En allmänt känd internetstandard som underlättar genom att förbättra säkerheten för anslutningar mellan SMTP-servrar (Simple Mail Transfer Protocol) är SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).
År 1982 specificerades FÖRST SMTP och innehöll ingen mekanism för att tillhandahålla säkerhet på transportnivå för att säkra kommunikationen mellan postöverföringsombuden. Men 1999 lades STARTTLS-kommandot till SMTP som i sin tur stödde kryptering av e-postmeddelanden mellan servrarna, vilket ger möjlighet att konvertera en icke-säker anslutning till en säker som krypteras med TLS-protokoll.
I så fall måste du undra att om SMTP antog STARTTLS för att säkra anslutningar mellan servrar, varför krävdes övergången till MTA-STS? Låt oss hoppa in i det i följande avsnitt av den här bloggen!
Behovet av att byta till MTA-STS
STARTTLS var inte perfekt, och det misslyckades med att ta itu med två stora problem: det första är att det är en valfri åtgärd, därför misslyckas STARTTLS med att förhindra MITM-attacker (man-in-the-middle). Detta beror på att en MITM-angripare enkelt kan ändra en anslutning och förhindra att krypteringsuppdateringen sker. Det andra problemet med det är att även om STARTTLS implementeras finns det inget sätt att autentisera den sändande serverns identitet eftersom SMTP-e-postservrar inte validerar certifikat.
Medan de flesta utgående e-postmeddelanden idag är säkrade med TLS-kryptering (Transport Layer Security), en branschstandard som antagits även av konsumentmeddelande, kan angripare fortfarande blockera och manipulera din e-post redan innan den krypteras. Om du skickar e-post för att transportera dina e-postmeddelanden via en säker anslutning kan dina data äventyras eller till och med ändras och manipuleras av en cyberanfallare. Här kliver MTA-STS in och åtgärdar problemet, garanterar säker transitering för dina e-postmeddelanden samt framgångsrikt mildrar MITM-attacker. Dessutom lagrar MTA-STS-principfiler, vilket gör det svårare för angripare att starta en DNS-förfalskningsattack.
MTA-STS erbjuder skydd mot:
- Nedgradera attacker
- Man-in-the-Middle (MITM) attacker
- Det löser flera SMTP-säkerhetsproblem, inklusive utgångna TLS-certifikat och brist på stöd för säkra protokoll.
Hur fungerar MTA-STS?
MTA-STS-protokollet distribueras genom att ha en DNS-post som anger att en e-postserver kan hämta en principfil från en viss underdomän. Den här principfilen hämtas via HTTPS och autentiseras med certifikat, tillsammans med listan med namn på mottagarnas e-postservrar. Implementering av MTA-STS är enklare från mottagarens sida jämfört med den sändande sidan eftersom det måste stödjas av e-postserverprogramvaran. Vissa e-postservrar stöder MTA-STS, till exempel PostFix.
Stora leverantörer av e-posttjänster som Microsoft, Oath och Google stöder MTA-STS. Googles Gmail har redan antagit MTA-STS-policyer på senare tid. MTA-STS har tagit bort nackdelarna med e-postanslutningssäkerhet genom att göra processen för att skydda anslutningar enkel och tillgänglig för e-postservrar som stöds.
Anslutningar från användare till e-postservrarna är vanligtvis skyddade och krypterade med TLS-protokollet, men trots att det fanns en befintlig brist på säkerhet i anslutningarna mellan e-postservrar före implementeringen av MTA-STS. Med en ökad medvetenhet om e-postsäkerhet på senare tid och stöd från stora e-postleverantörer över hela världen förväntas majoriteten av serveranslutningarna krypteras under den senaste framtiden. Dessutom säkerställer MTA-STS effektivt att cyberbrottslingar på nätverken inte kan läsa e-postinnehåll.
Enkel och snabb driftsättning av värdbaserade MTA-STS-tjänster från PowerDMARC
MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC gör ditt liv mycket enklare genom att hantera allt detta för dig, helt i bakgrunden. När vi hjälper dig att ställa in det, behöver du aldrig ens tänka på det igen.
Med hjälp av PowerDMARC kan du distribuera värdbaserade MTA-STS på din organisation utan krångel och i mycket snabb takt, med hjälp av vilken du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller MITM-attacker i schack.
