重要提醒:谷歌和雅虎將從2024年2月開始要求DMARC。
加密 TLS

郵件傳輸代理 - 嚴格傳輸安全 (MTA-STS)

MTA-STS,顧名思義,是一種協定,允許在兩個 SMTP 郵件伺服器之間加密傳輸郵件。MTA-STS 向發送伺服器指定,電子郵件只能通過 TLS 加密連接發送,如果未通過 STARTTLS 命令建立安全連接,則根本不應傳遞。通過增強傳輸中電子郵件的安全性,MTA-STS 有助於緩解中間人攻擊 (MITM),例如 SMTP 降級攻擊和 DNS 欺騙攻擊。

MTA-STS 如何確保對傳輸中的郵件進行加密?

讓我們舉一個簡單的例子來瞭解郵件在電子郵件流中是如何加密的。如果 MTA 向 [email protected] 發送電子郵件,則 MTA 將執行 DNS 查詢,以確定電子郵件必須發送到哪些 MTA。發送 DNS 請求以獲取 powerdmarc.com 的 MX 記錄。發送 MTA 隨後連接到在 DNS 查詢結果中找到的接收 MTA,詢問此接收伺服器是否支援 TLS 加密。如果是這樣,則電子郵件將通過加密連接發送,但是,如果沒有,則發送 MTA 將無法協商安全連接,並以明文形式發送電子郵件。

通過未加密的路徑發送電子郵件為普遍的監控攻擊(如MITM和SMTP降級)鋪平了道路。讓我們來瞭解一下: