Что такое отчетность SMTP TLS?
TLS Reporting - это механизм обратной связи, который помогает владельцам доменов с высокой точностью находить проблемы с доставкой электронной почты. Он работает совместно с MTA-STS и предоставляет данные об отклоненных письмах, которые не были доставлены из-за неудачного рукопожатия TLS.
Что означает отчетность TLS?
TLS Reporting (TLS-RPT) - это стандарт, позволяющий сообщать о проблемах с доставкой электронной почты, которые возникают, когда письмо не зашифровано с помощью TLS. Он поддерживает протокол MTA-STS, который используется для гарантии того, что любое письмо, отправленное на ваш домен, будет зашифровано с помощью TLS.
- Шифрование TLS обеспечивает безопасную доставку каждого отправленного вам электронного сообщения. Однако злоумышленники могут предпринять попытку понижения SMTP - атаку, при которой письмо отправляется без шифрования, что позволяет им прочитать или подделать его содержимое. MTA-STS борется с этим, заставляя все сообщения электронной почты шифроваться перед отправкой. Если злоумышленник попытается выполнить понижение SMTP, письмо вообще не будет отправлено.
- TLS-RPT позволяет вам, владельцу домена, получать отчеты о каждом электронном сообщении, которое не шифруется и не отправляется вам. Затем вы можете определить источник проблемы и исправить проблемы с доставкой.
Как работает TLS-отчетность?
Отчетность TLS (TLS-RPT) используется для поддержки протокола MTA-STS, который обеспечивает шифрование электронной почты перед доставкой. Обычно ваш почтовый сервер или Mail Transfer Agent (MTA) ведет переговоры с принимающим сервером, чтобы выяснить, поддерживает ли он команду STARTTLS. Если поддерживает, электронное письмо шифруется с помощью TLS и доставляется на принимающий MTA.
Атакующий может попробовать атаку SMTP на понижение, которая включает в себя блокирование переговоров между посылающим и принимающим MTA. Сервер-отправитель считает, что получатель не поддерживает команду STARTTLS и отправляет сообщение без TLS шифрования, позволяя злоумышленнику просматривать или подделывать содержимое сообщения.
При внедрении MTA-STS в домене сервер отправки в обязательном порядке шифрует сообщения перед отправкой. Если злоумышленник попытается провести атаку на понижение SMTP, письмо просто не будет отправлено. Это гарантирует TLS-шифрование всех ваших писем.
TLS-отчет (TLS-RPT) - это протокол, который уведомляет владельца домена о проблемах с доставкой писем, отправленных через ваш домен. Если письмо не удалось отправить из-за падения SMTP или по другой причине, вы получите отчет в формате JSON, содержащий подробную информацию о письме, которое не удалось отправить. Этот отчет не содержит содержимого письма.
Зачем нужна отчетность SMTP TLS?
Владельцам доменов важно быть в курсе проблем с доставкой электронной почты из-за сбоев в шифровании TLS для писем, отправленных с домена, поддерживающего MTA-STS. Отчеты TLS позволяют это сделать, предоставляя такую информацию.
Получать отчеты об обратной связи
Если сообщение не удалось отправить, TLS-репортаж поможет вам получить уведомление об этом
Обеспечение полной видимости каналов электронной почты
Получение подробной информации о потоке электронной почты с помощью TLS-отчетов
Для устранения проблем с доставкой
TLS-отчеты помогают определить источник проблемы и устранить ее с нулевой задержкой
Шаги по активации TLS-отчета
Вы можете включить TLS-отчетность для своего домена, создав TXT-запись для TLS-RPT и опубликовав ее в DNS. Эта запись должна быть опубликована на поддомене _smtp._tls.yourdomain.com
Пример записи TLS-RPT
v=TLSRPTv1; rua=mailto:[email protected];
Разберем компоненты предоставляемой отчетной записи TLS:
v=TLSRPTv1:
Данный тег определяет версию используемого протокола TLS-RPT. В данном случае, "TLSRPTv1" указывает на первую версию протокола TLS-RPT.
rua=mailto:[email protected]:
Этот тег указывает на URI отчетов для агрегированных отчетов (RUA). Он указывает, куда почтовый сервер получателя должен отправлять агрегированные отчеты о сбоях TLS. rua означает "Reporting URI for Aggregated Reports".
Значение "mailto:[email protected]" представляет собой URI, указывающий на адрес электронной почты ([email protected]) на который следует отправлять агрегированные отчеты по электронной почте.
На практике вы замените "yourdomain.com" на реальное доменное имя, на которое вы хотите получать эти отчеты.
Значение каждого компонента:
v=TLSRPTv1:
Здесь указывается версия используемого протокола TLS-RPT. Это позволяет обеспечить совместимость между отправителем и получателем отчетов.
rua=mailto:[email protected]:
Здесь указывается место назначения агрегированных отчетов о проблемах с доставкой TLS. Указав адрес электронной почты, владельцы доменов могут получать информацию о неудачных или проблемных TLS-соединениях. Такие отчеты полезны для диагностики потенциальных проблем безопасности или конфигурации, связанных с передачей электронной почты.
Формат отчетности TLS и пример отчета
JSON-отчет TLS имеет специфический формат, определенный спецификацией TLS-RPT (Transport Layer Security Reporting Policy). Этот формат используется для передачи информации о проблемах доставки электронной почты, связанных с TLS-шифрованием. Ниже приведен пример того, как может выглядеть JSON TLS-отчет:
Вот разбивка основных полей этого JSON TLS-отчета:
организация: Доменная организация, которой принадлежит запись TLS-RPT.
e-mail: Адрес электронной почты, на который отправляются агрегированные отчеты.
начальная_дата: Дата начала отчетного периода.
дата окончания: Дата окончания отчетного периода.
политика: Массив объектов политик, описывающих политики, применяемые в отчетном периоде.
политика: Содержит информацию о применяемой политике.
тип_политики: Указывает тип политики (например, "policy" для политики TLS).
строка_политики: Указывает строку политики, связанную с данной политикой (например, "reject" для строгой политики TLS).
резюме: Содержит сводную информацию о сеансах, в которых были предприняты попытки.
total_successful_session_count: Общее количество успешно установленных TLS-сессий.
total_failure_session_count: Общее количество отказов сеансов TLS.
сведения об отказе: Массив объектов, содержащих подробную информацию о конкретных отказах.
причина: Строка, указывающая на причину отказа (например, "certificate_expired").
считать: Количество сеансов, завершившихся неудачей по определенной причине.
Причины и типы отказов при шифровании TLS
Проблемы с сертификатами:
- сертификат_истёк: Срок действия сертификата, представленного удаленным сервером, истек, что делает его недостоверным для шифрования.
- сертификат_не_действительный_еще: Сертификат, представленный удаленным сервером, еще не действителен, возможно, из-за неправильного серверного времени или преждевременного использования сертификата.
- сертификат_отменен: Сертификат, представленный удаленным сервером, был отозван центром сертификации по соображениям безопасности.
- недоверенный_сертификат: Цепочка сертификатов, представленная удаленным сервером, не вызывает доверия у почтового сервера или клиента отправителя, что указывает на потенциальную угрозу безопасности.
- no_valid_signature: Сертификат, представленный удаленным сервером, не подписан должным образом доверенным центром сертификации, что вызывает сомнения в его подлинности.
- неподдерживаемый_сертификат: В сертификате, представленном удаленным сервером, используются алгоритмы шифрования или длина ключа, которые не поддерживаются почтовым сервером отправителя, что препятствует установлению безопасного соединения.
Несоответствие имени хоста и идентификатора
- несоответствие имени хоста: Имя хоста, указанное в сертификате сервера, не совпадает с именем хоста сервера, к которому пытается подключиться почтовый сервер отправителя, что указывает на возможную атаку типа "человек посередине" или проблему конфигурации.
Конфигурация набора шифров и шифрования
- insecure_cipher_suite: Набор шифров, согласованный между почтовыми серверами отправителя и получателя, считается слабым или небезопасным, что может нарушить конфиденциальность и целостность сообщения.
- protocol_version_mismatch: Между почтовыми серверами отправителя и получателя существует несоответствие в поддерживаемых версиях протокола TLS, что не позволяет им установить совместимое зашифрованное соединение.
- no_shared_cipher_suite: Для почтовых серверов отправителя и получателя не существует общего набора шифров, который они могли бы использовать для шифрования, что приводит к неудачному соединению.
Вопросы рукопожатия и протокола
- handshake_failure: В процессе начального квитирования TLS между почтовым сервером отправителя и почтовым сервером получателя возникла проблема, препятствующая установлению защищенного канала.
- неожиданное_сообщение: Почтовый сервер отправителя получил неожиданное или неподдерживаемое сообщение в процессе квитирования TLS, что указывает на возможное несоответствие протокола или реализации.
Вопросы политики MTA-STS
- mta_sts_policy_not_found: Этот сбой возникает, когда почтовый сервер отправителя не может найти политику MTA-STS для домена получателя.
- mta_sts_policy_invalid: Этот сбой возникает, когда политика MTA-STS, найденная в DNS для домена получателя, недействительна, содержит ошибки или не соответствует спецификации MTA-STS.
- mta_sts_policy_fetch_error: Этот сбой возникает, когда почтовый сервер отправителя сталкивается с ошибкой при попытке получить политику MTA-STS из DNS-записей домена получателя.
- mta_sts_connection_failure: Этот сбой возникает, когда почтовый сервер отправителя пытается установить защищенное соединение с помощью MTA-STS, но не удается по таким причинам, как недоверенные сертификаты, неподдерживаемые наборы шифров или другие проблемы с TLS.
- mta_sts_invalid_hostname: Этот сбой возникает, когда имя хоста почтового сервера получателя, указанное в политике MTA-STS, не совпадает с реальным именем хоста этого сервера.
- mta_sts_policy_upgrade: Этот сбой возникает, когда почтовый сервер отправителя пытается обновить соединение до безопасного с помощью MTA-STS, но сервер получателя не поддерживает такое обновление.
Упрощенная отчетность по SMTP TLS с помощью PowerDMARC
SMTP TLS-отчетность PowerDMARC - это повышение уровня безопасности и упрощение работы с размещенным сервисом.
Переведенные отчеты TLS
Сложные JSON-отчеты для TLS-отчетов преобразуются в упрощенную информацию, которую можно просмотреть за несколько секунд или детально изучить
Проблемы автоопределения
Платформа PowerDMARC автоматически указывает на проблему, с которой вы сталкиваетесь, чтобы вы могли решить ее, не тратя время впустую.
- Методы защиты от хищения персональных данных - 29 сентября 2023 г.
- Роль DNS в обеспечении безопасности электронной почты - 29 сентября 2023 г.
- Фишинговые угрозы нового времени и способы их предотвращения - 29 сентября 2023 г.