Vào năm 1982, khi SMTP lần đầu tiên được chỉ định, nó không chứa bất kỳ cơ chế nào cung cấp bảo mật ở cấp độ truyền tải để đảm bảo thông tin liên lạc giữa các tác nhân chuyển thư.
Sau đó, vào năm 1999, lệnh STARTTLS đã được thêm vào SMTP để hỗ trợ mã hóa email giữa các máy chủ, cung cấp khả năng chuyển đổi kết nối không an toàn thành kết nối an toàn được mã hóa bằng giao thức TLS.
Tuy nhiên, mã hóa là tùy chọn trong SMTP, có nghĩa là email có thể được gửi ở dạng bản rõ. Đại lý chuyển thư-Bảo mật vận chuyển nghiêm ngặt (MTA-STS) là một tiêu chuẩn tương đối mới cho phép các nhà cung cấp dịch vụ thư có khả năng thực thi Bảo mật lớp truyền tải (TLS) để bảo mật các kết nối SMTP và chỉ định liệu máy chủ SMTP gửi có nên từ chối gửi email đến máy chủ MX không cung cấp TLS với máy chủ đáng tin cậy hay không chứng chỉ. Nó đã được chứng minh là giảm thiểu thành công các cuộc tấn công hạ cấp TLS và các cuộc tấn công Man-in-the-Middle (MitM).
Báo cáo SMTP TLS (TLS-RPT) là một tiêu chuẩn cho phép báo cáo các sự cố trong kết nối TLS mà các ứng dụng gửi email và phát hiện cấu hình sai. Nó cho phép báo cáo các sự cố gửi email diễn ra khi email không được mã hóa bằng TLS. Vào tháng 9 năm 2018, tiêu chuẩn lần đầu tiên được ghi nhận trong RFC 8460.
Tại sao email của bạn yêu cầu mã hóa khi chuyển tuyến?
Mục tiêu chính là cải thiện bảo mật cấp độ truyền tải trong quá trình giao tiếp SMTP, đảm bảo tính riêng tư của lưu lượng email. Hơn nữa, mã hóa các thư gửi đến được gửi đến miền của bạn giúp tăng cường bảo mật thông tin, sử dụng mật mã để bảo vệ thông tin điện tử.
Hơn nữa, các cuộc tấn công mật mã như tấn công Man-in-the-Middle (MitM) SMTP Downgrade, cũng như các cuộc tấn công giả mạo DNS, đã trở nên phổ biến trong thời gian gần đây và đã trở thành một thực tế phổ biến trong giới tội phạm mạng, có thể tránh được bằng cách thực thi TLS mã hóa và hỗ trợ mở rộng cho các giao thức an toàn.
Một cuộc tấn công MITM được phát động như thế nào?
Vì mã hóa phải được trang bị thêm vào giao thức SMTP, nên việc nâng cấp cho phân phối được mã hóa phải dựa vào lệnh STARTTLS. Kẻ tấn công MITM có thể dễ dàng khai thác tính năng này bằng cách thực hiện Tấn công hạ cấp SMTP trên kết nối SMTP bằng cách giả mạo lệnh nâng cấp bằng cách thay thế hoặc xóa lệnh đó, buộc khách hàng phải quay lại gửi email ở dạng văn bản rõ ràng.
Sau khi chặn liên lạc, kẻ tấn công MITM có thể dễ dàng lấy cắp thông tin đã giải mã và truy cập vào nội dung của email. Điều này là do SMTP là tiêu chuẩn ngành để chuyển thư. Nó sử dụng mã hóa cơ hội, ngụ ý rằng mã hóa là tùy chọn và email vẫn có thể được gửi dưới dạng văn bản rõ ràng.
Các cuộc tấn công MITM cũng có thể được thực hiện dưới dạng Tấn công giả mạo DNS:
Vì DNS là một hệ thống không được mã hóa nên tội phạm mạng có thể thay thế các bản ghi MX trong phản hồi truy vấn DNS bằng một máy chủ thư mà chúng có quyền truy cập và kiểm soát, do đó dễ dàng chuyển hướng lưu lượng DNS đi qua mạng.
Trong trường hợp đó, nhân viên chuyển thư sẽ gửi email đến máy chủ của kẻ tấn công, cho phép hắn truy cập và giả mạo nội dung email. Sau đó, email có thể được chuyển tiếp đến máy chủ của người nhận dự định mà không bị phát hiện.
Khi bạn triển khai MTA-STS, địa chỉ MX được tìm nạp qua DNS và so sánh với những địa chỉ được tìm thấy trong tệp chính sách MTA-STS, được phân phát qua kết nối bảo mật HTTPS, do đó giảm thiểu các cuộc tấn công giả mạo DNS.
Ngoài việc tăng cường bảo mật thông tin và giảm thiểu các cuộc tấn công giám sát phổ biến, mã hóa các tin nhắn đang truyền cũng giải quyết nhiều vấn đề bảo mật SMTP.
Đạt được Mã hóa TLS bắt buộc của email với MTA-STS
Nếu bạn không vận chuyển được email của mình qua kết nối an toàn, dữ liệu của bạn có thể bị xâm phạm hoặc thậm chí bị sửa đổi và giả mạo bởi kẻ tấn công mạng.
Đây là nơi MTA-STS bước vào và khắc phục sự cố này, cho phép chuyển tiếp an toàn cho email của bạn cũng như giảm thiểu thành công các cuộc tấn công mật mã và tăng cường bảo mật thông tin bằng cách thực thi mã hóa TLS.
Nói một cách đơn giản, MTA-STS thực thi việc chuyển email qua một con đường được mã hóa TLS. Trong trường hợp không thể thiết lập kết nối được mã hóa, email hoàn toàn không được gửi, thay vì được gửi dưới dạng văn bản rõ ràng.
Hơn nữa, MTA tìm nạp và lưu trữ các tệp chính sách MTA-STS, các tệp này phục vụ một cách an toàn các địa chỉ MX khiến những kẻ tấn công khó khởi động một cuộc tấn công giả mạo DNS hơn.
MTA-STS cung cấp khả năng bảo vệ chống lại :
- Hạ cấp các cuộc tấn công
- Các cuộc tấn công Man-In-The-Middle (MITM)
- Nó giải quyết nhiều vấn đề bảo mật SMTP, bao gồm chứng chỉ TLS đã hết hạn và thiếu hỗ trợ cho các giao thức an toàn.
- Tấn công giả mạo DNS
Các nhà cung cấp dịch vụ thư lớn, chẳng hạn như Microsoft, Oath và Google, hỗ trợ MTA-STS. Google, là công ty lớn nhất trong ngành, đạt được vị trí trung tâm khi áp dụng bất kỳ giao thức nào và việc google áp dụng MTA-STS cho thấy việc mở rộng hỗ trợ đối với các giao thức an toàn và nêu bật tầm quan trọng của mã hóa email khi chuyển tiếp.
Khắc phục sự cố trong Gửi email bằng TLS-RPT
Báo cáo SMTP TLS cung cấp cho chủ sở hữu miền báo cáo chẩn đoán (ở định dạng tệp JSON) với các chi tiết phức tạp về các email được gửi đến miền của bạn và gặp phải sự cố gửi hoặc không thể gửi do cuộc tấn công hạ cấp hoặc các sự cố khác để bạn có thể chủ động khắc phục sự cố .
Ngay sau khi bạn bật TLS-RPT, Đại lý chuyển thư được ưu tiên sẽ bắt đầu gửi báo cáo chẩn đoán về các vấn đề gửi email giữa các máy chủ giao tiếp đến miền email được chỉ định.
Các báo cáo thường được gửi mỗi ngày một lần, bao gồm và truyền đạt các chính sách MTA-STS mà người gửi quan sát được, số liệu thống kê về lưu lượng truy cập cũng như thông tin về lỗi hoặc sự cố khi gửi email.
Nhu cầu triển khai TLS-RPT:
- Trong trường hợp không gửi được email đến miền của bạn do bất kỳ sự cố nào trong quá trình gửi, bạn sẽ được thông báo.
- TLS-RPT cung cấp khả năng hiển thị nâng cao trên tất cả các kênh email của bạn để bạn có được cái nhìn sâu sắc hơn về tất cả những gì đang diễn ra trong miền của bạn, bao gồm cả các thư không được gửi.
- TLS-RPT cung cấp các báo cáo chẩn đoán chuyên sâu cho phép bạn xác định và giải quyết tận gốc vấn đề gửi email và khắc phục nó mà không bị chậm trễ.
Áp dụng MTA-STS và TLS-RPT được PowerDMARC thực hiện dễ dàng và nhanh chóng
MTA-STS yêu cầu máy chủ web hỗ trợ HTTPS có chứng chỉ hợp lệ, bản ghi DNS và bảo trì liên tục. PowerDMARC làm cho cuộc sống của bạn dễ dàng hơn rất nhiều bằng cách xử lý tất cả những điều đó cho bạn, hoàn toàn ở chế độ nền- từ việc tạo chứng chỉ và tệp chính sách MTA-STS đến việc thực thi chính sách, chúng tôi giúp bạn tránh những phức tạp liên quan đến việc áp dụng giao thức. Sau khi chúng tôi giúp bạn thiết lập nó chỉ với một vài cú nhấp chuột, bạn thậm chí không bao giờ phải nghĩ về nó nữa.
Với sự trợ giúp của PowerDMARC’s Dịch vụ xác thực email, bạn có thể triển khai Được lưu trữ MTA-STS tại tổ chức của bạn mà không gặp rắc rối và với tốc độ rất nhanh, với sự trợ giúp của bạn, bạn có thể thực thi các email được gửi đến miền của mình qua kết nối được mã hóa TLS, do đó giúp kết nối của bạn an toàn và ngăn chặn các cuộc tấn công MITM.
PowerDMARC làm cho cuộc sống của bạn dễ dàng hơn bằng cách làm cho quá trình triển khai TLS-RPT dễ dàng và nhanh chóng, trong tầm tay của bạn! Ngay sau khi bạn đăng ký PowerDMARC và bật Báo cáo SMTP TLS cho miền của mình, chúng tôi chịu khó chuyển đổi các tệp JSON phức tạp chứa các báo cáo về sự cố gửi email của bạn thành các tài liệu đơn giản, dễ đọc (trên mỗi kết quả và mỗi nguồn gửi), mà bạn có thể xem qua và hiểu một cách dễ dàng! Nền tảng của PowerDMARC tự động phát hiện và sau đó chuyển tải các vấn đề bạn đang gặp phải trong quá trình gửi email, để bạn có thể nhanh chóng giải quyết và giải quyết chúng ngay lập tức!
PowerDMARC là một nền tảng SaaS xác thực email duy nhất kết hợp tất cả các phương pháp hay nhất về xác thực email như DMARC, SPF, DKIM, BIMI, MTA-STS và TLS-RPT, dưới cùng một mái nhà. Vì vậy, hãy đăng ký để nhận máy phân tích DMARC miễn phí hôm nay!
