岗位

一个广为人知的互联网标准是SMTP邮件传输代理-严格传输安全(MTA-STS),它通过提高SMTP(简单邮件传输协议)服务器之间连接的安全性来促进。

1982年,SMTP首次被指定,它不包含任何在传输层面提供安全的机制,以确保邮件传输代理之间的通信。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。

在这种情况下,你一定想知道,如果SMTP采用了STARTTLS来保证服务器之间的连接安全,为什么还需要转变为MTA-STS?让我们在本博客的下一节中来探讨这个问题!

转移到MTA-STS的必要性

STARTTLS并不完美,它未能解决两个主要问题:首先是它是一个可选择的措施,因此STARTTLS未能防止中间人(MITM)攻击。这是因为MITM攻击者可以轻易地修改连接并阻止加密更新的发生。它的第二个问题是,即使实施了STARTTLS,也没有办法验证发送服务器的身份,因为SMTP邮件服务器不验证证书。

虽然今天大多数发出的电子邮件都有传输层安全(TLS)加密,这是一个甚至被消费者电子邮件采用的行业标准,但攻击者甚至在你的电子邮件被加密之前,仍然可以阻挠和篡改。如果你用电子邮件通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,保证你的电子邮件的安全传输,以及成功缓解MITM攻击。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。

MTA-STS提供了针对.NET的保护。

  • 降级攻击
  • 中间人(MITM)攻击
  • 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。

MTA-STS是如何工作的?

MTA-STS协议的部署是通过一个DNS记录,指定邮件服务器可以从一个特定的子域获取策略文件。这个策略文件是通过HTTPS获取的,并通过证书验证,同时还有收件人的邮件服务器的名字列表。与发送方相比,收件人一方实施MTA-STS更容易,因为它需要得到邮件服务器软件的支持。虽然有些邮件服务器支持MTA-STS,如PostFix,但不是所有的都支持。

主办的MTA STS

主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌的Gmail已经在近期采用了MTA-STS策略。MTA-STS消除了电子邮件连接安全方面的弊端,使受支持的邮件服务器确保连接安全的过程变得简单和容易获得。

从用户到邮件服务器的连接通常用TLS协议进行保护和加密,然而,尽管如此,在实施MTA-STS之前,邮件服务器之间的连接仍然缺乏安全性。随着近来人们对电子邮件安全意识的提高和全球主要邮件供应商的支持,预计在不久的将来,大部分的服务器连接都会被加密。此外,MTA-STS有效地确保网络上的网络犯罪分子无法读取电子邮件内容。

通过PowerDMARC轻松、快速地部署托管MTA-STS服务

MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC通过完全在后台为您处理所有这些问题,使您的生活变得更加轻松。一旦我们帮你设置好了,你甚至都不用再去想它了。

在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并防止MITM攻击。