Hva er MTA-STS og hvorfor trenger du det?
En allment kjent internettstandard som forenkler ved å forbedre sikkerheten til tilkoblinger mellom SMTP-servere (Simple Mail Transfer Protocol) er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS løser eksisterende problemer i SMTP-e-postsikkerhet ved å håndheve TLS-kryptering under overføring.
Historien og opprinnelsen til MTA-STS
I år 1982 ble SMTP først spesifisert, og den inneholdt ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-poster mellom serverne, og ga muligheten til å konvertere en ikke-sikker tilkobling til en sikker som er kryptert med TLS-protokollen.
I så fall må du lure på om SMTP tok i bruk STARTTLS for å sikre tilkoblinger mellom servere, hvorfor var overgangen til MTA-STS nødvendig, og hva gjør det til og med? La oss hoppe inn i det i de følgende delene av denne bloggen!
Hva er MTA-STS? (E-postoverføringsagent streng transportsikkerhet – forklart)
MTA-STS er en sikkerhetsstandard som sikrer sikker overføring av e-poster over en kryptert SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Akronymet STS står for Strict Transport Security, som er protokollen som brukes for å implementere standarden. En MTA-STS-bevisst e-postoverføringsagent (MTA) eller sikker meldingsoverføringsagent (SMTA) opererer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for å sende e-post over usikrede nettverk.
MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.
Behovet for å skifte til MTA-STS
STARTTLS var ikke perfekt, og det klarte ikke å løse to store problemer: Det første er at det er et valgfritt tiltak, og derfor klarer ikke STARTTLS å forhindre man-in-the-middle-angrep (MITM). Dette skyldes at en MITM-angriper enkelt kan endre en tilkobling og forhindre at krypteringsoppdateringen finner sted. Det andre problemet med det er at selv om STARTTLS er implementert, er det ingen måte å autentisere identiteten til avsenderserveren på, ettersom SMTP-postservere ikke validerer sertifikater.
Selv om de fleste utgående e-poster i dag er sikret med TLS-kryptering (Transport Layer Security), en bransjestandard som også er tatt i bruk for e-post til privatpersoner, kan angripere likevel hindre og manipulere e-posten din selv før den blir kryptert. Hvis du sender e-posten din via en sikker tilkobling, kan dataene dine bli kompromittert eller til og med endret og manipulert av en cyberangriper. Det er her MTA-STS kommer inn i bildet og løser dette problemet ved å garantere sikker transport av e-postene dine og redusere MITM-angrep. MTAene lagrer dessuten MTA-STS-policyfiler, noe som gjør det vanskeligere for angripere å utføre DNS-spoofing-angrep.
MTA-STS gir beskyttelse mot:
- Nedgrader angrep
- Man-In-The-Middle (MITM) angrep
- Det løser flere SMTP -sikkerhetsproblemer, inkludert utløpte TLS -sertifikater og mangel på støtte for sikre protokoller.
Hvordan fungerer MTA-STS?
MTA-STS-protokollen er distribuert ved å ha en DNS-post som spesifiserer at en e-postserver kan hente en policyfil fra et spesifikt underdomene. Denne policyfilen hentes via HTTPS og autentiseres med sertifikater, sammen med listen over navn på mottakerens e-postservere. Implementering av MTA-STS er enklere på mottakerens side sammenlignet med avsendersiden, da det krever støtte av e-postserverprogramvaren. Mens noen e-postservere støtter MTA-STS, for eksempel PostFix , er det ikke alle som gjør det.
Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Googles Gmail har allerede vedtatt MTA-STS-retningslinjer i nyere tid. MTA-STS har fjernet ulempene med sikkerhet for e-posttilkobling ved å gjøre prosessen med å sikre tilkoblinger enkel og tilgjengelig for støttede e-postservere.
Tilkoblinger fra brukerne til postserverne er vanligvis beskyttet og kryptert med TLS-protokoll, til tross for at det var en eksisterende mangel på sikkerhet i forbindelsene mellom e-postservere før implementeringen av MTA-STS. Med en økende bevissthet om e -postsikkerhet i nyere tid og støtte fra store e -postleverandører over hele verden, forventes flertallet av serverforbindelser å bli kryptert i den siste fremtiden. Videre sikrer MTA-STS effektivt at nettkriminelle på nettverkene ikke klarer å lese e-postinnhold.
Enkel og rask distribusjon av hostede MTA-STS-tjenester av PowerDMARC
MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold. PowerDMARCs DMARC-analysatorverktøy gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen. Når vi først hjelper deg med å sette opp, trenger du aldri en gang tenke på det igjen.
Ved hjelp av PowerDMARC kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre din tilkoblingen er sikker og holder MITM -angrep i sjakk.
- Cybersikkerhet i banksektoren: De største truslene og de beste måtene å forebygge dem på - 25. september 2023
- Hvordan sjekke om e-postkildene dine er pålitelige? - 25. september 2023
- Slik beskytter du passordene dine mot kunstig intelligens - 20. september 2023