什么是SMTP TLS报告?
TLS 报告是一种反向反馈机制,可帮助域名所有者精确查找电子邮件发送问题。它与 MTA-STS协议配合使用,可提供因 TLS 握手失败而被退回的电子邮件的跟踪数据。
TLS 报告意味着什么?
TLS报告(TLS-RPT)是一个报告电子邮件交付问题的标准,当电子邮件没有用TLS加密时就会出现这种问题。它支持MTA-STS协议,该协议用于保证任何发送到你的域名的电子邮件得到TLS的加密。
- TLS 加密可确保发送给您的每封电子邮件都能安全送达。但是,攻击者可能会尝试 SMTP 降级,这是一种未经加密就向您发送电子邮件的攻击类型,允许他们读取或篡改内容。MTA-STS 规定所有电子邮件在发送给您之前都必须进行加密,从而防止了这种情况的发生。如果攻击者试图执行 SMTP 降级,则根本不会发送电子邮件。
- TLS-RPT使你--域名所有者--有可能收到关于每一封没有被加密和未能被发送的电子邮件的报告。然后,你可以确定问题的来源,并解决你的交付问题。
TLS 报告如何工作?
TLS报告(TLS-RPT)是用来支持MTA-STS协议的,该协议确保电子邮件在交付前被加密。通常,你的电子邮件服务器或邮件传输代理(MTA)会与接收服务器协商,看它是否支持STARTTLS命令。如果它支持,电子邮件就会被TLS加密,并被传递给接收的MTA。
攻击者可能会在这时尝试SMTP降级攻击,这涉及到阻止发送和接收MTA之间的协商。发送服务器认为接收方不支持STARTTLS命令,在没有TLS加密的情况下发送电子邮件,允许攻击者查看或篡改电子邮件的内容。
在您的域中实施 MTA-STS 后,您的发送服务器就必须在发送邮件前对邮件进行加密。如果攻击者试图进行 SMTP 降级攻击,邮件将无法发送。这将确保您的所有电子邮件都能顺利通过 TLS 加密。
TLS 报告(TLS-RPT)是一种协议,当通过您的域名发送的电子邮件遇到发送问题时,该协议会通知您(域名所有者)。如果由于 SMTP 降级或其他问题导致邮件发送失败,您将收到一份 JSON 文件格式的报告,其中包含发送失败邮件的详细信息。该报告不包含电子邮件的内容。
为什么你需要SMTP TLS报告?
对于启用 MTA-STS 的域,域所有者必须随时了解因 TLS 加密失败而导致的电子邮件发送问题。TLS 报告可提供此类信息。
接收反馈报告
如果信息发送失败,TLS 报告可帮助您获得相关通知
全面了解电子邮件渠道
通过 TLS 报告深入了解电子邮件流量
消除交付问题
激活 TLS 报告的步骤
为 TLS-RPT 创建 TXT 记录并在 DNS 上发布后,就可以启用域名的 TLS 报告功能。该记录必须发布在子域 _smtp._tls.yourdomain.com
TLS-RPT 记录示例
v=TLSRPTv1; rua=mailto:[email protected];
让我们来分析一下所提供的 TLS 报告记录的组成部分:
v=TLSRPTv1:
该标签指定了正在使用的 TLS-RPT 协议的版本。在这种情况下 "TLSRPTv1 表示 TLS-RPT 协议的第一个版本。
rua=mailto:[email protected]:
该标签表示汇总报告(RUAs)的报告 URI。它指定了收件人邮件服务器发送 TLS 故障汇总报告的位置。rua 代表 "汇总报告的报告 URI"。
值为"mailto:[email protected]"是一个 URI,指定了一个电子邮件地址 ([email protected])的电子邮件地址()。
实际上,您可以将"yourdomain.com 替换为您希望接收这些报告的实际域名。
每个组成部分的意义:
v=TLSRPTv1:
这表示所使用的 TLS-RPT 协议的版本。它有助于确保报告发送方和接收方之间的兼容性。
rua=mailto:[email protected]:
指定 TLS 传输问题汇总报告的目的地。通过提供报告电子邮件地址,域名所有者可以收到有关 TLS 连接失败或有问题的信息。这些报告对于诊断与电子邮件通信相关的潜在安全或配置问题很有价值。
TLS 报告格式和报告示例
JSON TLS 报告遵循 TLS-RPT(传输层安全报告策略)规范定义的特定格式。该格式用于传达与 TLS 加密相关的电子邮件发送问题的信息。下面是一个 JSON TLS 报告的示例:
下面是 JSON TLS 报告中主要字段的细目:
组织:拥有 TLS-RPT 记录的域组织。
电子邮件:发送汇总报告的电子邮件地址。
开始日期:报告期的开始日期。
结束日期:报告期的结束日期。
政策:政策对象数组,用于描述报告期内应用的政策。
政策:包含所应用策略的相关信息。
政策类型:指定策略类型(如 TLS 策略的 "策略")。
policy_string:指定与策略相关的策略字符串(例如,"拒绝 "表示严格的 TLS 策略)。
摘要:包含已尝试会话的摘要信息。
成功会话总数:成功建立的 TLS 会话总数。
失败会话总数:TLS 会话失败总次数。
故障详情:提供特定故障详细信息的对象数组。
原因:表示失败原因的字符串(如 "certificate_expired")。
计数:因特定原因失败的会话计数。
TLS 加密失败的原因和类型
证书问题:
- 证书过期:远程服务器提供的证书已过有效期,因此不能用于加密。
- 证书尚未生效:远程服务器提供的证书尚未生效,可能是由于服务器时间不正确或过早使用证书。
- 证书被撤销:由于安全原因,证书颁发机构已撤销远程服务器颁发的证书。
- 不信任证书:发件人的邮件服务器或客户端不信任远程服务器提供的证书链,表明存在潜在安全风险。
- 无有效签名:远程服务器提供的证书未由可信证书颁发机构正确签名,令人担忧其真实性。
- 不支持的证书:远程服务器提供的证书使用了发件人邮件服务器不支持的加密算法或密钥长度,导致无法建立安全连接。
主机名和身份不匹配
- 主机名不匹配:服务器证书中指定的主机名与发件人邮件服务器试图连接的服务器主机名不匹配,表明可能存在中间人攻击或配置问题。
密码套件和加密配置
- 不安全密码套件:发件人和收件人的邮件服务器之间协商的密码套件被认为是弱的或不安全的,可能会损害通信的保密性和完整性。
- 协议版本不匹配:发件人和收件人的邮件服务器之间支持的 TLS 协议版本不匹配,导致无法建立兼容的加密连接。
- 无共享密码套件:发件人和收件人的邮件服务器都没有可用的通用加密套件,导致连接失败。
握手和协议问题
- 握手失败:在发件人邮件服务器和收件人邮件服务器之间的初始 TLS 握手过程中出现问题,导致无法建立安全通道。
- 意外消息:发件人的邮件服务器在 TLS 握手过程中收到了意外或不支持的信息,表明可能存在协议或执行不匹配。
MTA-STS 政策问题
- mta_sts_policy_not_found:当发件人的邮件服务器无法找到收件人域的 MTA-STS 策略时,就会出现这种故障。
- mta_sts_policy_invalid:当在 DNS 中找到的收件人域名的 MTA-STS 策略无效、包含错误或不符合 MTA-STS 规范时,就会出现此故障。
- mta_sts_policy_fetch_error:当发件人的邮件服务器在尝试从收件人域名的 DNS 记录中检索 MTA-STS 策略时遇到错误,就会出现这种故障。
- mta_sts_connection_failure:当发件人的邮件服务器尝试使用 MTA-STS 建立安全连接,但由于不信任的证书、不支持的密码套件或其他 TLS 问题而失败时,就会出现这种故障。
- mta_sts_invalid_hostname:当 MTA-STS 策略中指定的收件人邮件服务器主机名与服务器实际主机名不一致时,就会出现这种故障。
- mta_sts_policy_upgrade:当发件人的邮件服务器尝试使用 MTA-STS 将连接升级为安全连接,但收件人的服务器不支持升级时,就会出现这种故障。
利用 PowerDMARC 简化 SMTP TLS 报告
PowerDMARC 的 SMTP TLS 报告体验旨在提高您的安全性,同时通过托管服务使您的生活更加轻松。
翻译的TLS报告
用于 TLS 报告的复杂 JSON 报告已转换为简化信息,您可在几秒钟内浏览或详细阅读
自动检测问题
PowerDMARC平台会自动指出你所面临的问题,这样你就可以在不浪费时间的情况下解决这个问题。
- 网络安全 101 - 最佳实践与解决方案- 2023 年 11 月 29 日
- 什么是电子邮件加密,它有哪些类型? - 十一月 29, 2023
- 什么是 MTA-STS?设置正确的 MTA STS 政策- 2023 年 11 月 25 日