邮件传输代理-严格的传输安全(MTA-STS
MTA-STS,就像它的名字一样,是一个能够在两个SMTP邮件服务器之间加密传输信息的协议。MTA-STS向发送服务器说明,邮件只能通过TLS加密连接发送,如果没有通过STARTTLS命令建立安全连接,则根本不应该被发送。通过加强电子邮件在传输过程中的安全性,MTA-STS有助于减轻中间人攻击(MITM),如SMTP降级攻击和DNS欺骗攻击。
MTA-STS如何确保对传输中的信息进行加密?
让我们举一个简单的例子来了解邮件流转过程中邮件是如何被加密的。如果一个MTA要发送一封邮件到 [email protected],MTA执行一个DNS查询,以找出该邮件必须发送到哪些MTA。发送DNS请求是为了获取powerdmarc.com的MX记录。发送的MTA随后连接到DNS查询结果中发现的接收MTA,询问该接收服务器是否支持TLS加密。如果支持,则通过加密连接发送电子邮件,然而,如果不支持,则发送MTA无法协商安全连接,并以明文发送电子邮件。
通过未加密的途径发送电子邮件,为MITM和SMTP降级等普遍的监控攻击铺平了道路。让我们来看看是怎么回事。
剖析MITM攻击的原理
从本质上讲,当攻击者替换或删除STARTTLS命令,使安全的连接回滚到不安全的连接,没有TLS加密时,就会发生MITM攻击。这被称为降级攻击。在成功执行降级攻击后,攻击者可以毫无障碍地访问和查看电子邮件内容。
MITM攻击者也可以用他们可以进入并控制的邮件服务器替换DNS查询响应中的MX记录。在这种情况下,邮件传输代理将电子邮件传送到攻击者的服务器上,使他能够访问和篡改电子邮件的内容。该邮件随后可以被转发到预定收件人的服务器,而不被发现。这就是所谓的DNS欺骗攻击。
常见问题
PowerDMARC如何帮助我为我的领域部署MTA-STS?
PowerDMARC的控制面板允许你通过在域名的DNS中发布三条CNAME记录,为你的域名自动设置MTA-STS和TLS-RPT。从托管MTAS-STS策略文件和证书到维护网络服务器,我们都在后台进行处理,而不需要你对你的DNS做任何改动。使用PowerDMARC部署MTA-STS,您只需点击几下就可以了。
我是否能够从我的PowerDMARC账户中为我的所有域部署它?
你可以从你的PowerDMARC账户中,通过一个单一的玻璃窗,为你的所有域名部署和管理MTA-STS。如果这些域使用的接收邮件服务器不支持STARTTLS,只要你为这些域启用了TLS-RPT,它就会反映在你的TLS报告中。
第一次实施MTA-STS时,我应该设置哪种模式?
建议将你的MTA-STS策略模式设置为 测试这样你就可以监测活动,并在转向更积极的策略(如强制)之前获得对你的电子邮件生态系统的可见性。这样一来,即使电子邮件没有通过TLS加密连接发送,也会以明文形式发送。 然而,请确保你启用TLS-RPT,以便在发生这种情况时得到通知。
我真的需要TLS-RPT报告吗?
TLS-RPT是一个广泛的报告机制,允许你在安全连接无法建立和电子邮件无法交付给你的情况下获得通知。这可以帮助你发现电子邮件交付中的问题或通过不安全的连接交付的电子邮件,以便你可以及时缓解和解决这些问题。
你在使用MTA-STS时可能会遇到什么问题?
你必须注意,虽然MTA-STS确保电子邮件是通过TLS加密连接传输的,但如果没有协商好安全连接,电子邮件可能根本无法交付。然而,这是必要的,因为它可以确保电子邮件不会通过未加密的途径传递。为了避免这样的问题,建议在测试模式下设置MTA-STS策略,在进入MTA-STS强制模式之前,首先为你的域名启用TLS-RPT。
如果我想改变我的MTA-STS模式怎么办?
你可以在PowerMTA-STS仪表板上轻松改变你的MTA-STS模式,选择你所需要的策略模式并保存更改,而不需要对你的DNS做任何改变。
如何关闭我的域名的MTA-STS?
你可以关闭你的域名的MTA-STS,方法是将策略模式设置为无,从而向MTA指定你的域名不支持该协议,或者删除你的MTA-STS DNS TXT记录。
你能否将所有的电子邮件服务器都纳入MTA-STS策略文件?
MTA-STS策略文件的MX记录应该包括你的域名所使用的所有接收邮件服务器的条目。
