Что такое отчетность SMTP TLS?

What-is-SMTP-TLS-Reporting

TLS Reporting - это механизм обратной связи, который помогает владельцам доменов с высокой точностью находить проблемы с доставкой электронной почты. Он работает совместно с MTA-STS и предоставляет данные об отклоненных письмах, которые не были доставлены из-за неудачного рукопожатия TLS.

Что означает отчетность TLS?

TLS Reporting (TLS-RPT) - это стандарт, позволяющий сообщать о проблемах с доставкой электронной почты, которые возникают, когда письмо не зашифровано с помощью TLS. Он поддерживает протокол MTA-STS, который используется для гарантии того, что любое письмо, отправленное на ваш домен, будет зашифровано с помощью TLS.

  • Шифрование TLS обеспечивает безопасную доставку каждого отправленного вам электронного сообщения. Однако злоумышленники могут предпринять попытку понижения SMTP - атаку, при которой письмо отправляется без шифрования, что позволяет им прочитать или подделать его содержимое. MTA-STS борется с этим, заставляя все сообщения электронной почты шифроваться перед отправкой. Если злоумышленник попытается выполнить понижение SMTP, письмо вообще не будет отправлено.
  • TLS-RPT позволяет вам, владельцу домена, получать отчеты о каждом электронном сообщении, которое не шифруется и не отправляется вам. Затем вы можете определить источник проблемы и исправить проблемы с доставкой.

Как работает TLS-отчетность?

How-Does-TLS-Reporting-Work

Отчетность TLS (TLS-RPT) используется для поддержки протокола MTA-STS, который обеспечивает шифрование электронной почты перед доставкой. Обычно ваш почтовый сервер или Mail Transfer Agent (MTA) ведет переговоры с принимающим сервером, чтобы выяснить, поддерживает ли он команду STARTTLS. Если поддерживает, электронное письмо шифруется с помощью TLS и доставляется на принимающий MTA.

Атакующий может попробовать атаку SMTP на понижение, которая включает в себя блокирование переговоров между посылающим и принимающим MTA. Сервер-отправитель считает, что получатель не поддерживает команду STARTTLS и отправляет сообщение без TLS шифрования, позволяя злоумышленнику просматривать или подделывать содержимое сообщения.

При внедрении MTA-STS в домене сервер отправки в обязательном порядке шифрует сообщения перед отправкой. Если злоумышленник попытается провести атаку на понижение SMTP, письмо просто не будет отправлено. Это гарантирует TLS-шифрование всех ваших писем.

TLS-отчет (TLS-RPT) - это протокол, который уведомляет владельца домена о проблемах с доставкой писем, отправленных через ваш домен. Если письмо не удалось отправить из-за падения SMTP или по другой причине, вы получите отчет в формате JSON, содержащий подробную информацию о письме, которое не удалось отправить. Этот отчет не содержит содержимого письма.

Зачем нужна отчетность SMTP TLS?

Владельцам доменов важно быть в курсе проблем с доставкой электронной почты из-за сбоев в шифровании TLS для писем, отправленных с домена, поддерживающего MTA-STS. Отчеты TLS позволяют это сделать, предоставляя такую информацию. 

Получать отчеты об обратной связи

Если сообщение не удалось отправить, TLS-репортаж поможет вам получить уведомление об этом

Обеспечение полной видимости каналов электронной почты

Получение подробной информации о потоке электронной почты с помощью TLS-отчетов

Для устранения проблем с доставкой

TLS-отчеты помогают определить источник проблемы и устранить ее с нулевой задержкойотчет tls

Шаги по активации TLS-отчета 

Вы можете включить TLS-отчетность для своего домена, создав TXT-запись для TLS-RPT и опубликовав ее в DNS. Эта запись должна быть опубликована на поддомене _smtp._tls.yourdomain.com

Пример записи TLS-RPT

v=TLSRPTv1; rua=mailto:[email protected];

Разберем компоненты предоставляемой отчетной записи TLS:

v=TLSRPTv1:

Данный тег определяет версию используемого протокола TLS-RPT. В данном случае, "TLSRPTv1" указывает на первую версию протокола TLS-RPT.

rua=mailto:[email protected]:

Этот тег указывает на URI отчетов для агрегированных отчетов (RUA). Он указывает, куда почтовый сервер получателя должен отправлять агрегированные отчеты о сбоях TLS. rua означает "Reporting URI for Aggregated Reports".

Значение "mailto:[email protected]" представляет собой URI, указывающий на адрес электронной почты ([email protected]) на который следует отправлять агрегированные отчеты по электронной почте.

На практике вы замените "yourdomain.com" на реальное доменное имя, на которое вы хотите получать эти отчеты.

Значение каждого компонента:

v=TLSRPTv1:

Здесь указывается версия используемого протокола TLS-RPT. Это позволяет обеспечить совместимость между отправителем и получателем отчетов.

rua=mailto:[email protected]:

Здесь указывается место назначения агрегированных отчетов о проблемах с доставкой TLS. Указав адрес электронной почты, владельцы доменов могут получать информацию о неудачных или проблемных TLS-соединениях. Такие отчеты полезны для диагностики потенциальных проблем безопасности или конфигурации, связанных с передачей электронной почты.

Формат отчетности TLS и пример отчета

JSON-отчет TLS имеет специфический формат, определенный спецификацией TLS-RPT (Transport Layer Security Reporting Policy). Этот формат используется для передачи информации о проблемах доставки электронной почты, связанных с TLS-шифрованием. Ниже приведен пример того, как может выглядеть JSON TLS-отчет:

Вот разбивка основных полей этого JSON TLS-отчета:

TLS-Reporting-Format-and-Report-Example

организация: Доменная организация, которой принадлежит запись TLS-RPT.

e-mail: Адрес электронной почты, на который отправляются агрегированные отчеты.

начальная_дата: Дата начала отчетного периода.

дата окончания: Дата окончания отчетного периода.

политика: Массив объектов политик, описывающих политики, применяемые в отчетном периоде.

политика: Содержит информацию о применяемой политике.

тип_политики: Указывает тип политики (например, "policy" для политики TLS).

строка_политики: Указывает строку политики, связанную с данной политикой (например, "reject" для строгой политики TLS).

резюме: Содержит сводную информацию о сеансах, в которых были предприняты попытки.

total_successful_session_count: Общее количество успешно установленных TLS-сессий.

total_failure_session_count: Общее количество отказов сеансов TLS.

сведения об отказе: Массив объектов, содержащих подробную информацию о конкретных отказах.

причина: Строка, указывающая на причину отказа (например, "certificate_expired").

считать: Количество сеансов, завершившихся неудачей по определенной причине.

Причины и типы отказов при шифровании TLS 

Проблемы с сертификатами:

  1. сертификат_истёк: Срок действия сертификата, представленного удаленным сервером, истек, что делает его недостоверным для шифрования.
  2. сертификат_не_действительный_еще: Сертификат, представленный удаленным сервером, еще не действителен, возможно, из-за неправильного серверного времени или преждевременного использования сертификата.
  3. сертификат_отменен: Сертификат, представленный удаленным сервером, был отозван центром сертификации по соображениям безопасности.
  4. недоверенный_сертификат: Цепочка сертификатов, представленная удаленным сервером, не вызывает доверия у почтового сервера или клиента отправителя, что указывает на потенциальную угрозу безопасности.
  5. no_valid_signature: Сертификат, представленный удаленным сервером, не подписан должным образом доверенным центром сертификации, что вызывает сомнения в его подлинности.
  6. неподдерживаемый_сертификат: В сертификате, представленном удаленным сервером, используются алгоритмы шифрования или длина ключа, которые не поддерживаются почтовым сервером отправителя, что препятствует установлению безопасного соединения.

Несоответствие имени хоста и идентификатора

  1. несоответствие имени хоста: Имя хоста, указанное в сертификате сервера, не совпадает с именем хоста сервера, к которому пытается подключиться почтовый сервер отправителя, что указывает на возможную атаку типа "человек посередине" или проблему конфигурации.

Конфигурация набора шифров и шифрования

  1. insecure_cipher_suite: Набор шифров, согласованный между почтовыми серверами отправителя и получателя, считается слабым или небезопасным, что может нарушить конфиденциальность и целостность сообщения.
  2. protocol_version_mismatch: Между почтовыми серверами отправителя и получателя существует несоответствие в поддерживаемых версиях протокола TLS, что не позволяет им установить совместимое зашифрованное соединение.
  3. no_shared_cipher_suite: Для почтовых серверов отправителя и получателя не существует общего набора шифров, который они могли бы использовать для шифрования, что приводит к неудачному соединению.

Вопросы рукопожатия и протокола

  1. handshake_failure: В процессе начального квитирования TLS между почтовым сервером отправителя и почтовым сервером получателя возникла проблема, препятствующая установлению защищенного канала.
  2. неожиданное_сообщение: Почтовый сервер отправителя получил неожиданное или неподдерживаемое сообщение в процессе квитирования TLS, что указывает на возможное несоответствие протокола или реализации.

Вопросы политики MTA-STS

  1. mta_sts_policy_not_found: Этот сбой возникает, когда почтовый сервер отправителя не может найти политику MTA-STS для домена получателя.
  2. mta_sts_policy_invalid: Этот сбой возникает, когда политика MTA-STS, найденная в DNS для домена получателя, недействительна, содержит ошибки или не соответствует спецификации MTA-STS.
  3. mta_sts_policy_fetch_error: Этот сбой возникает, когда почтовый сервер отправителя сталкивается с ошибкой при попытке получить политику MTA-STS из DNS-записей домена получателя.
  4. mta_sts_connection_failure: Этот сбой возникает, когда почтовый сервер отправителя пытается установить защищенное соединение с помощью MTA-STS, но не удается по таким причинам, как недоверенные сертификаты, неподдерживаемые наборы шифров или другие проблемы с TLS.
  5. mta_sts_invalid_hostname: Этот сбой возникает, когда имя хоста почтового сервера получателя, указанное в политике MTA-STS, не совпадает с реальным именем хоста этого сервера.
  6. mta_sts_policy_upgrade: Этот сбой возникает, когда почтовый сервер отправителя пытается обновить соединение до безопасного с помощью MTA-STS, но сервер получателя не поддерживает такое обновление.

Упрощенная отчетность по SMTP TLS с помощью PowerDMARC

Simplified-SMTP-TLS-Reporting-with-PowerDMARC

SMTP TLS-отчетность PowerDMARC - это повышение уровня безопасности и упрощение работы с размещенным сервисом.

Переведенные отчеты TLS

Сложные JSON-отчеты для TLS-отчетов преобразуются в упрощенную информацию, которую можно просмотреть за несколько секунд или детально изучить

Проблемы автоопределения

Платформа PowerDMARC автоматически указывает на проблему, с которой вы сталкиваетесь, чтобы вы могли решить ее, не тратя время впустую.

отчет tls

Последние сообщения Ахона Рудра (см. все)
/по адресу
Почему компромисс поставщика по электронной почте такой страшный (и что ты можешь сделать, чтобы остановить это).блог vecблог об ограничении spfПочему SPF не достаточно хорош, чтобы остановить спуфинг.