Przewodnik wdrażania MTA-STS i TLS-RPT

Witamy w szczegółowym podręczniku na temat MTA-STS i TLS-RPT, aby uzyskać praktyczną wiedzę na temat protokołów i ich funkcjonalności.

Skontaktuj się z nami Zarezerwuj demo

Spis treści

  1. Co to jest Mail Transfer Agent-Strict Transport Security (MTA-STS)?
  2. W jaki sposób MTA-STS zapewnia szyfrowanie wiadomości w tranzycie?
  3. Rozkład anatomii ataku MITM
  4. W jaki sposób MTA-STS zapewnia szyfrowanie TLS?
  5. Co to jest MTA-STS Policy File?
  6. Jak opublikować MTA-STS Policy File?
  7. Czym jest rekord DNS MTA-STS?
  8. Jak wdrożyć MTA-STS?
  9. Jakie są cyzwania napotykane podczas ręcznego wdrażania MTA-STS?
  10. Usługi MTA-STS świadczone przez PowerDMARC
  11. Co to jest raportowanie TLS SMTP (TLS-RPT)?
  12. Jak włączyć TLS-RPT dla swojej domeny?
  13. Najczęściej zadawane pytania
szyfrowanie tls

Agent transferu poczty - ścisłe bezpieczeństwo transportu (MTA-STS)

MTA-STS, jak sama nazwa wskazuje, jest protokołem umożliwiającym szyfrowany transport wiadomości pomiędzy dwoma serwerami pocztowymi SMTP. MTA-STS określa serwerom wysyłającym, że wiadomości powinny być wysyłane tylko przez połączenie szyfrowane TLS, a nie powinny być w ogóle dostarczane w przypadku, gdy bezpieczne połączenie nie zostanie nawiązane za pomocą komendy STARTTLS. Zwiększając bezpieczeństwo poczty w tranzycie, MTA-STS pomaga w łagodzeniu ataków typu Man-In-The-Middle (MITM), takich jak ataki SMTP downgrade oraz ataki DNS spoofing.

Czytaj więcej

Jak MTA-STS zapewnia szyfrowanie wiadomości w tranzycie?

Weźmy prosty przykład, aby zrozumieć jak wiadomości są szyfrowane podczas przepływu emaili. Jeśli MTA wysyła email do [email protected]MTA wykonuje zapytanie DNS, aby dowiedzieć się, do którego MTA ma zostać wysłany email. Zapytanie DNS jest wysyłane w celu pobrania rekordów MX dla powerdmarc.com. Wysyłający MTA następnie łączy się z odbierającym MTA znalezionym w wyniku zapytania DNS, pytając czy ten serwer odbierający obsługuje szyfrowanie TLS. Jeśli tak, email jest wysyłany przez szyfrowane połączenie, jeśli jednak nie, wysyłające MTA nie udaje się wynegocjować bezpiecznego połączenia i wysyła email w postaci zwykłego tekstu.

Wysyłanie maili niezaszyfrowaną ścieżką toruje drogę do wszechobecnych ataków monitorujących, takich jak MITM czy SMTP downgrade. Dowiedzmy się jak:

Analiza anatomii ataku MITM

Zasadniczo, atak MITM ma miejsce, gdy osoba atakująca zastępuje lub usuwa komendę STARTTLS, aby zabezpieczone połączenie powróciło do niezabezpieczonego, bez szyfrowania TLS. Jest to określane jako atak typu downgrade. Po pomyślnym przeprowadzeniu ataku downgrade, atakujący może bez przeszkód uzyskać dostęp i przeglądać zawartość wiadomości e-mail.

Atakujący MITM może również podmienić rekordy MX w odpowiedzi na zapytanie DNS na serwer pocztowy, do którego ma dostęp i nad którym sprawuje kontrolę. W takim przypadku agent pocztowy dostarcza wiadomość e-mail na serwer atakującego, umożliwiając mu dostęp do treści wiadomości i manipulowanie nią. Następnie e-mail może zostać przekierowany na serwer odbiorcy bez wykrycia. Jest to tak zwany atak DNS spoofing.

Atak na obniżenie jakości SMTP

Zapewnienie szyfrowania za pomocą MTA-STS

Za każdym razem, gdy wysyłasz wiadomości e-mail przy użyciu serwera SMTP dostawcy usług poczty elektronicznej, takiego jak Gmail lub Microsoft, wiadomości e-mail są przesyłane z serwera wysyłającego na serwer odbierający za pośrednictwem protokołu SMTP (Simple Mail Transfer Protocol). Jednak SMTP umożliwia szyfrowanie oportunistyczne, co oznacza, że komunikacja między serwerami SMTP może lub nie może być szyfrowana w celu uniknięcia manipulacji lub podsłuchiwania treści wiadomości e-mail. MTA-STS jest publikowany przy użyciu protokołu HTTPS, co chroni go przed atakami MITM.

MTA-STS zabezpiecza dostarczanie poczty elektronicznej poprzez: 

  • Egzekwowanie szyfrowania TLS

  • Serwowanie rekordów MX z serwera z zabezpieczeniem HTTPS

usługi hostowane mta sts
hostowany MTA STS

Protokół MTA-STS jest wdrażany poprzez posiadanie rekordu DNS, który określa, że serwer pocztowy może pobierać plik z polityką z określonej subdomeny. Plik ten jest pobierany przez HTTPS i uwierzytelniany za pomocą certyfikatów, wraz z listą nazw serwerów pocztowych odbiorców. Protokół określa serwerowi SMTP, że komunikacja z drugim serwerem SMTP musi być szyfrowana i że nazwa domeny na certyfikacie powinna odpowiadać domenie pliku polityki. Jeżeli MTA-STS jest wymuszony, to w przypadku braku możliwości wynegocjowania szyfrowanego kanału, wiadomość nie jest w ogóle dostarczana.

Plik polityki MTA-STS

Plik polityki MTA-STS jest w zasadzie prostym plikiem tekstowym, który wygląda jak poniżej:

wersja: STSv1
tryb: enforce
mx: mx1.powerdmarc.com
mx: mx2.powerdmarc.com
mx: mx3.powerdmarc.com
max_age: 604800

Uwaga: Pole wersja musi być zawarte na początku pliku tekstowego, podczas gdy inne pola mogą być włączone w dowolnej kolejności.

Plik polityki używa parowania klucz-wartość z każdą wartością zakodowaną w osobnej linii w pliku tekstowym, jak pokazano powyżej. Rozmiar tego pliku może wynosić do 64 KB. Nazwa pliku polityki musi być mta-sts.txt. Pliki polityki muszą być aktualizowane za każdym razem, gdy dodajesz lub zmieniasz serwery pocztowe w swojej domenie.

Uwaga: Ustawienie MTA-STS w trybie wymuszania może spowodować, że niektóre emaile nie zostaną do Ciebie dostarczone. Dlatego zaleca się ustawienie polityki w trybie testowym i wybranie niskiego max_age, aby upewnić się, że wszystko działa poprawnie przed przejściem do trybu wymuszania. Zalecamy również ustawienie TLS-RPT dla polityki w trybie testowym, aby otrzymywać powiadomienia w przypadku, gdy emaile są wysyłane w plaintext. 

MTA-STS-Policy

Publikowanie pliku polityki MTA-STS

Aby opublikować plik polityki MTA-STS, serwer WWW, który hostuje plik musi:

  • Obsługa HTTPS/SSL
  • Certyfikat serwera musi być podpisany i zatwierdzony przez niezależny urząd certyfikacji root.

Aby opublikować plik polityki dla swojej domeny, należy postawić publiczny serwer WWW z subdomeną "mta-sts" dodaną do domeny. Utworzony plik polityki musi być opublikowany w katalogu .well-known utworzonym w subdomenie. Adres URL dla przesłanego pliku polityki MTA-STS może wyglądać mniej więcej tak:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

hostowany MTA STS

Rekord DNS MTA-STS

Rekord DNS TXT dla MTA-STS jest publikowany w DNS Twojej domeny, aby określić, że Twoja domena obsługuje protokół MTA-STS oraz aby zasygnalizować odświeżenie zbuforowanych wartości w MTA w przypadku zmiany polityki. Rekord DNS MTA-STS jest umieszczany w subdomenie _mta-sts jak w: _mta-sts.powerdmarc.com. Rekord TXT musi zaczynać się od v=STSv1, a wartość "id" wartość może zawierać do 32 znaków alfanumerycznych, zawartych w następujący sposób:

 v=STSv1; id=30271001S00T000;

Uwaga: Wartość id rekordu TXT musi być aktualizowana do nowej wartości przy każdorazowym wprowadzaniu zmian w polityce. 

Rekord DNS MTA-STS jest używany do: 

  • Określ wsparcie dla MTA-STS dla domeny
  • Sygnalizowanie MTA do ponownego pobrania polityki przez HTTPS w przypadku zmiany polityki

Zwróć uwagę, że dzięki rekordowi DNS MTA-STS TXT, plik z polityką może być przechowywany przez MTA przez dłuższy czas bez konieczności ponownego pobierania polityki, chyba że została ona zmieniona, jednocześnie nadal wykonując zapytanie DNS za każdym razem, gdy odebrany zostanie email dla danej domeny.

Konfiguracja MTA-STS dla Twojej domeny

Aby włączyć MTA-STS dla swojej domeny należy:

  • Dodaj rekord DNS typu cname pod adresem mta-sts.example.comskierowany na serwer WWW z obsługą HTTPS, który hostuje plik polityki MTA-STS.

  • Dodaj rekord DNS typu txt lub cname pod adresem _mta-sts.example.com który określa wsparcie dla MTA-STS dla Twojej domeny.

  • Skonfiguruj serwer WWW z obsługą HTTPS i ważnym certyfikatem dla swojej domeny.

  • Włącz raportowanie SMTP TLS dla swojej domeny, aby wykryć problemy w dostarczaniu wiadomości e-mail spowodowane błędami w szyfrowaniu TLS.

ikona wyszukiwania rekordów spf powerdmarc

Wyzwania napotkane podczas ręcznego wdrażania MTA-STS

MTA-STS wymaga serwera WWW z obsługą HTTPS i ważnym certyfikatem, rekordów DNS oraz stałej konserwacji, co sprawia, że proces wdrażania jest długi, czasochłonny i skomplikowany. Dlatego w PowerDMARC pomagamy Ci zarządzać większością rzeczy w tle, publikując tylko trzy rekordy CNAME w DNS Twojej domeny.

Usługi MTA-STS świadczone przez PowerDMARC

PowerDMARC ułatwi Ci życie, ponieważ zajmie się tym wszystkim za Ciebie, całkowicie w tle. Gdy pomożemy Ci to skonfigurować, już nigdy więcej nie będziesz musiał o tym myśleć.

  • Pomożemy Ci opublikować Twoje rekordy cname za pomocą zaledwie kilku kliknięć

  • Bierzemy na siebie odpowiedzialność za utrzymanie serwera www i hosting certyfikatów

  • Dzięki naszym hostowanym usługom MTA-STS, wdrożenie po Twojej stronie jest zredukowane do opublikowania kilku rekordów DNS.

  • Zmiany w polityce MTA-STS można wprowadzać natychmiastowo i z łatwością, poprzez pulpit PowerDMARC, bez konieczności ręcznego wprowadzania zmian w DNS.

  • Hostowane usługi MTA-STS firmy PowerDMARC są zgodne z RFC i obsługują najnowsze standardy TLS.

  • Od generowania certyfikatów i pliku polityki MTA-STS do egzekwowania polityki, pomagamy Ci uniknąć ogromnych zawiłości związanych z przyjęciem protokołu.

Raportowanie SMTP TLS (TLS-RPT)

Aby uczynić połączenie pomiędzy dwoma komunikującymi się serwerami SMTP bardziej bezpiecznym i zaszyfrowanym przez TLS, wprowadzono MTA-STS, który wymusza szyfrowanie i zapobiega dostarczaniu e-maili w czystym tekście, w przypadku gdy jeden z serwerów nie obsługuje TLS. Jednak jeden problem nadal pozostaje nierozwiązany, a mianowicie: Jak powiadomić właścicieli domen, jeśli zdalne serwery mają problemy z dostarczaniem emaili z powodu awarii szyfrowania TLS? Tutaj do gry wkracza TLS-RPT, który dostarcza raporty diagnostyczne umożliwiające monitorowanie i rozwiązywanie problemów z komunikacją pomiędzy serwerami, takich jak wygasłe certyfikaty TLS, błędna konfiguracja serwerów pocztowych lub brak możliwości wynegocjowania bezpiecznego połączenia z powodu braku wsparcia dla szyfrowania TLS.

Raporty TLS pomagają wykrywać i reagować na problemy w dostarczaniu wiadomości email poprzez mechanizm raportowania w postaci plików JSON. Te pliki JSON mogą być skomplikowane i nie do rozszyfrowania dla osoby nietechnicznej.

PowerDMARC pomaga uprościć pliki JSON w formie prostych, obszernych i czytelnych dokumentów z wykresami i tabelami dla Twojej wygody. Raporty diagnostyczne dla Twojej domeny są również wyświetlane w dwóch formatach na dashboardzie PowerDMARC: per wynik i per źródło wysyłania.

powerdmarc tls rpt
wykresy json

Włączenie TLS-RPT dla twojej domeny

Proces włączenia raportowania SMTP TLS jest dość prosty. Wszystko, co musisz zrobić, aby to włączyć, to dodać rekord TXT DNS w odpowiedniej lokalizacji, z prefiksem _smtp._tls. do nazwy domeny. W PowerDMARC można to ustawić bezpośrednio z interfejsu użytkownika PowerDMARC bez konieczności dokonywania jakichkolwiek zmian w DNS!

Jak tylko włączysz TLS-RPT, współpracujące z nim Mail Transfer Agents zaczną wysyłać raporty diagnostyczne dotyczące problemów z dostarczeniem emaili pomiędzy komunikującymi się serwerami do wyznaczonej domeny email. Raporty wysyłane są zazwyczaj raz dziennie i zawierają informacje na temat polityki MTA-STS przestrzeganej przez nadawców, statystyki ruchu oraz informacje o niepowodzeniach lub problemach w dostarczaniu poczty.

Czytaj więcej

Najczęściej zadawane pytania

Panel kontrolny PowerDMARC pozwala automatycznie skonfigurować MTA-STS i TLS-RPT dla Twojej domeny poprzez opublikowanie tylko trzech rekordów CNAME w DNS domeny. Od hostingu plików polityki MTAS-STS i certyfikatów do utrzymania serwera WWW, dbamy o to wszystko w tle, bez konieczności dokonywania jakichkolwiek zmian w DNS. Wdrożenie MTA-STS z Twojej strony z PowerDMARC jest zredukowane do zaledwie kilku kliknięć.

Możesz wdrożyć i zarządzać MTA-STS dla wszystkich swoich domen z konta PowerDMARC, za pomocą jednej szyby. W przypadku, gdy któraś z tych domen korzysta z serwerów pocztowych, które nie obsługują STARTTLS, będzie to widoczne w raportach TLS, pod warunkiem, że masz włączony TLS-RPT dla tych domen.

Zawsze zaleca się ustawienie trybu polityki MTA-STS na testowanie podczas początkowych faz wdrożenia, tak aby można było monitorować aktywność i uzyskać wgląd w swój ekosystem emailowy przed przejściem na bardziej agresywną politykę typu enforce. W ten sposób, nawet jeśli emaile nie są wysyłane przez szyfrowane połączenie TLS, nadal będą wysyłane w postaci plaintext. Upewnij się jednak, że włączyłeś TLS-RPT, aby otrzymywać powiadomienia, jeśli tak się stanie.

TLS-RPT to rozbudowany mechanizm raportowania, który pozwala na otrzymanie powiadomienia w przypadku, gdy nie udało się nawiązać bezpiecznego połączenia i wiadomość e-mail nie została dostarczona do użytkownika. Pomaga to wykryć problemy w dostarczaniu wiadomości e-mail lub wiadomości dostarczonych przez niezabezpieczone połączenie, dzięki czemu można je szybko złagodzić i rozwiązać.

Musisz zauważyć, że podczas gdy MTA-STS zapewnia, że e-maile są przesyłane przez szyfrowane połączenie TLS, w przypadku gdy bezpieczne połączenie nie zostanie wynegocjowane, e-mail może w ogóle nie zostać dostarczony. Jest to jednak konieczne, ponieważ zapewnia, że email nie jest dostarczany przez niezaszyfrowaną ścieżkę. Aby uniknąć takich problemów, zaleca się skonfigurowanie polityki MTA-STS w trybie testowym i włączenie TLS-RPT dla domeny na początku, przed przejściem do trybu egzekwowania MTA-STS. 

Możesz łatwo zmienić tryb MTA-STS z pulpitu nawigacyjnego PowerMTA-STS, wybierając żądany tryb polityki i zapisując zmiany bez konieczności dokonywania jakichkolwiek zmian w DNS.

Możesz wyłączyć MTA-STS dla swojej domeny albo ustawiając tryb polityki na none, określając w ten sposób MTA, że twoja domena nie obsługuje protokołu, albo usuwając rekord TXT MTA-STS DNS. 

Rekordy MX dla pliku polityki MTA-STS powinny zawierać wpisy dla wszystkich serwerów poczty odbiorczej wykorzystywanych przez domenę.

Zaplanuj prezentację już dziś
bezpieczna poczta elektroniczna powerdmarc

15-dniowy trialZamów demo