Powszechnie znanym standardem internetowym, który ułatwia poprzez poprawę bezpieczeństwa połączeń pomiędzy serwerami SMTP (Simple Mail Transfer Protocol) jest SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
W roku 1982, SMTP został po raz pierwszy określony i nie zawierał żadnego mechanizmu zapewniającego bezpieczeństwo na poziomie transportu, aby zabezpieczyć komunikację pomiędzy agentami transferu poczty. Jednak w 1999 roku do SMTP została dodana komenda STARTTLS, która z kolei wspierała szyfrowanie e-maili pomiędzy serwerami, dając możliwość konwersji niezabezpieczonego połączenia na bezpieczne, szyfrowane przy użyciu protokołu TLS.
W takim razie pewnie zastanawiasz się, że skoro SMTP zaadoptował STARTTLS do zabezpieczania połączeń między serwerami, to dlaczego wymagana była zmiana na MTA-STS? Przejdźmy do tego w następnej części tego bloga!
Potrzeba przejścia na MTA-STS
STARTTLS nie był idealny i nie udało mu się rozwiązać dwóch głównych problemów: pierwszym z nich jest to, że jest to środek opcjonalny, dlatego STARTTLS nie zapobiega atakom typu man-in-the-middle (MITM). Dzieje się tak dlatego, że atakujący MITM może łatwo zmodyfikować połączenie i uniemożliwić aktualizację szyfrowania. Drugim problemem jest to, że nawet jeśli STARTTLS jest zaimplementowany, nie ma sposobu na uwierzytelnienie tożsamości serwera wysyłającego, ponieważ serwery pocztowe SMTP nie walidują certyfikatów.
Chociaż większość wychodzących wiadomości e-mail jest obecnie zabezpieczona za pomocą szyfrowania Transport Layer Security (TLS), które jest standardem branżowym przyjętym nawet w konsumenckiej poczcie elektronicznej, napastnicy nadal mogą utrudniać korzystanie z poczty elektronicznej i manipulować nią jeszcze zanim zostanie zaszyfrowana. Jeśli Twoja poczta elektroniczna jest transportowana przez bezpieczne połączenie, Twoje dane mogą zostać naruszone lub nawet zmodyfikowane i zmanipulowane przez cybernetycznego napastnika. Tutaj właśnie wkracza MTA-STS i rozwiązuje ten problem, gwarantując bezpieczny tranzyt dla Twoich emaili, jak również skutecznie łagodząc ataki MITM. Ponadto, MTA przechowują pliki polityki MTA-STS, utrudniając atakującym przeprowadzenie ataku DNS spoofing.
MTA-STS zapewnia ochronę przed :
- Ataki na obniżenie ratingu
- Ataki typu MITM (Man-In-The-Middle)
- Rozwiązuje wiele problemów związanych z bezpieczeństwem SMTP, w tym wygasłe certyfikaty TLS i brak wsparcia dla bezpiecznych protokołów.
Jak działa MTA-STS?
Protokół MTA-STS wdrażany jest poprzez posiadanie rekordu DNS, który określa, że serwer pocztowy może pobierać plik z polityką z określonej subdomeny. Plik ten jest pobierany przez HTTPS i uwierzytelniany za pomocą certyfikatów wraz z listą nazw serwerów pocztowych odbiorców. Implementacja MTA-STS jest łatwiejsza po stronie odbiorcy w porównaniu do strony wysyłającej, gdyż wymaga obsługi przez oprogramowanie serwera pocztowego. Niektóre serwery pocztowe obsługują MTA-STS, np. PostFix, ale nie wszystkie.
Główni dostawcy usług pocztowych, tacy jak Microsoft, Oath i Google, obsługują MTA-STS. Gmail firmy Google przyjął już zasady MTA-STS w ostatnim czasie. MTA-STS usunął wady w bezpieczeństwie połączeń e-mail, czyniąc proces zabezpieczania połączeń łatwym i dostępnym dla obsługiwanych serwerów pocztowych.
Połączenia od użytkowników do serwerów pocztowych są zazwyczaj chronione i szyfrowane protokołem TLS, jednak mimo to przed wdrożeniem MTA-STS istniał brak bezpieczeństwa w połączeniach pomiędzy serwerami pocztowymi. Wraz ze wzrostem świadomości na temat bezpieczeństwa poczty elektronicznej w ostatnich czasach i wsparciem ze strony głównych dostawców poczty na całym świecie, oczekuje się, że większość połączeń między serwerami będzie szyfrowana w najbliższej przyszłości. Co więcej, MTA-STS skutecznie gwarantuje, że cyberprzestępcy w sieciach nie są w stanie odczytać treści wiadomości e-mail.
Łatwe i szybkie wdrożenie hostowanych usług MTA-STS przez PowerDMARC
MTA-STS wymaga serwera WWW z obsługą protokołu HTTPS i ważnym certyfikatem, rekordów DNS oraz stałej obsługi technicznej. PowerDMARC ułatwi Ci życie, ponieważ zajmie się tym wszystkim za Ciebie, całkowicie w tle. Gdy już pomożemy Ci to skonfigurować, nigdy więcej nie będziesz musiał o tym myśleć.
Z pomocą PowerDMARC możesz wdrożyć Hosted MTA-STS w swojej organizacji bez kłopotów i w bardzo szybkim tempie, za pomocą którego możesz wymusić wysyłanie e-maili do swojej domeny przez szyfrowane połączenie TLS, dzięki czemu połączenie jest bezpieczne, a ataki MITM trzymane z daleka.
