Важное предупреждение: Google и Yahoo будут требовать DMARC с апреля 2024 года.
Подробнее

Руководство по внедрению MTA-STS и TLS-RPT

Добро пожаловать в подробное руководство по MTA-STS и TLS-RPT, чтобы получить практические знания об этих протоколах и их функциональных возможностях.

Свяжитесь с нами Заказать демонстрацию

Содержание

  1. Что такое почтовый агент-район транспортной безопасности (MTA-STS)?
  2. Как MTA-STS обеспечивает шифрование транзитных сообщений?
  3. Разрушая анатомию атаки MITM.
  4. Как MTA-STS обеспечивает шифрование TLS?
  5. Что такое Файл Политики МТА-СТС?
  6. Как опубликовать Файл Политики МТА-СТС?
  7. Что такое MTA-STS DNS Record?
  8. Как развернуть MTA-STS?
  9. Что такое "с"?возникшие проблемы при ручном развертывании MTA-STS.?
  10. Услуги PowerDMARC по хостингу МТА-СТС
  11. Что такое SMTP TLS Reporting (TLS-RPT)?
  12. Как включить TLS-RPT для вашего домена?
  13. Часто задаваемые вопросы
шифрование tls

Агент по пересылке почты - Районная транспортная безопасность (MTA-STS)

MTA-STS, как и следует из названия, является протоколом, который обеспечивает зашифрованную передачу сообщений между двумя почтовыми серверами SMTP. MTA-STS указывает отправляющим серверам, что сообщения должны отправляться только по зашифрованному TLS соединению и не должны доставляться вовсе, если защищенное соединение не установлено с помощью команды STARTTLS. Улучшая безопасность транзитной электронной почты, MTA-STS помогает смягчать атаки типа "человек в середине" (Man-In-The-Middle attacks, MITM), такие как атаки SMTP downgrade, и атаки с подменой DNS.

Подробнее

Как MTA-STS обеспечивает шифрование сообщений в процессе транзита?

Давайте рассмотрим простой пример, чтобы понять, как сообщения шифруются во время почтового потока. Если MTA посылает электронное сообщение по адресу [email protected]MTA выполняет DNS-запрос, чтобы выяснить, в какие MTA должны быть отправлены сообщения электронной почты. DNS-запрос отправляется для получения MX-записей Powerdmarc.com. Отправляющий MTA затем соединяется с получающим MTA, найденным в результате DNS-запроса, спрашивая, поддерживает ли этот получающий сервер TLS-шифрование. Если это так, электронная почта отправляется по зашифрованному соединению, однако, если это не так, отправляющий MTA не может договориться о защищенном соединении и отправляет электронную почту открытым текстом.

Отправка электронной почты по незашифрованному пути прокладывает путь к таким распространенным мониторинговым атакам, как MITM и SMTP понижение рейтинга. Давайте выясним, как:

Разрушение анатомии атаки MITM.

По сути, атака MITM происходит, когда злоумышленник заменяет или удаляет команду STARTTLS, чтобы заставить защищенное соединение откатиться на незащищенное, без использования TLS шифрования. Это называется атакой по понижению рейтинга. После успешного выполнения понижающей атаки злоумышленник может получить доступ к содержимому электронной почты и просматривать его без помех.

MITM-атакующий может также заменить MX-записи в ответе DNS-запросе почтовым сервером, к которому у него есть доступ и который он контролирует. В этом случае агент передачи почты доставляет электронную почту на сервер злоумышленника, позволяя ему получить доступ к содержимому электронной почты и вмешаться в него. В дальнейшем письмо может быть отправлено на сервер предполагаемого получателя, не будучи обнаруженным. Это называется атакой подделки DNS.

Часто задаваемые вопросы

Панель управления PowerDMARC позволяет автоматически настроить MTA-STS и TLS-RPT для вашего домена, опубликовав всего три записи CNAME в DNS вашего домена. От размещения файлов политики и сертификатов MTAS-STS до обслуживания веб-сервера - мы позаботимся обо всем этом в фоновом режиме, без необходимости внесения каких-либо изменений в DNS. Развертывание MTA-STS с вашей стороны с помощью PowerDMARC сокращается до нескольких кликов.

Вы можете развернуть и управлять MTA-STS для всех ваших доменов с вашего аккаунта PowerDMARC, через одну стеклянную панель. В случае, если любой из этих доменов использует приемные почтовые серверы, не поддерживающие STARTTLS, это отразится в Ваших TLS отчетах при условии, что для этих доменов включена функция TLS-RPT.

Рекомендуется всегда устанавливать режим политики MTA-STS следующим образом тестирование на начальных этапах развертывания, чтобы вы могли контролировать деятельность и получить видимость экосистемы электронной почты, прежде чем переходить к более агрессивной политике, например, к принудительному применению. Таким образом, даже если электронная почта не отправляется по зашифрованному TLS соединению, она все равно будет отправляться открытым текстом. Однако убедитесь, что вы включили TLS-RPT, чтобы получать уведомления, если это произойдет.

TLS-RPT - это обширный механизм отчетности, который позволяет вам получать уведомления в случае, если защищенное соединение не удалось установить, а электронная почта не была доставлена вам. Это помогает вам обнаружить проблемы с доставкой электронной почты или электронной почты, доставленной по незащищенному соединению, чтобы вы могли быстро смягчить и решить их.

Следует отметить, что, хотя MTA-STS гарантирует, что электронная почта передается по зашифрованному TLS соединению, в случае, если защищенное соединение не согласовано, электронная почта может вообще не быть доставлена. Однако это необходимо, поскольку это гарантирует, что электронная почта не будет доставляться по незашифрованному пути. Чтобы избежать таких проблем, рекомендуется сначала установить политику MTA-STS в тестовом режиме и включить TLS-RPT для вашего домена, прежде чем переходить в режим принудительного исполнения MTA-STS. 

Вы можете легко изменить режим MTA-STS с панели управления PowerMTA-STS, выбрав желаемый режим политики и сохранив изменения без необходимости внесения каких-либо изменений в DNS.

Вы можете отключить MTA-STS для вашего домена, либо установив режим политики "none", тем самым указав MTA, что ваш домен не поддерживает протокол, либо удалив запись MTA-STS DNS TXT. 

Записи MX для файла политики MTA-STS должны включать записи для всех принимающих почтовых серверов, используемых вашим доменом.