Что такое MTA-STS и зачем он тебе нужен?
Широко известный интернет-стандарт, который способствует повышению безопасности соединений между серверами SMTP (Simple Mail Transfer Protocol), - это SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS решает существующие проблемы в безопасности электронной почты SMTP, обеспечивая шифрование TLS при передаче.
История и происхождение MTA-STS
В 1982 году был впервые определен протокол SMTP, который не содержал никакого механизма обеспечения безопасности на транспортном уровне для защиты связи между агентами передачи почты. Однако в 1999 году в SMTP была добавлена команда STARTTLS, которая, в свою очередь, поддерживала шифрование электронной почты между серверами, обеспечивая возможность преобразования незащищенного соединения в защищенное, зашифрованное с помощью протокола TLS.
В таком случае вам должно быть интересно, если SMTP принял STARTTLS для защиты соединений между серверами, почему потребовался переход на MTA-STS, и что он вообще делает? Давайте разберемся в этом в следующих разделах этого блога!
Что такое MTA-STS? (Mail Transfer Agent Strict Transport Security - объяснение)
MTA-STS - это стандарт безопасности, который обеспечивает безопасную передачу электронной почты через зашифрованное SMTP-соединение. Аббревиатура MTA означает Message Transfer Agent, то есть программу, которая передает сообщения электронной почты между компьютерами. Аббревиатура STS означает Strict Transport Security - протокол, используемый для реализации стандарта. MTA-STS-aware mail transfer agent (MTA) или secure message transfer agent (SMTA) работает в соответствии с этой спецификацией и обеспечивает безопасный сквозной канал для отправки электронной почты по незащищенным сетям.
Протокол MTA-STS позволяет SMTP-клиенту проверить идентичность сервера и убедиться, что он не подключается к самозванцу, требуя от сервера предоставить отпечаток его сертификата в процессе квитирования TLS. Затем клиент проверяет сертификат в хранилище доверия, содержащем сертификаты известных серверов.
Необходимость перехода на MTA-STS
STARTTLS не был совершенным, и он не смог решить две основные проблемы: первая заключается в том, что это необязательная мера, поэтому STARTTLS не может предотвратить атаки типа "человек посередине" (MITM). Это связано с тем, что MITM-злоумышленник может легко изменить соединение и предотвратить обновление шифрования. Вторая проблема заключается в том, что даже если STARTTLS реализован, нет способа проверить подлинность отправляющего сервера, поскольку почтовые серверы SMTP не проверяют сертификаты.
Хотя сегодня большинство исходящих сообщений электронной почты защищено с помощью шифрования Transport Layer Security (TLS) - отраслевого стандарта, принятого даже в потребительской электронной почте, злоумышленники все еще могут помешать и подделать вашу электронную почту еще до того, как она будет зашифрована. Если вы отправляете электронную почту по защищенному соединению, ваши данные могут быть скомпрометированы или даже изменены и подделаны киберзлоумышленником. Именно здесь на помощь приходит MTA-STS, который решает эту проблему, гарантируя безопасную передачу электронной почты и успешно противодействуя атакам MITM. Кроме того, MTA хранят файлы политик MTA-STS, что затрудняет злоумышленникам проведение атак с подменой DNS.
MTA-STS предлагает защиту от :
- нападения даунграйдов
- Атаки "Человек в середине" (MITM)
- Он решает многочисленные проблемы безопасности SMTP, включая просроченные TLS сертификаты и отсутствие поддержки защищенных протоколов.
Как работает МТА-СТС?
Протокол MTA-STS развертывается путем наличия записи DNS, которая указывает, что почтовый сервер может получить файл политики с определенного поддомена. Этот файл политики загружается через HTTPS и аутентифицируется с помощью сертификатов, вместе со списком имен почтовых серверов получателя. Реализация MTA-STS проще на стороне получателя по сравнению со стороной отправителя, поскольку она должна поддерживаться программным обеспечением почтового сервера. Хотя некоторые почтовые серверы поддерживают MTA-STS, например PostFix, не все.
Основные поставщики почтовых услуг, такие как Microsoft, Клятва и Google поддерживают MTA-STS. Google Gmail уже принял политику MTA-STS в последнее время. MTA-STS устранила недостатки в безопасности соединения электронной почты, сделав процесс обеспечения безопасности соединений легким и доступным для поддерживаемых почтовых серверов.
Подключения пользователей к почтовым серверам обычно защищены и зашифрованы с помощью протокола TLS, однако, несмотря на то, что до внедрения MTA-STS существовало отсутствие безопасности в соединениях между почтовыми серверами. С ростом осведомленности о безопасности электронной почты в последнее время и поддержкой со стороны крупных почтовых провайдеров во всем мире, большинство соединений между серверами, как ожидается, будут зашифрованы в последнее время. Кроме того, MTA-STS эффективно обеспечивает, чтобы киберпреступники в сетях не могли читать содержимое электронной почты.
Простое и быстрое развертывание сервисов Hosted MTA-STS от PowerDMARC
MTA-STS требует наличия веб-сервера с поддержкой HTTPS и действующим сертификатом, записей DNS и постоянного обслуживания. Инструмент анализатора DMARC от PowerDMARC делает вашу жизнь намного проще, выполняя все эти действия за вас, полностью в фоновом режиме. Как только мы поможем вам настроить его, вам больше никогда не придется об этом думать.
С помощью PowerDMARC вы можете развернуть Hosted MTA-STS в своей организации без лишних хлопот и в очень быстром темпе, с помощью которого вы сможете принудительно отправлять электронную почту в свой домен по зашифрованному TLS соединению, тем самым делая ваше соединение безопасным и не допуская MITM-атак.
- Методы защиты от хищения персональных данных - 29 сентября 2023 г.
- Роль DNS в обеспечении безопасности электронной почты - 29 сентября 2023 г.
- Фишинговые угрозы нового времени и способы их предотвращения - 29 сентября 2023 г.