Mail Transfer Agent-Strict Transport Security (MTA-STS) er en ny standard som gjør det mulig for e-postleverandører å håndheve Transport Layer Security (TLS) for å sikre SMTP-tilkoblinger, og angi om de sender SMTP-serverne skal nekte å levere e-post til MX -verter som ikke tilbyr TLS med et pålitelig serversertifikat. Det har vist seg å lykkes med å redusere TLS-nedgraderingsangrep og Man-In-The-Middle (MITM) -angrep.

I enklere termer er MTA-STS en internettstandard som sikrer tilkoblinger mellom SMTP-postservere. Det mest fremtredende problemet med SMTP er at kryptering er helt valgfri og ikke håndheves under postoverføring. Det er derfor SMTP vedtok STARTTLS -kommandoen for å oppgradere fra ren tekst til kryptering. Dette var et verdifullt skritt mot å dempe passive angrep, men angrep via aktive nettverk og MITM -angrep forble fortsatt uadressert.

Derfor er problemet MTA-STS løser at SMTP benytter opportunistisk kryptering, dvs. hvis en kryptert kommunikasjonskanal ikke kan etableres, faller forbindelsen tilbake til ren tekst, og holder dermed MITM og nedgraderingsangrep i sjakk.

Hva er et TLS -nedgraderingsangrep?

Som vi allerede vet, kom SMTP ikke med en krypteringsprotokoll, og kryptering måtte ettermonteres senere for å øke sikkerheten til den eksisterende protokollen ved å legge til STARTTLS -kommandoen. Hvis klienten støtter kryptering (TLS), vil den forstå STARTTLS -verbet og starte en TLS -utveksling før du sender e -posten for å sikre at den er kryptert. Hvis klienten ikke kjenner TLS, ignorerer den bare STARTTLS -kommandoen og sender e -posten i ren tekst.

Siden kryptering måtte ettermonteres i SMTP -protokollen, må derfor oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan enkelt utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen. Angriperen erstattet ganske enkelt STARTTLS med en søppelstreng som klienten ikke klarer å identifisere. Derfor faller klienten lett tilbake til å sende e -posten i ren tekst.

Angriperen erstatter vanligvis kommandoen med søppelstrengen som inneholder samme antall tegn, i stedet for å hakke den ut, fordi dette beholder pakkestørrelsen og derfor gjør det lettere. De åtte bokstavene i søppelstrengen i alternativkommandoen lar oss oppdage og identifisere at et TLS -nedgraderingsangrep er utført av en nettkriminell, og vi kan måle utbredelsen av det.

Kort sagt, Et nedgraderingsangrep blir ofte lansert som en del av et MITM -angrep, for å lage en vei for å muliggjøre et kryptografisk angrep som ikke ville være mulig i tilfelle en forbindelse som er kryptert over den siste versjonen av TLS -protokollen, av erstatte eller slette STARTTLS -kommandoen og tilbakestille kommunikasjonen til klar tekst.

Selv om det er mulig å håndheve TLS for klient-til-server-kommunikasjon, så vet vi at appene og serveren støtter det. For kommunikasjon mellom server og server må vi imidlertid ikke åpne for å tillate eldre servere å sende e-post. Kjernen i problemet er at vi ikke aner om serveren på den andre siden støtter TLS eller ikke. MTA-STS lar servere indikere at de støtter TLS, noe som gjør at de ikke kan lukke (dvs. ikke sende e-posten) hvis oppgraderingsforhandlingen ikke finner sted, og dermed gjøre det umulig for et TLS-nedgraderingsangrep å finne sted.

tls rapportering

Hvordan kommer MTA-STS til unnsetning?

MTA-STS fungerer ved å øke EXO eller Exchange Online e-postsikkerhet og er den ultimate løsningen på et stort utvalg av SMTP-sikkerhetsmessige ulemper og problemer. Det løser problemer i SMTP -sikkerhet, for eksempel mangel på støtte for sikre protokoller, utløpte TLS -sertifikater og sertifikater som ikke er utstedt av pålitelige tredjeparter.

Etter hvert som e -postservere fortsetter å sende ut e -post, er SMTP -tilkoblingen sårbar for kryptografiske angrep som nedgraderingsangrep og MITM. Nedgraderingsangrep kan startes ved å slette STARTTLS -svaret, og dermed levere meldingen i klar tekst. På samme måte kan MITM -angrep også startes ved å omdirigere meldingen til en serverinnbrudd via en usikker tilkobling. MTA-STS lar domenet ditt publisere en policy som gjør det nødvendig å sende en e-post med kryptert TLS. Hvis det av en eller annen grunn blir funnet at den mottakende serveren ikke støtter STARTTLS, blir ikke e -posten sendt i det hele tatt. Dette gjør det umulig å sette i gang et TLS -nedgraderingsangrep.

I nyere tid har flertallet av e-postleverandører tatt i bruk MTA-STS og derved gjort forbindelser mellom servere sikrere og kryptert over TLS-protokollen til en oppdatert versjon, og dermed lykkes med å redusere TLS-nedgraderingsangrep og oppheve hullene i serverkommunikasjon.

PowerDMARC gir deg raske og enkle hostede MTA-STS-tjenester som gjør livet ditt mye enklere da vi tar vare på alle spesifikasjonene som kreves av MTA-STS under og etter implementering, for eksempel en HTTPS-aktivert webserver med en gyldig sertifikat, DNS -poster og konstant vedlikehold. PowerDMARC klarer alt dette helt i bakgrunnen, slik at etter at vi har hjulpet deg med å sette det opp, trenger du ikke engang tenke på det igjen!

Ved hjelp av PowerDMARC kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre din tilkobling sikker og holder TLS -nedgraderingsangrep i sjakk.