利用MTA-STS和SMTP TLS报告加强电子邮件安全

1982年，当SMTP首次被指定时，它不包含任何在传输层面提供安全的机制，以保证邮件传输代理之间的通信安全。然而，在1999年，STARTTLS命令被添加到SMTP中，反过来支持服务器之间的电子邮件加密，提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

然而，在SMTP中，加密是可选的，这意味着即使是明文的电子邮件也可以被发送。 邮件传输代理-严格的传输安全（MTA-STSTLS是一个相对较新的标准，它使邮件服务提供商能够执行传输层安全（TLS），以确保SMTP连接的安全，并指定发送SMTP服务器是否应拒绝向不提供TLS与可靠服务器证书的MX主机发送电子邮件。它已被证明可以成功地缓解TLS降级攻击和中间人（MITM）攻击。 SMTP TLS报告(TLS-RPT)是一个标准，能够报告发送电子邮件的应用程序所遇到的TLS连接问题，并检测错误配置。它能够报告当电子邮件没有用TLS加密时发生的电子邮件交付问题。2018年9月，该标准首次被记录在RFC 8460中。

为什么你的电子邮件需要在传输中加密？

主要目标是提高SMTP通信过程中的传输级安全，确保电子邮件流量的隐私。此外，入站和出站信息的加密增强了信息安全，使用密码学来保护电子信息。 此外，中间人（MITM）和TLS降级等加密攻击在近来越来越流行，并成为网络犯罪分子的常见做法，通过执行TLS加密和扩展对安全协议的支持，可以规避这些攻击。

MITM攻击是如何发起的？

由于加密必须加装到SMTP协议中，所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以很容易地利用这一特点，通过篡改升级命令对SMTP连接进行降级攻击，迫使客户端退回到以明文发送邮件。

在截获通信后，MITM攻击者可以很容易地窃取解密的信息并访问电子邮件的内容。这是因为SMTP作为邮件传输的行业标准，采用了机会主义的加密方式，这意味着加密是可选的，邮件仍然可以以明文形式传递。

TLS降级攻击是如何发起的？

由于加密必须加装到SMTP协议中，所以加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击来利用这一特性。攻击者可以简单地将STARTTLS替换成一个客户无法识别的字符串。因此，客户端很容易退回到以明文发送电子邮件。

简而言之，降级攻击通常是作为MITM攻击的一部分而发起的，目的是通过替换或删除STARTTLS命令，将通信回滚为明文，从而创造出一种在通过最新版本的TLS协议加密的连接情况下无法实现的攻击途径。

除了加强信息安全和减轻无孔不入的监控攻击外，在传输过程中对信息进行加密还可以解决多种SMTP安全问题。

用MTA-STS实现对邮件的强制TLS加密

如果您不能通过安全连接传输电子邮件，您的数据就可能被网络攻击者泄露，甚至被修改和篡改。这时，MTA-STS就会介入并解决这个问题，通过强制执行 TLS 加密，实现电子邮件的安全传输，并成功减轻加密攻击和增强信息安全。简而言之，MTA-STS 强制要求通过 TLS 加密途径传输电子邮件，如果无法建立加密连接，则根本不会传输电子邮件，而会以明文方式传输。此外，MTA 会存储 MTA-STS 策略文件，使攻击者更难发起 DNS 欺骗攻击。

MTA-STS提供了针对.NET的保护。

• 降级攻击
• 中间人（MITM）攻击
• 它解决了多个SMTP安全问题，包括过期的TLS证书和缺乏对安全协议的支持。

主要的邮件服务提供商，如微软、Oath和谷歌都支持MTA-STS。谷歌作为最大的行业参与者，在采用任何协议时都处于中心位置，谷歌采用MTA-STS表明对安全协议的支持延伸，并强调了电子邮件在传输中加密的重要性。

用TLS-RPT解决邮件发送中的问题

SMTP TLS报告为域名所有者提供诊断报告（JSON文件格式），详细说明已经发送到你的域名并面临交付问题的邮件，或者由于降级攻击或其他问题而无法交付的邮件，以便你能主动解决问题。一旦你启用TLS-RPT，默许的邮件传输代理将开始发送有关通信服务器之间的电子邮件交付问题的诊断报告给指定的电子邮件域。这些报告通常每天发送一次，涵盖并传达发件人观察到的MTA-STS策略、流量统计以及电子邮件交付失败或问题的信息。

部署TLS-RPT的必要性 :

• 如果电子邮件由于递送中的任何问题而未能发送给你的收件人，你将得到通知。
• TLS-RPT为你的所有电子邮件渠道提供了更强的可见性，这样你就能更好地了解你的域名中发生的所有事情，包括未能送达的邮件。
• TLS-RPT提供深入的诊断报告，使你能够识别并找到电子邮件交付问题的根源，并毫不拖延地解决它。

通过PowerDMARC使采用MTA-STS和TLS-RPT变得简单而迅速

MTA-STS需要一个具有有效证书的HTTPS网络服务器，DNS记录，以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些，使您的生活变得更加轻松--从生成证书和MTA-STS策略文件到策略执行，我们帮助您避免了采用该协议所涉及的巨大的复杂性。一旦我们帮助你设置了它，只需点击几下，你甚至不必再考虑这个问题。

在PowerDMARC的电子邮件认证服务的帮助下，你可以在你的组织中部署托管MTA-STS，而不需要麻烦，而且速度非常快，在它的帮助下，你可以强制要求电子邮件通过TLS加密的连接发送到你的域，从而使你的连接安全，并保持MITM攻击。

PowerDMARC通过使SMTP TLS报告（TLS-RPT）的实施过程变得简单而迅速，使您的生活更加轻松。只要您注册了PowerDMARC，并为您的域名启用了SMTP TLS报告，我们就会把包含您的电子邮件交付问题报告的复杂的JSON文件转换为简单的，可读的文件（每个结果和每个发送源），您可以轻松地浏览和理解PowerDMARC的平台会自动检测并随后传达您在电子邮件发送中所面临的问题，这样您就可以在短时间内及时处理并解决这些问题!

今天就注册，获得免费的DMARC!

• 关于
• 最新文章

Ahona Rudra

阿霍娜是 PowerDMARC 的市场经理，拥有 5 年以上的网络安全主题写作经验，擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位，自 2019 年以来，她在安全领域的职业生涯更加稳固。

Ahona Rudra的最新文章(查看全部)

• 如何为企业找到最佳 DMARC 解决方案提供商？- 2024 年 4 月 25 日
• PowerDMARC 与 Zendata 结成合作伙伴关系以增强域安全性- 2024 年 4 月 25 日
• PowerDMARC 与 CNS 合作推进中东地区的电子邮件安全实践- 2024 年 4 月 24 日