Широко известным интернет-стандартом, который облегчает путем улучшения безопасности соединений между серверами SMTP (Simple Mail Transfer Protocol), является SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
В 1982 году SMTP был впервые указан и не содержал никакого механизма обеспечения безопасности на транспортном уровне для защиты связи между агентами по пересылке почты. Однако в 1999 году в SMTP была добавлена команда STARTTLS, которая в свою очередь поддерживала шифрование электронной почты между серверами, обеспечивая возможность преобразования небезопасного соединения в безопасное, зашифрованное с помощью протокола TLS.
В этом случае, вам должно быть интересно, что если SMTP принял STARTTLS для защиты соединений между серверами, то почему был необходим переход на MTA-STS? Давайте перейдем к этому в следующем разделе этого блога!
Необходимость перехода на MTA-STS
STARTTLS не был совершенен, и он не смог решить две основные проблемы: во-первых, это необязательная мера, поэтому STARTTLS не смог предотвратить атаки типа "человек в середине" (MITM). Это происходит потому, что MITM-атакующий может легко изменить соединение и предотвратить обновление шифрования. Вторая проблема заключается в том, что даже если STARTTLS реализован, нет способа аутентифицировать идентичность сервера отправки, так как почтовые серверы SMTP не проверяют сертификаты.
Хотя большинство исходящих сообщений электронной почты сегодня защищены с помощью шифрования транспортного уровня безопасности (Transport Layer Security - TLS), отраслевого стандарта, принятого даже для потребительской электронной почты, злоумышленники все еще могут помешать и взломать вашу электронную почту еще до того, как она будет зашифрована. Если вы отправляете электронную почту по защищенному соединению, ваши данные могут быть взломаны или даже изменены и подделаны киберпреступником. Здесь MTA-STS вмешивается и исправляет эту проблему, гарантируя безопасную транспортировку вашей электронной почты, а также успешно смягчая атаки MITM. Кроме того, MTA-STS хранит файлы политики MTA-STS, что усложняет атакам злоумышленников запуск атаки подделки DNS.
MTA-STS предлагает защиту от :
- нападения даунграйдов
- Атаки "Человек в середине" (MITM)
- Он решает многочисленные проблемы безопасности SMTP, включая просроченные TLS сертификаты и отсутствие поддержки защищенных протоколов.
Как работает МТА-СТС?
Протокол MTA-STS развертывается с помощью DNS-записи, которая указывает, что почтовый сервер может получить файл политики с определенного субдомена. Этот файл политики получается через HTTPS и аутентифицируется с помощью сертификатов вместе со списком имен почтовых серверов получателей. Реализация MTA-STS проще на стороне получателя, чем на стороне отправителя, так как это требует поддержки со стороны программного обеспечения почтового сервера. Хотя некоторые почтовые серверы поддерживают MTA-STS, такие как PostFix, не все поддерживают.
Основные поставщики почтовых услуг, такие как Microsoft, Клятва и Google поддерживают MTA-STS. Google Gmail уже принял политику MTA-STS в последнее время. MTA-STS устранила недостатки в безопасности соединения электронной почты, сделав процесс обеспечения безопасности соединений легким и доступным для поддерживаемых почтовых серверов.
Подключения пользователей к почтовым серверам обычно защищены и зашифрованы с помощью протокола TLS, однако, несмотря на то, что до внедрения MTA-STS существовало отсутствие безопасности в соединениях между почтовыми серверами. С ростом осведомленности о безопасности электронной почты в последнее время и поддержкой со стороны крупных почтовых провайдеров во всем мире, большинство соединений между серверами, как ожидается, будут зашифрованы в последнее время. Кроме того, MTA-STS эффективно обеспечивает, чтобы киберпреступники в сетях не могли читать содержимое электронной почты.
Простое и быстрое развертывание сервисов Hosted MTA-STS от PowerDMARC
MTA-STS требует веб-сервер с поддержкой HTTPS с действительным сертификатом, DNS-записями и постоянным обслуживанием. PowerDMARC делает вашу жизнь намного проще, управляя всем этим за вас, полностью в фоновом режиме. Как только мы поможем вам настроить его, вам даже не придется думать об этом снова.
С помощью PowerDMARC вы можете развернуть Hosted MTA-STS в своей организации без лишних хлопот и в очень быстром темпе, с помощью которого вы сможете принудительно отправлять электронную почту в свой домен по зашифрованному TLS соединению, тем самым делая ваше соединение безопасным и не допуская MITM-атак.
