重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。

使用MTA-STS确保安全的电子邮件发送

PowerDMARC 的托管MTA-STS可帮助您正确、轻松地配置 MTA-STS。如今,大多数电子邮件都采用传输层安全(TLS)加密技术,这是一种行业标准,甚至连消费者电子邮件也采用这种加密技术。但是,攻击者甚至可以在电子邮件加密之前就截获它。如果您的电子邮件不是通过安全连接传输,您的数据就可能被窃取,甚至被攻击者修改。 邮件传输代理-严格传输安全(MTA-STS) 可以解决这个问题,保证电子邮件的安全传输。

TLS加密是如何工作的?

当你从你的域名发送电子邮件时,你的邮件传输代理(MTA)会向接收服务器进行查询,检查它是否支持STARTTLS命令。当你的MTA确认接收方支持STARTTLS时,它就会切换到加密连接并安全地发送电子邮件。

但是,攻击者可以破坏这个过程,将电子邮件转发到他们控制的服务器上,或者使STARTTLS查询失败,促使你的MTA通过一个未加密的连接发送电子邮件。在这两种情况下,攻击者都可以完全访问你的电子邮件。

TLS加密是如何工作的?

为什么是MTA-STS?

MTA-严格传输安全(MTA-STS)是一个安全协议,旨在减轻MITM攻击。下面是它是如何做到这一点的。

  • 使用支持HTTPS的服务器

你的MTA通过DNS查询的MX记录与存储在MTA-STS策略文件中的记录进行比较,后者是通过HTTPS获取的。MTA也会缓存MTA-STS策略文件,这使得DNS欺骗攻击更难实现。

  • 强制性TLS

MTA-STS允许你的域名发布一个策略,使得发送电子邮件时必须使用加密的TLS。如果由于某种原因,发现接收服务器不支持STARTTLS,那么邮件将根本不会被发送。这样就无法进行SMTP降级。