Co to jest raportowanie SMTP TLS?
TLS Reporting to mechanizm odwrotnego sprzężenia zwrotnego, który pomaga właścicielom domen znaleźć problemy z dostarczaniem wiadomości e-mail z najwyższą dokładnością. Działa on w połączeniu z MTA-STS i zapewnia dane śledzenia odesłanych wiadomości e-mail, które nie zostały dostarczone z powodu nieudanego uzgadniania TLS.
Co oznacza raportowanie TLS?
TLS Reporting (TLS-RPT) to standard raportowania problemów z dostarczaniem wiadomości e-mail, które występują, gdy wiadomość e-mail nie jest szyfrowana za pomocą TLS. Obsługuje protokół MTA-STS, który jest używany do zagwarantowania, że każda wiadomość e-mail wysłana do domeny zostanie zaszyfrowana TLS.
- Szyfrowanie TLS zapewnia bezpieczne dostarczanie każdej wysłanej wiadomości e-mail. Atakujący może jednak podjąć próbę downgrade'u SMTP, czyli ataku polegającego na wysłaniu wiadomości e-mail bez szyfrowania, co pozwala na odczytanie lub manipulowanie zawartością. MTA-STS zwalcza to poprzez konieczność szyfrowania wszystkich wiadomości e-mail przed ich wysłaniem do użytkownika. Jeśli atakujący spróbuje wykonać downgrade SMTP, wiadomość e-mail nie zostanie w ogóle wysłana.
- TLS-RPT umożliwia Tobie, właścicielowi domeny, otrzymywanie raportów o każdym emailu, który nie został zaszyfrowany i nie został do Ciebie wysłany. Możesz wtedy zidentyfikować źródło problemu i naprawić problemy z dostawą.
Jak działa raportowanie TLS?
Raportowanie TLS (TLS-RPT) jest używane do obsługi protokołu MTA-STS, który zapewnia, że wiadomości e-mail są szyfrowane przed dostarczeniem. Normalnie, Twój serwer pocztowy lub Mail Transfer Agent (MTA) negocjuje z serwerem odbiorczym, czy obsługuje on komendę STARTTLS. Jeśli tak, poczta zostaje zaszyfrowana za pomocą TLS i dostarczona do odbierającego MTA.
Atakujący może w tym momencie próbować ataku SMTP downgrade, który polega na zablokowaniu negocjacji pomiędzy MTA wysyłającym i odbierającym. Serwer wysyłający myśli, że odbiorca nie obsługuje komendy STARTTLS i wysyła e-mail bez szyfrowania TLS, umożliwiając atakującemu podgląd lub manipulację treścią e-maila.
Wdrożenie MTA-STS w domenie powoduje, że serwer wysyłający musi szyfrować wiadomości przed ich wysłaniem. Jeśli atakujący spróbuje ataku SMTP downgrade, wiadomość e-mail po prostu nie zostanie wysłana. Zapewnia to szyfrowanie TLS we wszystkich wiadomościach e-mail.
Raportowanie TLS (TLS-RPT) to protokół, który powiadamia właściciela domeny o problemach z dostarczaniem wiadomości e-mail wysyłanych za pośrednictwem domeny. Jeśli wiadomość e-mail nie zostanie wysłana z powodu obniżenia wersji SMTP lub innego problemu, otrzymasz raport w formacie pliku JSON zawierający szczegóły wiadomości e-mail, która nie powiodła się. Raport ten nie zawiera treści wiadomości e-mail.
Dlaczego potrzebujesz raportowania SMTP TLS?
Istotne jest, aby właściciele domen byli informowani o problemach z dostarczaniem wiadomości e-mail z powodu awarii szyfrowania TLS dla wiadomości e-mail wysyłanych z domeny obsługującej MTA-STS. Raportowanie TLS umożliwia to poprzez dostarczanie tych informacji.
Otrzymywanie raportów zwrotnych
Jeśli wiadomość nie zostanie wysłana, raportowanie TLS pomaga w otrzymaniu powiadomienia o tym fakcie
Aby uzyskać całkowitą widoczność kanałów e-mail
Uzyskaj szczegółowy wgląd w przepływ wiadomości e-mail dzięki raportowaniu TLS.
Aby wyeliminować problemy z dostawą
Raportowanie TLS pomaga zidentyfikować źródło problemu i naprawić go bez opóźnień.
Kroki aktywacji raportowania TLS
Możesz włączyć raportowanie TLS dla swojej domeny, tworząc rekord TXT dla TLS-RPT i publikując go w DNS. Rekord ten musi być opublikowany w subdomenie _smtp._tls.yourdomain.com
Przykład rekordu TLS-RPT
v=TLSRPTv1; rua=mailto:[email protected];
Rozbijmy składniki dostarczonego rekordu raportowania TLS:
v=TLSRPTv1:
Ten znacznik określa wersję używanego protokołu TLS-RPT. W tym przypadku, "TLSRPTv1" oznacza pierwszą wersję protokołu TLS-RPT.
rua=mailto:[email protected]:
Ten znacznik wskazuje URI raportowania dla raportów zagregowanych (RUA). Określa, gdzie serwer pocztowy odbiorcy powinien wysyłać zagregowane raporty o awariach TLS. rua oznacza "Reporting URI for Aggregated Reports".
Wartość "mailto:[email protected]" to identyfikator URI określający adres e-mail ([email protected]) na który zagregowane raporty powinny być wysyłane pocztą elektroniczną.
W praktyce można zastąpić "yourdomain.com" rzeczywistą nazwą domeny, w której chcesz otrzymywać te raporty.
Znaczenie każdego komponentu:
v=TLSRPTv1:
Wskazuje wersję używanego protokołu TLS-RPT. Pomaga to zapewnić kompatybilność między nadawcą i odbiorcą raportów.
rua=mailto:[email protected]:
Określa miejsce docelowe zagregowanych raportów dotyczących problemów z dostarczaniem TLS. Podając adres e-mail do raportowania, właściciele domen mogą otrzymywać informacje o nieudanych lub problematycznych połączeniach TLS. Raporty są cenne dla diagnozowania potencjalnych problemów z bezpieczeństwem lub konfiguracją związanych z komunikacją e-mail.
Format raportowania TLS i przykład raportu
Raport JSON TLS jest zgodny z określonym formatem zdefiniowanym w specyfikacji TLS-RPT (Transport Layer Security Reporting Policy). Format ten jest używany do przekazywania informacji o problemach z dostarczaniem wiadomości e-mail związanych z szyfrowaniem TLS. Poniżej znajduje się przykład tego, jak może wyglądać raport JSON TLS:
Oto podział głównych pól w tym raporcie JSON TLS:
organizacja: Organizacja domeny, która jest właścicielem rekordu TLS-RPT.
e-mail: Adres e-mail, na który wysyłane są raporty zbiorcze.
begin_date: Data rozpoczęcia okresu sprawozdawczego.
end_date: Data zakończenia okresu sprawozdawczego.
polityki: Tablica obiektów zasad opisujących zasady stosowane w okresie sprawozdawczym.
polityka: Zawiera informacje o zastosowanej polityce.
policy_type: Określa typ polityki (np. "policy" dla polityki TLS).
policy_string: Określa ciąg polityki powiązany z polityką (np. "reject" dla ścisłej polityki TLS).
podsumowanie: Zawiera podsumowanie informacji o sesjach, których próbowano użyć.
total_successful_session_count: Całkowita liczba pomyślnie nawiązanych sesji TLS.
total_failure_session_count: Całkowita liczba niepowodzeń sesji TLS.
failure_details: Tablica obiektów, które dostarczają szczegółowych informacji o określonych awariach.
powód: Ciąg znaków wskazujący przyczynę niepowodzenia (np. "certificate_expired").
liczyć: Liczba sesji, które zakończyły się niepowodzeniem z określonego powodu.
Przyczyny i typy błędów szyfrowania TLS
Kwestie związane z certyfikatami:
- certificate_expired: Certyfikat przedstawiony przez zdalny serwer przekroczył datę wygaśnięcia, co czyni go niewiarygodnym do szyfrowania.
- certificate_not_valid_yet: Certyfikat przedstawiony przez zdalny serwer nie jest jeszcze ważny, prawdopodobnie z powodu nieprawidłowego czasu serwera lub przedwczesnego użycia certyfikatu.
- certificate_revoked: Certyfikat przedstawiony przez zdalny serwer został unieważniony przez urząd certyfikacji ze względów bezpieczeństwa.
- untrusted_certificate: Łańcuch certyfikatów przedstawiony przez zdalny serwer nie jest zaufany przez serwer lub klienta poczty nadawcy, co wskazuje na potencjalne zagrożenie bezpieczeństwa.
- no_valid_signature: Certyfikat przedstawiony przez zdalny serwer nie jest prawidłowo podpisany przez zaufany urząd certyfikacji, co budzi obawy co do jego autentyczności.
- unsupported_certificate: Certyfikat przedstawiony przez zdalny serwer używa algorytmów szyfrowania lub długości kluczy, które nie są obsługiwane przez serwer pocztowy nadawcy, uniemożliwiając bezpieczne połączenie.
Niezgodność nazwy hosta i tożsamości
- hostname_mismatch: Nazwa hosta określona w certyfikacie serwera nie jest zgodna z nazwą hosta serwera, z którym próbuje połączyć się serwer poczty nadawcy, co wskazuje na możliwy atak typu man-in-the-middle lub problem z konfiguracją.
Zestaw szyfrów i konfiguracja szyfrowania
- insecure_cipher_suite: Zestaw szyfrów wynegocjowany między serwerami pocztowymi nadawcy i odbiorcy jest uważany za słaby lub niezabezpieczony, co potencjalnie zagraża poufności i integralności komunikacji.
- protocol_version_mismatch: Występuje niezgodność w obsługiwanych wersjach protokołu TLS między serwerami pocztowymi nadawcy i odbiorcy, uniemożliwiająca im nawiązanie zgodnego szyfrowanego połączenia.
- no_shared_cipher_suite: Nie ma wspólnego zestawu szyfrów dostępnego dla serwerów pocztowych nadawcy i odbiorcy do szyfrowania, co skutkuje nieudanym połączeniem.
Uścisk dłoni i kwestie związane z protokołem
- handshake_failure: Wystąpił błąd podczas początkowego procesu uzgadniania TLS między serwerem pocztowym nadawcy a serwerem pocztowym odbiorcy, uniemożliwiając ustanowienie bezpiecznego kanału.
- unexpected_message: Serwer pocztowy nadawcy otrzymał nieoczekiwaną lub nieobsługiwaną wiadomość podczas procesu uzgadniania TLS, wskazując na potencjalną niezgodność protokołu lub implementacji.
Kwestie polityki MTA-STS
- mta_sts_policy_not_found: Ten błąd występuje, gdy serwer pocztowy nadawcy nie może znaleźć polityki MTA-STS dla domeny odbiorcy.
- mta_sts_policy_invalid: Ten błąd występuje, gdy polityka MTA-STS znaleziona w DNS dla domeny odbiorcy jest nieprawidłowa, zawiera błędy lub nie jest zgodna ze specyfikacją MTA-STS.
- mta_sts_policy_fetch_error: Ten błąd występuje, gdy serwer pocztowy nadawcy napotyka błąd podczas próby pobrania polityki MTA-STS z rekordów DNS domeny odbiorcy.
- mta_sts_connection_failure: Ten błąd występuje, gdy serwer pocztowy nadawcy próbuje nawiązać bezpieczne połączenie przy użyciu MTA-STS, ale kończy się niepowodzeniem z powodów takich jak niezaufane certyfikaty, nieobsługiwane zestawy szyfrów lub inne problemy TLS.
- mta_sts_invalid_hostname: Ten błąd występuje, gdy nazwa hosta serwera pocztowego odbiorcy, określona w polityce MTA-STS, nie jest zgodna z rzeczywistą nazwą hosta serwera.
- mta_sts_policy_upgrade: Ten błąd występuje, gdy serwer pocztowy nadawcy próbuje uaktualnić połączenie do bezpiecznego przy użyciu MTA-STS, ale serwer odbiorcy nie obsługuje aktualizacji.
Uproszczone raportowanie SMTP TLS z PowerDMARC
Raportowanie SMTP TLS w PowerDMARC ma na celu poprawę bezpieczeństwa przy jednoczesnym ułatwieniu życia dzięki hostowanej usłudze.
Przetłumaczone raporty TLS
Złożone raporty JSON do raportowania TLS są konwertowane na uproszczone informacje, które można przejrzeć w kilka sekund lub przeczytać szczegółowo.
Problemy z autowykrywaniem
Platforma PowerDMARC automatycznie wskazuje problem, z którym się borykasz, dzięki czemu możesz go rozwiązać bez straty czasu.
- Jak chronić hasła przed sztuczną inteligencją? - 20 września 2023 r.
- Czym są ataki oparte na tożsamości i jak je powstrzymać? - 20 września 2023 r.
- Czym jest ciągłe zarządzanie narażeniem na zagrożenia (CTEM)? - 19 września 2023 r.