i nyere tid. MTA-STS har fjernet ulempene med sikkerhet for e-posttilkobling ved å gjøre prosessen med å sikre tilkoblinger enkel og tilgjengelig for støttede e-postservere.
Tilkoblinger fra brukerne til postserverne er vanligvis beskyttet og kryptert med TLS-protokoll, til tross for at det var en eksisterende mangel på sikkerhet i forbindelsene mellom e-postservere før implementeringen av MTA-STS. Med en økende bevissthet om e -postsikkerhet i nyere tid og støtte fra store e -postleverandører over hele verden, forventes flertallet av serverforbindelser å bli kryptert i den siste fremtiden. Videre sikrer MTA-STS effektivt at nettkriminelle på nettverkene ikke klarer å lese e-postinnhold.
Enkel og rask distribusjon av hostede MTA-STS-tjenester av PowerDMARC
MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold. PowerDMARC gjør livet ditt mye enklere ved å håndtere alt det for deg, helt i bakgrunnen. Når vi har hjulpet deg med å sette det opp, trenger du ikke engang tenke på det igjen.
Ved hjelp av PowerDMARC kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre din tilkoblingen er sikker og holder MITM -angrep i sjakk.
