一个广为人知的互联网标准是SMTP邮件传输代理-严格传输安全(MTA-STS),它通过提高SMTP(简单邮件传输协议)服务器之间连接的安全性来促进。MTA-STS通过在传输过程中强制执行TLS加密,解决了SMTP电子邮件安全方面的现有问题。
MTA-STS的历史和起源
在1982年,SMTP首次被指定,它不包含任何在传输层面提供安全的机制,以确保邮件传输代理之间的通信安全。然而,在1999年,STARTTLS命令被添加到SMTP中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换成使用TLS协议加密的安全连接的能力。
在这种情况下,你一定想知道如果SMTP采用STARTTLS来保证服务器之间的连接,为什么需要转变为MTA-STS,它甚至有什么作用?让我们在本博客的以下章节中进行探讨吧!
什么是MTA-STS?(Mail Transfer Agent Strict Transport Security - Explained)
MTA-STS是一个安全标准,确保通过加密的SMTP连接安全传输电子邮件。首字母缩写MTA代表信息传输代理,这是一个在计算机之间传输电子邮件信息的程序。首字母缩写STS代表严格的传输安全,这是用来实现该标准的协议。一个具有MTA-STS意识的邮件传输代理(MTA)或安全信息传输代理(SMTA)按照该规范操作,为在不安全的网络上发送电子邮件提供一个安全的端到端渠道。
MTA-STS协议允许SMTP客户端验证服务器的身份,并通过要求服务器在TLS握手中提供其证书指纹来确保它没有连接到一个冒牌货。然后,客户端根据包含已知服务器证书的信任存储来验证该证书。
转移到MTA-STS的必要性
STARTTLS并不完美,它未能解决两个主要问题:首先是它是一个可选择的措施,因此STARTTLS未能防止中间人(MITM)攻击。这是因为MITM攻击者可以轻易地修改连接并阻止加密更新的发生。它的第二个问题是,即使实施了STARTTLS,也没有办法验证发送服务器的身份,因为SMTP邮件服务器不验证证书。
虽然今天大多数发出的电子邮件都有传输层安全(TLS)加密,这是一个甚至被消费者电子邮件采用的行业标准,但攻击者甚至在你的电子邮件被加密之前,仍然可以阻挠和篡改它。如果你用电子邮件通过安全连接来传输你的电子邮件,你的数据可能会受到影响,甚至被网络攻击者修改和篡改。这里就是MTA-STS介入并解决这个问题的地方,保证你的电子邮件的安全传输,以及成功缓解MITM攻击。此外,MTA存储MTA-STS策略文件,使攻击者更难发起DNS欺骗攻击。
MTA-STS提供了针对.NET的保护。
- 降级攻击
- 中间人(MITM)攻击
- 它解决了多个SMTP安全问题,包括过期的TLS证书和缺乏对安全协议的支持。
MTA-STS是如何工作的?
MTA-STS协议的部署是通过一个DNS记录,指定邮件服务器可以从一个特定的子域获取策略文件。这个策略文件是通过HTTPS获取的,并通过证书验证,同时还有收件人的邮件服务器的名字列表。与发送方相比,实施MTA-STS在接收方比较容易,因为它需要得到邮件服务器软件的支持。虽然有些邮件服务器支持MTA-STS,如PostFix,但不是所有的都支持。
主要的邮件服务提供商,如微软、Oath和谷歌都支持MTA-STS。谷歌的Gmail已经在近期采用了MTA-STS策略。MTA-STS消除了电子邮件连接安全方面的弊端,使受支持的邮件服务器确保连接安全的过程变得简单和容易获得。
从用户到邮件服务器的连接通常用TLS协议进行保护和加密,然而,尽管如此,在实施MTA-STS之前,邮件服务器之间的连接仍然缺乏安全性。随着近来人们对电子邮件安全意识的提高和全球主要邮件供应商的支持,预计在不久的将来,大部分的服务器连接都会被加密。此外,MTA-STS有效地确保网络上的网络犯罪分子无法读取电子邮件内容。
通过PowerDMARC轻松、快速地部署托管MTA-STS服务
MTA-STS需要一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC的DMARC分析工具通过完全在后台为你处理所有这些问题,使你的生活变得更加轻松。一旦我们帮你设置好了,你甚至都不用再去想它了。
在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并防止MITM攻击。
- 如何认证电子邮件?- 2023年3月28日
- DNS是如何工作的?- 2023年3月27日
- 什么是无文件的恶意软件?- 2023年3月27日