co to jest mta-sts i dlaczego go potrzebujesz? Mail Transfer Agent Strict Transport Security

Powszechnie znanym standardem internetowym, który ułatwia poprzez poprawę bezpieczeństwa połączeń między serwerami SMTP (Simple Mail Transfer Protocol) jest SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS rozwiązuje istniejące problemy w bezpieczeństwie poczty elektronicznej SMTP, wymuszając szyfrowanie TLS w tranzycie.

Historia i pochodzenie MTA-STS

W roku 1982 po raz pierwszy określono specyfikację SMTP, która nie zawierała żadnego mechanizmu zapewniającego bezpieczeństwo na poziomie transportu w celu zabezpieczenia komunikacji pomiędzy agentami transferu poczty. Jednak w 1999 roku do SMTP dodano polecenie STARTTLS, które z kolei wspierało szyfrowanie wiadomości e-mail pomiędzy serwerami, dając możliwość przekształcenia niezabezpieczonego połączenia w bezpieczne, szyfrowane za pomocą protokołu TLS.

W takim razie pewnie zastanawiasz się, czy SMTP zaadoptował STARTTLS do zabezpieczenia połączeń między serwerami, dlaczego wymagana była zmiana na MTA-STS i co to w ogóle robi? Wskoczmy w to w kolejnych częściach tego bloga!

Co to jest MTA-STS? (Mail Transfer Agent Strict Transport Security - Explained)

MTA-STS to standard bezpieczeństwa, który zapewnia bezpieczną transmisję wiadomości e-mail przez szyfrowane połączenie SMTP. Skrót MTA oznacza Message Transfer Agent, czyli program, który przekazuje wiadomości e-mail między komputerami. Skrót STS oznacza Strict Transport Security, czyli protokół używany do implementacji standardu. Agent przesyłania poczty (MTA) lub bezpieczny agent przesyłania wiadomości (SMTA) świadomy MTA-STS działa zgodnie z tą specyfikacją i zapewnia bezpieczny kanał end-to-end do wysyłania wiadomości e-mail przez niezabezpieczone sieci.

Protokół MTA-STS pozwala klientowi SMTP zweryfikować tożsamość serwera i upewnić się, że nie łączy się on z oszustem, wymagając od serwera podania odcisku palca jego certyfikatu w trakcie rozmowy TLS. Klient następnie weryfikuje certyfikat z magazynem zaufania zawierającym certyfikaty znanych serwerów.

Potrzeba przejścia na MTA-STS

STARTTLS nie był idealny i nie udało mu się rozwiązać dwóch głównych problemów: pierwszym z nich jest to, że jest to środek opcjonalny, dlatego STARTTLS nie zapobiega atakom typu man-in-the-middle (MITM). Dzieje się tak dlatego, że atakujący MITM może łatwo zmodyfikować połączenie i uniemożliwić aktualizację szyfrowania. Drugim problemem jest to, że nawet jeśli STARTTLS jest zaimplementowany, nie ma sposobu na uwierzytelnienie tożsamości serwera wysyłającego, ponieważ serwery pocztowe SMTP nie walidują certyfikatów.

Chociaż większość wychodzących wiadomości e-mail jest dziś zabezpieczona szyfrowaniem Transport Layer Security (TLS), standardem branżowym przyjętym nawet przez konsumentów poczty elektronicznej, napastnicy nadal mogą utrudniać i manipulować Twoją wiadomością, nawet zanim zostanie ona zaszyfrowana. Jeśli przesyłasz swoje wiadomości e-mail przez bezpieczne połączenie, Twoje dane mogą zostać naruszone lub nawet zmodyfikowane i zmanipulowane przez cybernetycznego napastnika. W tym miejscu MTA-STS wkracza i rozwiązuje ten problem, gwarantując bezpieczny tranzyt dla Twoich e-maili, jak również skutecznie łagodząc ataki MITM. Co więcej, MTA przechowują pliki polityki MTA-STS, utrudniając atakującym przeprowadzenie ataku DNS spoofing.

MTA-STS zapewnia ochronę przed :

  • Ataki na obniżenie ratingu
  • Ataki typu MITM (Man-In-The-Middle)
  • Rozwiązuje wiele problemów związanych z bezpieczeństwem SMTP, w tym wygasłe certyfikaty TLS i brak wsparcia dla bezpiecznych protokołów.

Jak działa MTA-STS?

Protokół MTA-STS jest wdrażany poprzez posiadanie rekordu DNS, który określa, że serwer pocztowy może pobrać plik polityki z określonej subdomeny. Plik ten jest pobierany przez HTTPS i uwierzytelniany za pomocą certyfikatów, wraz z listą nazw serwerów pocztowych odbiorcy. Wdrożenie MTA-STS jest łatwiejsze po stronie odbiorcy w porównaniu do strony wysyłającej, ponieważ wymaga obsługi przez oprogramowanie serwera pocztowego. Niektóre serwery pocztowe obsługują MTA-STS, np. PostFix, ale nie wszystkie.

hostowany MTA STS

Główni dostawcy usług pocztowych, tacy jak Microsoft, Oath i Google, obsługują MTA-STS. Gmail firmy Google przyjął już zasady MTA-STS w ostatnim czasie. MTA-STS usunął wady w bezpieczeństwie połączeń e-mail, czyniąc proces zabezpieczania połączeń łatwym i dostępnym dla obsługiwanych serwerów pocztowych.

Połączenia od użytkowników do serwerów pocztowych są zazwyczaj chronione i szyfrowane protokołem TLS, jednak mimo to przed wdrożeniem MTA-STS istniał brak bezpieczeństwa w połączeniach pomiędzy serwerami pocztowymi. Wraz ze wzrostem świadomości na temat bezpieczeństwa poczty elektronicznej w ostatnich czasach i wsparciem ze strony głównych dostawców poczty na całym świecie, oczekuje się, że większość połączeń między serwerami będzie szyfrowana w najbliższej przyszłości. Co więcej, MTA-STS skutecznie gwarantuje, że cyberprzestępcy w sieciach nie są w stanie odczytać treści wiadomości e-mail.

Łatwe i szybkie wdrożenie hostowanych usług MTA-STS przez PowerDMARC

MTA-STS wymaga serwera WWW z obsługą HTTPS i ważnym certyfikatem, rekordów DNS i stałej konserwacji. Narzędzie analizatora DMARC firmy PowerDMARC znacznie ułatwia życie, ponieważ zajmuje się tym wszystkim za Ciebie, całkowicie w tle. Gdy pomożemy Ci to skonfigurować, nigdy więcej nie będziesz musiał o tym myśleć.

Z pomocą PowerDMARC możesz wdrożyć Hosted MTA-STS w swojej organizacji bez kłopotów i w bardzo szybkim tempie, za pomocą którego możesz wymusić wysyłanie e-maili do swojej domeny przez szyfrowane połączenie TLS, dzięki czemu połączenie jest bezpieczne, a ataki MITM trzymane z daleka.