Mail Transfer Agent-Strict Transport Security (MTA-STS) er en ny standard som gjør det mulig for e-postleverandører å håndheve Transport Layer Security (TLS) for å sikre SMTP-tilkoblinger, og angi om de sender SMTP-serverne skal nekte å levere e-post til MX -verter som ikke tilbyr TLS med et pålitelig serversertifikat. Det har vist seg å lykkes med å redusere TLS-nedgraderingsangrep og Man-In-The-Middle (MITM) -angrep.

I enklere termer er MTA-STS en internettstandard som sikrer tilkoblinger mellom SMTP-postservere. Det mest fremtredende problemet med SMTP er at kryptering er helt valgfri og ikke håndheves under postoverføring. Det er derfor SMTP vedtok STARTTLS -kommandoen for å oppgradere fra ren tekst til kryptering. Dette var et verdifullt skritt mot å dempe passive angrep, men angrep via aktive nettverk og MITM -angrep forble fortsatt uadressert.

Derfor er problemet MTA-STS løser at SMTP benytter opportunistisk kryptering, dvs. hvis en kryptert kommunikasjonskanal ikke kan etableres, faller forbindelsen tilbake til ren tekst, og holder dermed MITM og nedgraderingsangrep i sjakk.

Hva er et TLS -nedgraderingsangrep?

Som vi allerede vet, kom SMTP ikke med en krypteringsprotokoll, og kryptering måtte ettermonteres senere for å øke sikkerheten til den eksisterende protokollen ved å legge til STARTTLS -kommandoen. Hvis klienten støtter kryptering (TLS), vil den forstå STARTTLS -verbet og starte en TLS -utveksling før du sender e -posten for å sikre at den er kryptert. Hvis klienten ikke kjenner TLS, ignorerer den bare STARTTLS -kommandoen og sender e -posten i ren tekst.

Siden kryptering måtte ettermonteres i SMTP -protokollen, må derfor oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan enkelt utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen. Angriperen erstattet ganske enkelt STARTTLS med en søppelstreng som klienten ikke klarer å identifisere. Derfor faller klienten lett tilbake til å sende e -posten i ren tekst.

Angriperen erstatter vanligvis kommandoen med søppelstrengen som inneholder samme antall tegn, i stedet for å hakke den ut, fordi dette beholder pakkestørrelsen og derfor gjør det lettere. De åtte bokstavene i søppelstrengen i alternativkommandoen lar oss oppdage og identifisere at et TLS -nedgraderingsangrep er utført av en nettkriminell, og vi kan måle utbredelsen av det.

Kort sagt, Et nedgraderingsangrep blir ofte lansert som en del av et MITM -angrep, for å lage en vei for å muliggjøre et kryptografisk angrep som ikke ville være mulig i tilfelle en forbindelse som er kryptert over den siste versjonen av TLS -protokollen, av erstatte eller slette STARTTLS -kommandoen og tilbakestille kommunikasjonen til klar tekst.

Selv om det er mulig å håndheve TLS for klient-til-server-kommunikasjon, så vet vi at appene og serveren støtter det. For kommunikasjon mellom server og server må vi imidlertid ikke åpne for å tillate eldre servere å sende e-post. Kjernen i problemet er at vi ikke aner om serveren på den andre siden støtter TLS eller ikke. MTA-STS lar servere indikere at de støtter TLS, noe som gjør at de ikke kan lukke (dvs. ikke sende e-posten) hvis oppgraderingsforhandlingen ikke finner sted, og dermed gjøre det umulig for et TLS-nedgraderingsangrep å finne sted.

Hvordan kommer MTA-STS til unnsetning?

MTA-STS fungerer ved å øke e-postsikkerheten i EXO eller Exchange Online og er den ultimate løsningen på et bredt spekter av SMTP-sikkerhetsproblemer. MTA-STS løser problemer med SMTP-sikkerhet som manglende støtte for sikre protokoller, utløpte TLS-sertifikater og sertifikater som ikke er utstedt av pålitelige tredjeparter .

Etter hvert som e -postservere fortsetter å sende ut e -post, er SMTP -tilkoblingen sårbar for kryptografiske angrep som nedgraderingsangrep og MITM. Nedgraderingsangrep kan startes ved å slette STARTTLS -svaret, og dermed levere meldingen i klar tekst. På samme måte kan MITM -angrep også startes ved å omdirigere meldingen til en serverinnbrudd via en usikker tilkobling. MTA-STS lar domenet ditt publisere en policy som gjør det nødvendig å sende en e-post med kryptert TLS. Hvis det av en eller annen grunn blir funnet at den mottakende serveren ikke støtter STARTTLS, blir ikke e -posten sendt i det hele tatt. Dette gjør det umulig å sette i gang et TLS -nedgraderingsangrep.

I nyere tid har flertallet av e-postleverandører tatt i bruk MTA-STS og derved gjort forbindelser mellom servere sikrere og kryptert over TLS-protokollen til en oppdatert versjon, og dermed lykkes med å redusere TLS-nedgraderingsangrep og oppheve hullene i serverkommunikasjon.

PowerDMARC gir deg raske og enkle hostede MTA-STS-tjenester som gjør livet ditt mye enklere da vi tar vare på alle spesifikasjonene som kreves av MTA-STS under og etter implementering, for eksempel en HTTPS-aktivert webserver med en gyldig sertifikat, DNS -poster og konstant vedlikehold. PowerDMARC klarer alt dette helt i bakgrunnen, slik at etter at vi har hjulpet deg med å sette det opp, trenger du ikke engang tenke på det igjen!

Ved hjelp av PowerDMARC kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre din tilkobling sikker og holder TLS -nedgraderingsangrep i sjakk.

Om
siste innlegg

Ahona Rudra

Digital Marketing & Content Writer Manager hos PowerDMARC

Ahona jobber som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en lidenskapelig forfatter, blogger og markedsføringsspesialist innen cybersikkerhet og informasjonsteknologi.

Siste innlegg av Ahona Rudra ( se alle )