1982年,当SMTP首次被指定时,它不包含任何在传输层面提供安全的机制,以保证邮件传输代理之间的通信安全。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

然而,在SMTP中,加密是可选的,这意味着即使是明文的电子邮件也可以被发送。 邮件传输代理-严格的传输安全(MTA-STSTLS是一个相对较新的标准,它使邮件服务提供商能够执行传输层安全(TLS),以确保SMTP连接的安全,并指定发送SMTP服务器是否应拒绝向不提供TLS与可靠服务器证书的MX主机发送电子邮件。它已被证明可以成功地缓解TLS降级攻击和中间人(MITM)攻击。 SMTP TLS报告(TLS-RPT)是一个标准,能够报告发送电子邮件的应用程序所遇到的TLS连接问题,并检测错误配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。2018年9月,该标准首次被记录在RFC 8460中。

为什么你的电子邮件需要在传输中加密?

主要目标是提高SMTP通信过程中的传输级安全,确保电子邮件流量的隐私。此外,入站和出站信息的加密增强了信息安全,使用密码学来保护电子信息。 此外,中间人(MITM)和TLS降级等加密攻击在近来越来越流行,并成为网络犯罪分子的常见做法,通过执行TLS加密和扩展对安全协议的支持,可以规避这些攻击。

MITM攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以很容易地利用这一特点,通过篡改升级命令对SMTP连接进行降级攻击,迫使客户端退回到以明文发送邮件。

在截获通信后,MITM攻击者可以很容易地窃取解密的信息并访问电子邮件的内容。这是因为SMTP作为邮件传输的行业标准,采用了机会主义的加密方式,这意味着加密是可选的,邮件仍然可以以明文形式传递。

TLS降级攻击是如何发起的?

由于加密必须加装到SMTP协议中,所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击来利用这一特性。攻击者可以简单地将STARTTLS替换成一个客户无法识别的字符串。因此,客户端很容易退回到以明文发送电子邮件。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一种在通过最新版本的TLS协议加密的连接情况下无法实现的攻击途径。

除了加强信息安全和减轻无孔不入的监控攻击外,在传输过程中对信息进行加密还可以解决多种SMTP安全问题。

用MTA-STS实现对邮件的强制TLS加密

如果你没有通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,通过强制执行TLS加密,使您的电子邮件能够安全传输,并成功地减轻加密攻击,增强信息安全。简单地说,MTA-STS强制要求电子邮件通过TLS加密途径传输,如果不能建立加密连接,电子邮件根本不会被传递,而会以明文方式传递。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。

 

MTA-STS提供了针对.NET的保护。

  • 降级攻击
  • 中间人(MITM)攻击
  • 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。

主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌作为最大的行业参与者,在采用任何协议时都处于中心位置,谷歌采用MTA-STS表明对安全协议的支持延伸,并强调了电子邮件在传输中加密的重要性。

用TLS-RPT解决邮件发送中的问题

SMTP TLS报告为域名所有者提供诊断报告(JSON文件格式),详细说明已经发送到你的域名并面临交付问题的邮件,或者由于降级攻击或其他问题而无法交付的邮件,以便你能主动解决问题。一旦你启用TLS-RPT,默许的邮件传输代理将开始发送有关通信服务器之间的电子邮件交付问题的诊断报告给指定的电子邮件域。这些报告通常每天发送一次,涵盖并传达发件人观察到的MTA-STS策略、流量统计以及电子邮件交付失败或问题的信息。

部署TLS-RPT的必要性 :

  • 如果电子邮件由于递送中的任何问题而未能发送给你的收件人,你将得到通知。
  • TLS-RPT为你的所有电子邮件渠道提供了更强的可见性,这样你就能更好地了解你的域名中发生的所有事情,包括未能送达的邮件。
  • TLS-RPT提供深入的诊断报告,使你能够识别并找到电子邮件交付问题的根源,并毫不拖延地解决它。

通过PowerDMARC使采用MTA-STS和TLS-RPT变得简单而迅速

MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些,使您的生活变得更加轻松--从生成证书和MTA-STS策略文件到策略执行,我们帮助您避免了采用该协议所涉及的巨大的复杂性。一旦我们帮助你设置了它,只需点击几下,你甚至不必再考虑这个问题。

在PowerDMARC的电子邮件认证服务的帮助下你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求电子邮件通过TLS加密的连接发送到你的域,从而使你的连接安全,并保持MITM攻击。

PowerDMARC通过使SMTP TLS报告(TLS-RPT)的实施过程变得简单而迅速,使您的生活更加轻松。只要您注册了PowerDMARC,并为您的域名启用了SMTP TLS报告,我们就会把包含您的电子邮件交付问题报告的复杂的JSON文件转换为简单的,可读的文件(每个结果和每个发送源),您可以轻松地浏览和理解PowerDMARC的平台会自动检测并随后传达您在电子邮件发送中所面临的问题,这样您就可以在短时间内及时处理并解决这些问题!

今天就注册,获得免费的DMARC!