Важное предупреждение: Google и Yahoo будут требовать DMARC с апреля 2024 года.
шифрование tls

Агент по пересылке почты - Районная транспортная безопасность (MTA-STS)

MTA-STS, как и следует из названия, является протоколом, который обеспечивает зашифрованную передачу сообщений между двумя почтовыми серверами SMTP. MTA-STS указывает отправляющим серверам, что сообщения должны отправляться только по зашифрованному TLS соединению и не должны доставляться вовсе, если защищенное соединение не установлено с помощью команды STARTTLS. Улучшая безопасность транзитной электронной почты, MTA-STS помогает смягчать атаки типа "человек в середине" (Man-In-The-Middle attacks, MITM), такие как атаки SMTP downgrade, и атаки с подменой DNS.

Как MTA-STS обеспечивает шифрование сообщений в процессе транзита?

Давайте рассмотрим простой пример, чтобы понять, как сообщения шифруются во время почтового потока. Если MTA посылает электронное сообщение по адресу [email protected]MTA выполняет DNS-запрос, чтобы выяснить, в какие MTA должны быть отправлены сообщения электронной почты. DNS-запрос отправляется для получения MX-записей Powerdmarc.com. Отправляющий MTA затем соединяется с получающим MTA, найденным в результате DNS-запроса, спрашивая, поддерживает ли этот получающий сервер TLS-шифрование. Если это так, электронная почта отправляется по зашифрованному соединению, однако, если это не так, отправляющий MTA не может договориться о защищенном соединении и отправляет электронную почту открытым текстом.

Отправка электронной почты по незашифрованному пути прокладывает путь к таким распространенным мониторинговым атакам, как MITM и SMTP понижение рейтинга. Давайте выясним, как:

Разрушение анатомии атаки MITM.

По сути, атака MITM происходит, когда злоумышленник заменяет или удаляет команду STARTTLS, чтобы заставить защищенное соединение откатиться на незащищенное, без использования TLS шифрования. Это называется атакой по понижению рейтинга. После успешного выполнения понижающей атаки злоумышленник может получить доступ к содержимому электронной почты и просматривать его без помех.

MITM-атакующий может также заменить MX-записи в ответе DNS-запросе почтовым сервером, к которому у него есть доступ и который он контролирует. В этом случае агент передачи почты доставляет электронную почту на сервер злоумышленника, позволяя ему получить доступ к содержимому электронной почты и вмешаться в него. В дальнейшем письмо может быть отправлено на сервер предполагаемого получателя, не будучи обнаруженным. Это называется атакой подделки DNS.

Атака на понижение SMTP

Обеспечение шифрования с помощью MTA-STS

Всякий раз, когда вы отправляете электронную почту, используя SMTP-сервер провайдеров электронной почты, таких как Gmail или Microsoft, электронная почта передается с сервера-отправителя на сервер-получателя через Simple Mail Transfer Protocol (SMTP). Однако SMTP позволяет использовать оппортунистическое шифрование, подразумевая, что связь между серверами SMTP может быть зашифрована, а может и не быть зашифрована, чтобы избежать манипуляций с содержимым электронной почты или подслушивания. MTA-STS публикуется с использованием HTTPS, защищая его от MITM-атак.

MTA-STS обеспечивает доставку по электронной почте: 

  • Внедрение шифрования TLS

  • Обслуживание записей MX с безопасного сервера HTTPS.

услуги мта снтс
хостинговая система MTA STS

Протокол MTA-STS развертывается с помощью DNS-записи, которая указывает, что почтовый сервер может получить файл политики с определенного субдомена. Этот файл политики получается через HTTPS и аутентифицируется с помощью сертификатов вместе со списком имен почтовых серверов получателей. Протокол указывает SMTP-серверу, что связь с другим SMTP-сервером должна быть зашифрована и что доменное имя на сертификате должно совпадать с доменом файла политики. Если MTA-STS внедрен, в случае, если зашифрованный канал не может быть зашифрован, сообщение вообще не доставляется.

Файл политики МТА-СТС

Файл политики MTA-STS по сути является простым текстовым файлом, который выглядит следующим образом:

версия: STSv1
режим: обеспечение исполнения
mx1.powerdmarc.com
mx2.powerdmarc.com
mx3.powerdmarc.com
макс. возраст: 604800

Примечание: поле версии должно быть включено в начало текстового файла, в то время как другие поля могут быть включены в любом порядке.

Файл политики использует пару ключ-значение с каждым значением, закодированным в отдельной строке в текстовом файле, как показано выше. Размер этого файла может быть увеличен до 64 КБ. Имя файла политики должно быть mta-sts.txt. Файлы политики должны обновляться каждый раз, когда вы добавляете или изменяете почтовые серверы в вашем домене.

Примечание: Настройка MTA-STS в режиме принудительного исполнения может привести к тому, что некоторые сообщения электронной почты не будут доставляться Вам. Поэтому рекомендуется установить режим политики на тестирование и выбрать низкий max_age, чтобы удостовериться, что все работает правильно, прежде чем переходить к принудительному исполнению политики. Мы рекомендуем настроить TLS-RPT для вашей политики в тестовом режиме, а также получать уведомления в случае отправки писем открытым текстом. 

MTA-STS-Policy

Публикация файла политики MTA-STS

Для того, чтобы опубликовать файл политики MTA-STS, веб-сервер, на котором расположен ваш файл, должен быть опубликован:

  • Поддержка HTTPS/SSL
  • Сертификат сервера должен быть подписан и подтвержден сторонним корневым центром сертификации.

Для того, чтобы опубликовать файл политики для вашего домена, необходимо настроить публичный веб-сервер с добавленным в ваш домен поддоменом "mta-sts"... Созданный файл политики должен быть опубликован в .известной директории, созданной в этом субдомене. URL-адрес загруженного вами файла политики MTA-STS может выглядеть примерно так:

https://mta-sts.powerdmarc.com/.well-known/mta-sts.txt

хостинговая система MTA STS

Запись DNS MTA-STS

Запись TXT DNS для MTA-STS публикуется в DNS вашего домена, чтобы указать, что ваш домен поддерживает протокол MTA-STS, и для сигнала об обновлении кэшированных значений в MTA в случае изменения политики. Запись MTA-STS DNS помещается в субдомен. _mta-sts как внутри: _mta-sts.powerdmarc.com. Запись TXT должна начинаться с v=STSv1, а также "id" значение может содержать до 32 буквенно-цифровых символов, включенных следующим образом:

 v=STSv1; id=30271001S00T000;

Примечание: Значение идентификатора записи TXT должно обновляться до нового значения каждый раз, когда вы вносите изменения в политику. 

Для этого используется DNS-запись MTA-STS: 

  • Укажите поддержку MTA-STS для домена
  • Сигнализируйте MTA для повторного получения политики через HTTPS, если политика изменена.

Обратите внимание, что с помощью DNS-записи MTA-STS TXT файл политики может храниться в MTA в течение более длительного периода времени без необходимости повторного получения политики, если только она не была изменена, при этом DNS-запрос будет выполняться каждый раз при получении электронного письма для домена.

Настройка MTA-STS для вашего домена

Для того, чтобы включить MTA-STS для вашего домена, вам необходимо:

  • Добавить DNS-запись типа имени в mta-sts.example.comнаправленный на веб-сервер с поддержкой HTTPS, который является хостингом файл политики MTA-STS.

  • Добавить DNS-запись типа txt или cname по адресу _mta-sts.example.com который определяет поддержку MTA-STS для вашего домена.

  • Установите веб-сервер с поддержкой HTTPS с действующим сертификатом для вашего домена.

  • Включите функцию SMTP TLS Reporting для своего домена, чтобы обнаруживать проблемы при доставке электронной почты из-за сбоев в TLS шифровании.

поиск записей spf запись иконка powerdmarc

Проблемы, возникающие при ручном развертывании MTA-STS

MTA-STS требует веб-сервер с поддержкой HTTPS с действующим сертификатом, DNS-записями и постоянным обслуживанием, что делает процесс развертывания длительным, трудоемким и сложным. Вот почему мы в PowerDMARC помогаем вам управлять большинством вещей в фоновом режиме, просто публикуя три CNAME-записи в DNS вашего домена.

Услуги PowerDMARC по хостингу МТА-СТС

PowerDMARC делает вашу жизнь намного проще, управляя всем этим за вас, полностью в фоновом режиме. Как только мы поможем вам настроить его, вам больше никогда не придется даже думать об этом.

  • Мы поможем вам опубликовать записи о ваших именах всего за несколько кликов.

  • Мы берем на себя ответственность за обслуживание веб-сервера и хостинг сертификатов.

  • Благодаря нашим услугам MTA-STS, размещенным на хостинге, развертывание с вашей стороны сводится к простой публикации нескольких записей DNS.

  • Вы можете мгновенно и легко вносить изменения в политику MTA-STS через панель инструментов PowerDMARC, без необходимости вручную вносить изменения в DNS.

  • Услуги PowerDMARC по хостингу MTA-STS соответствуют RFC и поддерживают новейшие стандарты TLS.

  • От создания сертификатов и файла политики MTA-STS до внедрения политики - мы поможем вам избежать огромных сложностей, связанных с принятием протокола.

Отчетность SMTP TLS (TLS-RPT)

Для того, чтобы сделать соединение между двумя сообщающимися SMTP-серверами более безопасным и зашифрованным по TLS, была внедрена система MTA-STS, обеспечивающая шифрование и предотвращающая доставку сообщений электронной почты открытым текстом в случае, если ни один из серверов не поддерживает TLS. Однако одна из проблем все еще остается нерешенной: Как уведомить владельцев доменов, если удаленные серверы сталкиваются с проблемами при доставке электронной почты из-за сбоя в TLS шифровании? Здесь на помощь приходит TLS-RPT, предоставляющий диагностические отчеты, позволяющие осуществлять мониторинг и устранять проблемы при передаче данных с сервера, такие как истечение срока действия TLS сертификатов, неправильные настройки на серверах электронной почты или сбой при переговорах о безопасном подключении по причине отсутствия поддержки TLS шифрования.

Отчеты TLS помогают обнаружить и отреагировать на проблемы при доставке по электронной почте с помощью механизма отчетности в виде JSON-файлов. Эти JSON-файлы могут быть сложными и неразборчивыми для нетехнического человека.

PowerDMARC помогает упростить JSON-файлы в виде простых. полных и читаемых документов с диаграммами и таблицами для Вашего удобства. Диагностические отчеты для вашего домена также отображаются на приборной панели PowerDMARC в двух форматах: по результатам и по источнику отправки.

powerdmarc tls rpt
json-графики

Включение TLS-RPT для вашего домена.

Процесс включения SMTP TLS отчётности достаточно прост. Для его включения достаточно добавить DNS-запись TXT в нужном месте, префиксация _smtp._tls. к вашему доменному имени. Однако с помощью PowerDMARC это можно настроить непосредственно из пользовательского интерфейса PowerDMARC без необходимости внесения каких-либо изменений в DNS!

Как только вы включите TLS-RPT, агенты Mail Transfer Agents начнут посылать диагностические отчеты о проблемах с доставкой почты между сообщающимися серверами в указанный почтовый домен. Отчеты обычно отправляются один раз в день, охватывая и передавая политики MTA-STS, наблюдаемые отправителями, статистику трафика, а также информацию о сбоях или проблемах с доставкой электронной почты.

Часто задаваемые вопросы

Панель управления PowerDMARC позволяет автоматически настроить MTA-STS и TLS-RPT для вашего домена, опубликовав всего три записи CNAME в DNS вашего домена. От размещения файлов политики и сертификатов MTAS-STS до обслуживания веб-сервера - мы позаботимся обо всем этом в фоновом режиме, без необходимости внесения каких-либо изменений в DNS. Развертывание MTA-STS с вашей стороны с помощью PowerDMARC сокращается до нескольких кликов.

Вы можете развернуть и управлять MTA-STS для всех ваших доменов с вашего аккаунта PowerDMARC, через одну стеклянную панель. В случае, если любой из этих доменов использует приемные почтовые серверы, не поддерживающие STARTTLS, это отразится в Ваших TLS отчетах при условии, что для этих доменов включена функция TLS-RPT.

Рекомендуется всегда устанавливать режим политики MTA-STS следующим образом тестирование на начальных этапах развертывания, чтобы вы могли контролировать деятельность и получить видимость экосистемы электронной почты, прежде чем переходить к более агрессивной политике, например, к принудительному применению. Таким образом, даже если электронная почта не отправляется по зашифрованному TLS соединению, она все равно будет отправляться открытым текстом. Однако убедитесь, что вы включили TLS-RPT, чтобы получать уведомления, если это произойдет.

TLS-RPT - это обширный механизм отчетности, который позволяет вам получать уведомления в случае, если защищенное соединение не удалось установить, а электронная почта не была доставлена вам. Это помогает вам обнаружить проблемы с доставкой электронной почты или электронной почты, доставленной по незащищенному соединению, чтобы вы могли быстро смягчить и решить их.

Следует отметить, что, хотя MTA-STS гарантирует, что электронная почта передается по зашифрованному TLS соединению, в случае, если защищенное соединение не согласовано, электронная почта может вообще не быть доставлена. Однако это необходимо, поскольку это гарантирует, что электронная почта не будет доставляться по незашифрованному пути. Чтобы избежать таких проблем, рекомендуется сначала установить политику MTA-STS в тестовом режиме и включить TLS-RPT для вашего домена, прежде чем переходить в режим принудительного исполнения MTA-STS. 

Вы можете легко изменить режим MTA-STS с панели управления PowerMTA-STS, выбрав желаемый режим политики и сохранив изменения без необходимости внесения каких-либо изменений в DNS.

Вы можете отключить MTA-STS для вашего домена, либо установив режим политики "none", тем самым указав MTA, что ваш домен не поддерживает протокол, либо удалив запись MTA-STS DNS TXT. 

Записи MX для файла политики MTA-STS должны включать записи для всех принимающих почтовых серверов, используемых вашим доменом.

Запланируйте демонстрацию сегодня
защищённая электронная почта Powerdmarc