Что такое MTA-STS и как он защищает вашу электронную почту?
Объяснение технологий

Что такое MTA-STS и как он защищает вашу электронную почту?

Хотите получить сверхзащищенную электронную почту? Узнайте о новом интернет-стандарте под названием MTA-STS

Электронная почта – главный виновник большинства кибератак. Она является легкой точкой доступа для вредоносных программ, рекламного ПО, спама и фишинга, а также предоставляет угрозам безграничные возможности для завладения вашей личной информацией

Чтобы уменьшить эти угрозы, необходимо принять строгие меры безопасности как для индивидуальных, так и для рабочих учетных записей электронной почты

Безопасность и шифрование электронной почты

Несмотря на популярность других способов коммуникации, электронная почта по-прежнему является крупнейшей формой передачи данных для любого человека или организации. Защита содержимого электронной почты является жизненной необходимостью

Безопасность электронной почты подразумевает проверку и шифрование всего входящего и исходящего почтового трафика. Шифрование играет важную роль в сохранении конфиденциальности содержимого электронной почты, обеспечивая безопасность соединений SMTP (Simple Mail Transfer Protocol)

До недавнего времени шифрование было лишь необязательным требованием для SMTP

Как работает шифрование электронной почты?

Шифрование электронной почты – это процесс добавления шифра или части кода к содержимому вашего сообщения, что делает его неразборчивым. Преобразуя данные электронной почты в код, содержимое защищается от несанкционированного раскрытия. Проще говоря, ваша электронная почта шифруется

В качестве дополнительной защиты в процессе шифрования используются открытые и закрытые ключи, где происходит обмен зашифрованными ключами для блокировки и разблокировки закодированных электронных писем. Отправитель шифрует электронное письмо с помощью криптографии с открытым ключом, а затем получатель использует закрытый ключ для расшифровки полученного сообщения

Шифрование применяется на всем пути следования электронного письма, от начала до конца. В качестве лучшей практики следует шифровать все входящие и исходящие сообщения электронной почты, а не только те, которые несут конфиденциальную информацию. Это не позволяет субъектам угрозы получить любую точку входа в вашу систему

История вопроса и проблемы с SMTP

Когда протокол SMTP появился в 1982 году, шифрование электронной почты не было распространенной практикой, и по умолчанию электронные письма отправлялись и принимались в виде обычного текста. Чтобы ввести безопасность на транспортном уровне, в конце 1990-х годов была добавлена команда STARTTLS, которая предлагала возможность шифрования с помощью протокола TLS (Transport Layer Security)

Как бы многообещающе ни звучало обновление TLS, оно оставило нетронутыми две лазейки в безопасности:

  1. Опция шифрования была именно такой:  опция. Незащищенные электронные письма все еще были распространены, вызывая всплеск кибер-атак.
  2. Даже при наличии STARTTLS не было способа проверить подлинность сервера отправителя, поскольку SMTP-серверы не проверяют сертификаты.

Прибытие MTA-STS

В 2019 году компания Google наконец-то сделала шаг навстречу и объявила о принятии нового стандарта MTA-STS (Mail Transfer Agent/Strict Transport Security) (RFC8461)

Это дает возможность поставщикам почтовых услуг навязывать TLS для защиты SMTP-соединений, а также предоставляет возможность отказывать в доставке электронной почты на узлы MX, которые не предлагают TLS с надежным сертификатом сервера

MTA-STS наконец-то решает все предыдущие проблемы с SMTP, обеспечивая шифрование между взаимодействующими SMTP-серверами. Но как это работает на самом деле? Давайте узнаем!

Как работает MTA-STS?

MTA-STS работает, инструктируя SMTP-сервер взаимодействовать с другим SMTP-сервером только при двух условиях:

  1. SMTP-сервер должен быть зашифрован.
  2. Имя домена в сертификате сервера соответствует домену в политике, и сертификаты обновлены.

Используя комбинацию DNS и HTTPS для публикации политики, MTA-STS информирует отправляющую сторону о том, как действовать, если зашифрованный канал связи не может быть инициирован

Реализовать MTA-STS на стороне получателя очень просто, но для отправителя необходимо использовать поддерживающее почтовый сервер программное обеспечение, такое как ProtonMail

Сопутствующее: ProtonMail: Безопасность электронной почты, которая вам нужна, с функциями, которые вы хотите

Какие типы атак защищает MTA-STS?

Если MTA-STS применяется к вашей электронной почте, то следующие угрозы будут отражены с головой:

Атаки типа ‘человек посередине’ (MITM): Эта атака осуществляется, когда злоумышленник вмешивается в коммуникацию между двумя сторонами, чтобы украсть или изменить данные. В случае с электронной почтой это обычно означает два взаимодействующих SMTP-сервера. Используя MTA-STS, эти атаки можно легко предотвратить

Downgrade Attacks: Угрожающий субъект заставляет сетевой канал перейти в небезопасный режим передачи данных. В качестве примера, эта атака может перенаправить посетителя сайта с HTTPS-версии сайта на HTTP-версию.MTA-STS помогает бороться с этими атаками, предотвращая любой несанкционированный доступ

DNS Spoofing Attacks: Эти хитрые атаки изменяют DNS-записи предполагаемого места назначения пользователя и обманывают его, заставляя поверить, что он посещает законный сайт или домен. Реализация MTA-STS значительно помогает в борьбе с этими атаками

Связанные вопросы: Что такое отравление кэша DNS?

Теперь, когда мы знакомы с MTA-STS, пришло время познакомиться с новым стандартом отчетности для SMTP, известным как отчетность TLS

Что такое SMTP TLS Reporting (TLS-RPT)?

Как и MTA-STS, TLS-RPT – это стандарт отчетности, который обнаруживает проблемы с подключением и несоответствия между отправляющими приложениями. После включения он отправляет ежедневные отчеты о любых проблемах с подключением, возникающих на внешних серверах во время отправки электронной почты

Думайте об этом как об инструменте устранения неполадок, где отчеты могут быть использованы для оценки и устранения потенциальных проблем и проблем конфигурации

Какие проблемы решает TLS-RPT?

Диагностические отчеты: TLS-отчеты предлагают диагностические отчеты в формате JSON, содержащие исчерпывающую информацию о любых входящих сообщениях электронной почты, столкнувшихся с проблемами доставки. Он также обнаруживает электронные письма, которые отскочили или не были доставлены, например, из-за атаки на понижение

Улучшенная видимость: Включив TLS-RPT, вы сможете улучшить видимость всех ваших каналов электронной почты. Это позволит вам отслеживать все данные, которые поступают к вам, включая и неудачные сообщения

Ежедневные отчеты: Диагностические отчеты отправляются не реже одного раза в день для глубокого охвата и наблюдения за политиками MTA-STS. Отчеты также включают статистику трафика, а также подробную информацию об ошибках и неудачных доставках

Когда все остальное не работает, шифрование побеждает

В связи с постоянно развивающейся природой киберугроз, строгие меры безопасности и криптография являются обязательными условиями для безопасной и надежной доставки электронной почты

Благодаря различным поставщикам услуг электронной почты, предлагающим надежные средства шифрования и стандарты MTA-STS, полностью безопасная передача электронной почты больше не является надуманной реальностью

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий