Ważne ostrzeżenie: Google i Yahoo będą wymagać DMARC od lutego 2024 r.
szyfrowanie tls

Agent transferu poczty - ścisłe bezpieczeństwo transportu (MTA-STS)

MTA-STS, jak sama nazwa wskazuje, jest protokołem umożliwiającym szyfrowany transport wiadomości pomiędzy dwoma serwerami pocztowymi SMTP. MTA-STS określa serwerom wysyłającym, że wiadomości powinny być wysyłane tylko przez połączenie szyfrowane TLS, a nie powinny być w ogóle dostarczane w przypadku, gdy bezpieczne połączenie nie zostanie nawiązane za pomocą komendy STARTTLS. Zwiększając bezpieczeństwo poczty w tranzycie, MTA-STS pomaga w łagodzeniu ataków typu Man-In-The-Middle (MITM), takich jak ataki SMTP downgrade oraz ataki DNS spoofing.

Jak MTA-STS zapewnia szyfrowanie wiadomości w tranzycie?

Weźmy prosty przykład, aby zrozumieć jak wiadomości są szyfrowane podczas przepływu emaili. Jeśli MTA wysyła email do [email protected]MTA wykonuje zapytanie DNS, aby dowiedzieć się, do którego MTA ma zostać wysłany email. Zapytanie DNS jest wysyłane w celu pobrania rekordów MX dla powerdmarc.com. Wysyłający MTA następnie łączy się z odbierającym MTA znalezionym w wyniku zapytania DNS, pytając czy ten serwer odbierający obsługuje szyfrowanie TLS. Jeśli tak, email jest wysyłany przez szyfrowane połączenie, jeśli jednak nie, wysyłające MTA nie udaje się wynegocjować bezpiecznego połączenia i wysyła email w postaci zwykłego tekstu.

Wysyłanie maili niezaszyfrowaną ścieżką toruje drogę do wszechobecnych ataków monitorujących, takich jak MITM czy SMTP downgrade. Dowiedzmy się jak: