En allmänt känd internetstandard som underlättar genom att förbättra säkerheten för anslutningar mellan SMTP-servrar (Simple Mail Transfer Protocol) är SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS). MTA-STS löser befintliga problem med SMTP:s e-postsäkerhet genom att införa TLS-kryptering i transit.
MTA-STS historia och ursprung
År 1982 specificerades SMTP för första gången, men det innehöll ingen mekanism för att tillhandahålla säkerhet på transportnivå för att säkra kommunikationen mellan e-postöverföringsagenterna. År 1999 lades kommandot STARTTLS till i SMTP, vilket i sin tur gav stöd för kryptering av e-post mellan servrarna, vilket gjorde det möjligt att omvandla en icke-säker anslutning till en säker anslutning som är krypterad med hjälp av TLS-protokollet.
I så fall undrar du säkert om SMTP har infört STARTTLS för att säkra anslutningar mellan servrar, varför krävs övergången till MTA-STS och vad gör det egentligen? Låt oss hoppa in i det i följande avsnitt av den här bloggen!
Vad är MTA-STS? (Mail Transfer Agent Strict Transport Security - förklarad)
MTA-STS är en säkerhetsstandard som garanterar säker överföring av e-post via en krypterad SMTP-anslutning. Akronymen MTA står för Message Transfer Agent, vilket är ett program som överför e-postmeddelanden mellan datorer. Akronymen STS står för Strict Transport Security, vilket är det protokoll som används för att genomföra standarden. En MTA-STS-medveten mail transfer agent (MTA) eller secure message transfer agent (SMTA) fungerar i enlighet med denna specifikation och tillhandahåller en säker slut till slut-kanal för att skicka e-post över osäkra nät.
MTA-STS-protokollet gör det möjligt för en SMTP-klient att verifiera serverns identitet och se till att den inte ansluter till en bedragare genom att kräva att servern tillhandahåller sitt certifikatfingeravtryck i TLS-handskakningen. Klienten kontrollerar sedan certifikatet mot ett förtroendearkiv som innehåller certifikat från kända servrar.
Behovet av att byta till MTA-STS
STARTTLS var inte perfekt, och det misslyckades med att ta itu med två stora problem: det första är att det är en valfri åtgärd, därför misslyckas STARTTLS med att förhindra MITM-attacker (man-in-the-middle). Detta beror på att en MITM-angripare enkelt kan ändra en anslutning och förhindra att krypteringsuppdateringen sker. Det andra problemet med det är att även om STARTTLS implementeras finns det inget sätt att autentisera den sändande serverns identitet eftersom SMTP-e-postservrar inte validerar certifikat.
Även om de flesta utgående e-postmeddelanden idag är säkrade med TLS-kryptering (Transport Layer Security ), en branschstandard som även används för konsumentmeddelanden, kan angripare fortfarande hindra och manipulera ditt e-postmeddelande redan innan det krypteras. Om du skickar e-post för att transportera din e-post via en säker anslutning kan dina data äventyras eller till och med ändras och manipuleras av en cyberattackör. Det är här som MTA-STS träder in och åtgärdar problemet, vilket garanterar säker överföring av din e-post och minskar MITM-attacker. Dessutom lagrar MTA:s MTA-STS-policyfiler, vilket gör det svårare för angripare att starta en DNS-spoofing-attack.
MTA-STS erbjuder skydd mot:
- Nedgradera attacker
- Man-in-the-Middle (MITM) attacker
- Det löser flera SMTP-säkerhetsproblem, inklusive utgångna TLS-certifikat och brist på stöd för säkra protokoll.
Hur fungerar MTA-STS?
MTA-STS-protokollet används genom att ha en DNS-post som anger att en e-postserver kan hämta en principfil från en viss underdomän. Denna policyfil hämtas via HTTPS och autentiseras med certifikat, tillsammans med listan över namnen på mottagarens e-postservrar. Det är lättare att genomföra MTA-STS på mottagarsidan än på avsändarsidan, eftersom det måste stödjas av programvaran för e-postservern. Vissa e-postservrar stöder MTA-STS, t.ex. PostFix, men inte alla.
Stora leverantörer av e-posttjänster som Microsoft, Oath och Google stöder MTA-STS. Googles Gmail har redan antagit MTA-STS-policyer på senare tid. MTA-STS har tagit bort nackdelarna med e-postanslutningssäkerhet genom att göra processen för att skydda anslutningar enkel och tillgänglig för e-postservrar som stöds.
Anslutningar från användare till e-postservrarna är vanligtvis skyddade och krypterade med TLS-protokollet, men trots att det fanns en befintlig brist på säkerhet i anslutningarna mellan e-postservrar före implementeringen av MTA-STS. Med en ökad medvetenhet om e-postsäkerhet på senare tid och stöd från stora e-postleverantörer över hela världen förväntas majoriteten av serveranslutningarna krypteras under den senaste framtiden. Dessutom säkerställer MTA-STS effektivt att cyberbrottslingar på nätverken inte kan läsa e-postinnehåll.
Enkel och snabb driftsättning av värdbaserade MTA-STS-tjänster från PowerDMARC
MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC:s verktyg för DMARC-analys gör ditt liv mycket enklare genom att hantera allt detta åt dig, helt i bakgrunden. När vi väl har hjälpt dig att ställa in det behöver du aldrig mer tänka på det.
Med hjälp av PowerDMARC kan du distribuera värdbaserade MTA-STS på din organisation utan krångel och i mycket snabb takt, med hjälp av vilken du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller MITM-attacker i schack.
- PowerDMARC och Cipher undertecknar ett samförståndsavtal vid Black Hat MEA Riyadh - November 28, 2022
- DMARC Tester - förklarade metoder för DMARC-testning - November 28, 2022
- Nolldagssårbarhet: Definition och exempel? - November 28, 2022
