Giao thức truyền thư đơn giản hoặc SMTP có các lỗ hổng bảo mật dễ bị khai thác. Các giao thức định tuyến email được thiết kế trong thời kỳ mà công nghệ mật mã còn ở giai đoạn sơ khai (ví dụ: giao thức de-facto để chuyển email, SMTP, hiện đã gần 40 năm tuổi), và do đó bảo mật không phải là một vấn đề quan trọng.
Do đó, trong hầu hết các hệ thống email, mã hóa vẫn mang tính cơ hội, điều này ngụ ý rằng nếu kết nối ngược lại không hỗ trợ TLS, nó sẽ được khôi phục lại thành một kết nối không được mã hóa gửi thông điệp ở dạng bản rõ.
Để giảm thiểu các vấn đề bảo mật SMTP, MTA-STS (Mail Transfer Agent Nghiêm ngặt về Bảo mật Truyền tải) là tiêu chuẩn xác thực email được khuyến nghị. Nó thực thi TLS để cho phép MTA gửi email một cách an toàn. Điều này có nghĩa là nó sẽ chỉ cho phép thư từ MTA hỗ trợ mã hóa TLS và nó sẽ chỉ cho phép thư đi đến máy chủ MX hỗ trợ mã hóa TLS.
Trong trường hợp không thể thương lượng kết nối được mã hóa giữa các máy chủ SMTP đang giao tiếp, email sẽ không được gửi, thay vì được gửi qua kết nối không được mã hóa.
Phân tích các rủi ro liên quan đến việc chuyển email qua kết nối SMTP không được mã hóa
STARTTLS là một phần mở rộng giao thức truyền thông cho giao thức truyền email SMTP cho phép cả hai đối tác truyền thông nâng cấp giao tiếp không được mã hóa thành giao tiếp được mã hóa. Việc triển khai bảo mật tương thích ngược này đã được trang bị thêm vào SMTP để đảm bảo rằng tất cả các máy khách có thể kết nối với một số cấp độ mã hóa. Khi SMTP lần đầu tiên được tạo ra vào những năm 1980, nó không có bất kỳ biện pháp bảo mật nào để đảm bảo giao tiếp giữa các máy chủ thư được gửi ở dạng mã hóa — nó chỉ gửi thư dưới dạng văn bản thuần túy.
Một lỗ hổng đã biết trong thiết kế giao thức của SMTP có thể bị khai thác để hạ cấp kết nối một cách dễ dàng. Vì SMTP không được thiết kế để mã hóa, nên việc nâng cấp cho phân phối được mã hóa được thực hiện bằng cách gửi lệnh STARTTLS không được mã hóa. Điều này cho phép kẻ tấn công Man-in-the-middle giả mạo lệnh STARTTLS, do đó hạ cấp kết nối được mã hóa TLS xuống kết nối không được mã hóa. Điều này buộc ứng dụng email khách phải quay trở lại việc gửi thông tin ở dạng bản rõ. Sau đó kẻ tấn công có thể dễ dàng truy cập và nghe trộm thông tin đã được giải mã.
Các cuộc tấn công nghe lén trên mạng như MITM có thể gây nguy hiểm cho thông tin nhạy cảm được trao đổi giữa các quan chức của một tổ chức, dẫn đến việc rò rỉ cơ sở dữ liệu của công ty và thông tin đăng nhập.
Làm thế nào để Đảm bảo Mã hóa TLS với MTA-STS?
MTA-STS bắt buộc mã hóa TLS trong SMTP, điều này đảm bảo rằng các thư không được gửi qua một kết nối không an toàn hoặc được gửi dưới dạng văn bản rõ ràng. Điều này sẽ ngăn chặn các cuộc tấn công giả mạo DNS và Man-in-the-trung bằng cách ngăn những kẻ tấn công chặn liên lạc qua email.
Các dịch vụ MTA-STS được lưu trữ của PowerDMARC giúp loại bỏ các phức tạp đi kèm với việc áp dụng giao thức, bằng cách làm cho quy trình tổng thể trở nên dễ dàng đối với chủ sở hữu miền.
MTA-STS được lưu trữ của chúng tôi cung cấp cho chủ sở hữu miền những lợi ích sau:
- Chúng tôi thay mặt bạn lưu trữ và quản lý các tệp chính sách và chứng chỉ
- Việc áp dụng giao thức dễ dàng như xuất bản một vài bản ghi CNAME DNS, giúp nó dễ dàng và nhanh chóng
- Trang tổng quan chuyên dụng để quản lý và sửa đổi cấu hình giao thức cho phép bạn thực hiện các thay đổi đối với bản ghi MTA-STS của mình mà không cần phải truy cập DNS của bạn
- Các dịch vụ MTA-STS được lưu trữ của PowerDMARC đáp ứng các yêu cầu tuân thủ RFC cũng như các tiêu chuẩn TLS hiện tại
Điều quan tâm đến chủ sở hữu miền sau khi triển khai MTA-STS là làm thế nào để nhận được cảnh báo trong các tình huống không thể thương lượng kết nối được mã hóa và không gửi được thông báo. Tuy nhiên, lưu ý vấn đề này các chuyên gia đã tuyển chọn Báo cáo SMTP TLS, một cơ chế thông báo cho bạn về các vấn đề giao hàng.
Làm thế nào để Xem và Quản lý Báo cáo TLS của bạn?
TLS-RPT cho phép bạn nhận được thông báo về lỗi gửi email trên các kênh được mã hóa TLS; nó phân tích và báo cáo tất cả các vấn đề có thể xảy ra trong các kênh đó, cho phép bạn phản ứng với sự cố TLS và gửi lại thông báo mà không có bất kỳ sự chậm trễ nào. Đây là một bổ sung tuyệt vời cho MTA-STS vì nó giải quyết mối lo ngại liên quan đến việc email bị thất lạc trong quá trình chuyển.
Các dịch vụ TLS-RPT được lưu trữ của PowerDMARC:
- Cấp cho bạn quyền truy cập vào một trang tổng quan chuyên dụng tự động phân tích cú pháp các báo cáo TLS của bạn (ban đầu được gửi ở định dạng JSON), để làm cho chúng trở nên đơn giản và con người có thể đọc được
- Dữ liệu TLS-RPT được sắp xếp thành các bảng, với các nút và biểu tượng có thể hành động để dễ sử dụng và điều hướng
- Hơn nữa, báo cáo của bạn được phân loại thành hai định dạng xem riêng biệt: theo nguồn gửi và theo kết quả, để có khả năng hiển thị tốt hơn và rõ ràng hơn, đồng thời nâng cao trải nghiệm người dùng.
PowerDMARC giúp bạn triển khai và quản lý các giải pháp xác thực email như DMARC, SPF, DKIM, BIMI, MTA-STS và TLS-RPT, dưới một mái nhà duy nhất mà không cần phải triển khai chúng riêng biệt cho miền của bạn!
Để tận dụng các lợi ích của xác thực email tại tổ chức của bạn và chống lại nguy cơ lừa đảo, giả mạo, ransomware và các cuộc tấn công MITM, hãy đăng ký máy phân tích DMARC miễn phí hôm nay!
