hva er mta-sts og hvorfor trenger du det? Mail Transfer Agent Streng transportsikkerhet

En allment kjent internettstandard som forenkler ved å forbedre sikkerheten til tilkoblinger mellom SMTP-servere (Simple Mail Transfer Protocol) er SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS løser eksisterende problemer i SMTP-e-postsikkerhet ved å håndheve TLS-kryptering under overføring.

Historien og opprinnelsen til MTA-STS

I år 1982 ble SMTP først spesifisert, og den inneholdt ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-poster mellom serverne, og ga muligheten til å konvertere en ikke-sikker tilkobling til en sikker som er kryptert med TLS-protokollen.

I så fall må du lure på om SMTP tok i bruk STARTTLS for å sikre tilkoblinger mellom servere, hvorfor var overgangen til MTA-STS nødvendig, og hva gjør det til og med? La oss hoppe inn i det i de følgende delene av denne bloggen!

Hva er MTA-STS? (E-postoverføringsagent streng transportsikkerhet – forklart)

MTA-STS er en sikkerhetsstandard som sikrer sikker overføring av e-poster over en kryptert SMTP-forbindelse. Akronymet MTA står for Message Transfer Agent, som er et program som overfører e-postmeldinger mellom datamaskiner. Akronymet STS står for Strict Transport Security, som er protokollen som brukes for å implementere standarden. En MTA-STS-bevisst e-postoverføringsagent (MTA) eller sikker meldingsoverføringsagent (SMTA) opererer i samsvar med denne spesifikasjonen og gir en sikker ende-til-ende-kanal for å sende e-post over usikrede nettverk.

MTA-STS-protokollen lar en SMTP-klient verifisere serveridentitet og sikre at den ikke kobler til en bedrager ved å kreve at serveren oppgir sitt sertifikatfingeravtrykk i TLS-håndtrykket. Klienten verifiserer deretter sertifikatet mot et klareringslager som inneholder sertifikater fra kjente servere.

Behovet for å skifte til MTA-STS

STARTTLS var ikke perfekt, og det klarte ikke å løse to store problemer: Det første er at det er et valgfritt tiltak, og derfor klarer STARTTLS ikke å forhindre man-in-the-middle (MITM) angrep. Dette er fordi en MITM -angriper enkelt kan endre en tilkobling og forhindre at krypteringsoppdateringen finner sted. Det andre problemet med det er at selv om STARTTLS er implementert, er det ingen måte å autentisere identiteten til sendingsserveren ettersom SMTP -e -postservere ikke validerer sertifikater.

Mens de fleste utgående e-poster i dag er sikret med Transport Layer Security (TLS) -kryptering, en industristandard tatt i bruk selv av forbruker-e-post, kan angripere fortsatt hindre og tukle med e-posten din selv før den blir kryptert. Hvis du sender e-post for å transportere e-postene dine over en sikker tilkobling, kan dataene dine bli kompromittert eller til og med endret og tuklet med av en nettangriper. Her er hvor MTA-STS går inn og fikser dette problemet, og garanterer trygg transport for e-postene dine, i tillegg til å redusere MITM-angrep. Videre lagrer MTA-er MTA-STS-policyfiler, noe som gjør det vanskeligere for angripere å starte et DNS-spoofing-angrep.

MTA-STS gir beskyttelse mot:

  • Nedgrader angrep
  • Man-In-The-Middle (MITM) angrep
  • Det løser flere SMTP -sikkerhetsproblemer, inkludert utløpte TLS -sertifikater og mangel på støtte for sikre protokoller.

Hvordan fungerer MTA-STS?

MTA-STS-protokollen er distribuert ved å ha en DNS-post som spesifiserer at en e-postserver kan hente en policyfil fra et spesifikt underdomene. Denne policyfilen hentes via HTTPS og autentiseres med sertifikater, sammen med listen over navn på mottakerens e-postservere. Implementering av MTA-STS er enklere på mottakerens side sammenlignet med avsendersiden, da det krever støtte av e-postserverprogramvaren. Mens noen e-postservere støtter MTA-STS, for eksempel PostFix , er det ikke alle som gjør det.

vert for MTA STS

Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Googles Gmail har allerede vedtatt MTA-STS-retningslinjer i nyere tid. MTA-STS har fjernet ulempene med sikkerhet for e-posttilkobling ved å gjøre prosessen med å sikre tilkoblinger enkel og tilgjengelig for støttede e-postservere.

Tilkoblinger fra brukerne til postserverne er vanligvis beskyttet og kryptert med TLS-protokoll, til tross for at det var en eksisterende mangel på sikkerhet i forbindelsene mellom e-postservere før implementeringen av MTA-STS. Med en økende bevissthet om e -postsikkerhet i nyere tid og støtte fra store e -postleverandører over hele verden, forventes flertallet av serverforbindelser å bli kryptert i den siste fremtiden. Videre sikrer MTA-STS effektivt at nettkriminelle på nettverkene ikke klarer å lese e-postinnhold.

Enkel og rask distribusjon av hostede MTA-STS-tjenester av PowerDMARC

MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold. PowerDMARCs DMARC-analysatorverktøy gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen. Når vi først hjelper deg med å sette opp, trenger du aldri en gang tenke på det igjen.

Ved hjelp av PowerDMARC kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre din tilkoblingen er sikker og holder MITM -angrep i sjakk.

Siste innlegg av Ahona Rudra ( se alle )