邮件传输代理-严格传输安全(MTA-STS)是一个新的标准,它使邮件服务提供商有能力强制执行传输层安全(TLS)以保证SMTP连接的安全,并指定发送SMTP服务器是否应该拒绝向不提供TLS和可靠服务器证书的MX主机发送邮件。它已被证明能够成功地缓解TLS降级攻击和中间人(MITM)攻击。
简单地说,MTA-STS是一种互联网标准,可确保 SMTP 邮件服务器之间的连接安全。SMTP 最突出的问题是加密完全是可选的,在邮件传输过程中并不强制执行。这就是 SMTP 采用 STARTTLS 命令将明文升级为加密的原因。这在减少被动攻击方面迈出了宝贵的一步,但通过主动网络和 MITM 攻击的问题仍未得到解决。
因此,MTA-STS要解决的问题是,SMTP利用机会性加密,即如果不能建立一个加密的通信通道,连接就会退回到明文,从而使MITM和降级攻击得到遏制。
什么是TLS降级攻击?
我们已经知道,SMTP并没有附带加密协议,后来不得不通过添加STARTTLS命令来改造加密技术,以增强现有协议的安全性。如果客户端支持加密(TLS),它将理解STARTTLS动词,并在发送邮件之前启动TLS交换,以确保邮件被加密。如果客户端不知道TLS,它将直接忽略STARTTLS命令,并以明文形式发送电子邮件。
因此,由于加密必须加装到SMTP协议中,加密传输的升级必须依靠以明文发送的STARTTLS命令。一个MITM攻击者可以通过篡改升级命令对SMTP连接进行降级攻击,从而轻易地利用这一特性。攻击者只需将STARTTLS替换成一个客户无法识别的垃圾字符串。因此,客户端很容易退回到以明文发送电子邮件。
攻击者通常用包含相同数量字符的垃圾字符串替换命令,而不是把它撵走,因为这保留了数据包的大小,因此,使它更容易。选项命令中的垃圾字符串的八个字母使我们能够检测和识别TLS降级攻击是由网络犯罪分子执行的,我们可以衡量其普遍性。
简而言之,降级攻击通常是作为MITM攻击的一部分而发起的,目的是通过替换或删除STARTTLS命令,将通信回滚为明文,从而创造出一条实现加密攻击的途径,而在通过最新版本的TLS协议进行加密的情况下是不可能的。
虽然有可能在客户端到服务器的通信中强制执行TLS,因为对于这些连接,我们知道应用程序和服务器支持它。然而,对于服务器到服务器的通信,我们必须失败开放,以允许传统的服务器发送电子邮件。问题的关键在于,我们不知道另一边的服务器是否支持TLS。MTA-STS允许服务器表明他们支持TLS,这将允许他们在升级协商没有发生时失败关闭(即不发送邮件),从而使TLS降级攻击无法发生。
MTA-STS如何来拯救?
MTA-STS 的功能是提高 EXO 或 Exchange Online电子邮件的安全性,是解决各种 SMTP 安全缺陷和问题的终极方案。它能解决 SMTP 安全方面的问题,如缺乏对安全协议的支持、TLS 证书过期、证书不是由可靠的第三方颁发等。
当邮件服务器开始发送邮件时,SMTP连接很容易受到加密攻击,如降级攻击和MITM。降级攻击可以通过删除STARTTLS响应来发起,从而以明文方式传递信息。同样,MITM攻击也可以通过不安全的连接将信息重定向给服务器入侵者而发起。MTA-STS允许你的域名发布一个策略,使发送邮件时必须使用加密的TLS。如果由于某种原因,发现接收服务器不支持STARTTLS,那么电子邮件将根本不会被发送。这使得不可能煽动TLS降级攻击。
近来,大多数邮件服务提供商都采用了MTA-STS,从而使服务器之间的连接更加安全,并通过最新版本的TLS协议进行加密,从而成功缓解了TLS降级攻击,使服务器通信中的漏洞失效。
PowerDMARC为您带来了,快速而简单的托管MTA-STS服务,这让您的生活变得更加轻松,因为我们在实施过程中和实施后都会照顾到MTA-STS所需要的所有规格,例如一个具有有效证书的HTTPS网络服务器,DNS记录,以及持续的维护。PowerDMARC完全在后台管理这一切,因此,在我们帮助您设置之后,您甚至不必再考虑这个问题了
在PowerDMARC的帮助下,你可以在你的组织中部署托管MTA-STS,而不需要麻烦,而且速度非常快,在它的帮助下,你可以强制要求通过TLS加密的连接向你的域名发送电子邮件,从而使你的连接安全,并保持TLS降级攻击。
- 如何为企业找到最佳 DMARC 解决方案提供商?- 2024 年 4 月 25 日
- PowerDMARC 与 Zendata 结成合作伙伴关系以增强域安全性- 2024 年 4 月 25 日
- PowerDMARC 与 CNS 合作推进中东地区的电子邮件安全实践- 2024 年 4 月 24 日