岗位

邮件传输代理-严格传输安全(MTA-STS)是一个新的标准,它使邮件服务提供商有能力强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应该拒绝向不提供TLS和可靠服务器证书的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。

更简单地说,MTA-STS是一个互联网标准,用于保护SMTP邮件服务器之间的连接安全。SMTP最突出的问题是,加密是完全可选的,在邮件传输过程中并不强制执行。这就是为什么SMTP采用STARTTLS命令,从明文升级到加密。这是缓解被动攻击的宝贵一步,然而,解决通过主动网络和MITM攻击的问题仍然没有解决。

因此,MTA-STS要解决的问题是,SMTP利用机会性加密,即如果不能建立一个加密的通信通道,连接就会退回到明文,从而使MITM和降级攻击得到遏制。

什么是TLS降级攻击?

我们已经知道,SMTP并没有附带加密协议,后来不得不通过添加STARTTLS命令来改造加密技术,以增强现有协议的安全性。如果客户端支持加密(TLS),它将理解STARTTLS动词,并在发送邮件之前启动TLS交换,以确保邮件被加密。如果客户端不知道TLS,它将直接忽略STARTTLS命令,并以明文形式发送电子邮件。

因此,由于加密必须加装到SMTP协议中,加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击,从而轻易地利用这一特性。攻击者只需将STARTTLS替换成一个客户无法识别的垃圾字符串。因此,客户端很容易退回到以明文发送电子邮件。

攻击者通常用包含相同数量字符的垃圾字符串替换命令,而不是把它撵走,因为这保留了数据包的大小,因此,使它更容易。选项命令中的垃圾字符串的八个字母使我们能够检测和识别TLS降级攻击是由网络犯罪分子执行的,我们可以衡量其普遍性。

简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一条实现加密攻击的途径,而在通过最新版本的TLS协议进行加密的情况下是不可能的。

虽然有可能在客户端到服务器的通信中强制执行TLS,因为对于这些连接,我们知道应用程序和服务器支持它。然而,对于服务器到服务器的通信,我们必须失败开放,以允许传统的服务器发送电子邮件。问题的关键在于,我们不知道另一边的服务器是否支持TLS。MTA-STS允许服务器表明他们支持TLS,这将允许他们在升级协商没有发生时失败关闭(即不发送邮件),从而使TLS降级攻击无法发生。

tls报告

MTA-STS如何来拯救?

MTA-STS的功能是提高EXO或Exchange在线电子邮件的安全性,是解决各种SMTP安全弊端和问题的最终方案。它解决了SMTP安全方面的问题,如缺乏对安全协议的支持,过期的TLS证书,以及不是由可靠的第三方颁发的证书。

当邮件服务器开始发送邮件时,SMTP连接很容易受到加密攻击,如降级攻击和MITM。降级攻击可以通过删除STARTTLS响应来发起,从而以明文方式传递信息。同样,MITM攻击也可以通过不安全的连接将信息重定向给服务器入侵者而发起。MTA-STS允许你的域名发布一个策略,使发送邮件时必须使用加密的TLS。如果由于某种原因,发现接收服务器不支持STARTTLS,那么电子邮件将根本不会被发送。这使得不可能煽动TLS降级攻击。

近来,大多数邮件服务提供商都采用了MTA-STS,从而使服务器之间的连接更加安全,并通过最新版本的TLS协议进行加密,从而成功缓解了TLS降级攻击,使服务器通信中的漏洞失效。

PowerDMARC为您带来了,快速而简单的托管MTA-STS服务,这让您的生活变得更加轻松,因为我们在实施过程中和实施后都会照顾到MTA-STS所需要的所有规格,例如一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC完全在后台管理这一切,因此,在我们帮助您设置之后,您甚至不必再考虑这个问题了

在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并保持TLS降级攻击。