шифрование tls

Агент по пересылке почты - Районная транспортная безопасность (MTA-STS)

MTA-STS, как и следует из названия, является протоколом, который обеспечивает зашифрованную передачу сообщений между двумя почтовыми серверами SMTP. MTA-STS указывает отправляющим серверам, что сообщения должны отправляться только по зашифрованному TLS соединению и не должны доставляться вовсе, если защищенное соединение не установлено с помощью команды STARTTLS. Улучшая безопасность транзитной электронной почты, MTA-STS помогает смягчать атаки типа "человек в середине" (Man-In-The-Middle attacks, MITM), такие как атаки SMTP downgrade, и атаки с подменой DNS.

Как MTA-STS обеспечивает шифрование сообщений в процессе транзита?

Давайте рассмотрим простой пример, чтобы понять, как сообщения шифруются во время почтового потока. Если MTA посылает электронное сообщение по адресу [email protected]MTA выполняет DNS-запрос, чтобы выяснить, в какие MTA должны быть отправлены сообщения электронной почты. DNS-запрос отправляется для получения MX-записей Powerdmarc.com. Отправляющий MTA затем соединяется с получающим MTA, найденным в результате DNS-запроса, спрашивая, поддерживает ли этот получающий сервер TLS-шифрование. Если это так, электронная почта отправляется по зашифрованному соединению, однако, если это не так, отправляющий MTA не может договориться о защищенном соединении и отправляет электронную почту открытым текстом.

Отправка электронной почты по незашифрованному пути прокладывает путь к таким распространенным мониторинговым атакам, как MITM и SMTP понижение рейтинга. Давайте выясним, как: