ባጭሩ ኤምቲኤ-STS በኢሜል አገልጋዮች መካከል በሚተላለፉበት ጊዜ ኢሜይሎችን ከመጥለፍ (ማለትም ሰው-በመካከለኛው ጥቃት aka MitM) የበለጠ የሚከላከልበት መንገድ ነው። የኢሜል ፕሮቶኮሎችን የቆዩ የስነ-ህንፃ ችግሮችን በከፊል ይፈታል እና በአንጻራዊነት በቅርብ ጊዜ ባለው መደበኛ RFC 8461 ውስጥ ተገልጿል. Mail.ru ይህንን መስፈርት ተግባራዊ ለማድረግ በ RuNet ላይ የመጀመሪያው ዋና የፖስታ አገልግሎት ነው። እና በቆራጩ ስር በበለጠ ዝርዝር ውስጥ ተገልጿል.

MTA-STS ምን ችግር ይፈታል?

ከታሪክ አኳያ የኢሜል ፕሮቶኮሎች (SMTP፣ POP3፣ IMAP) መረጃን በጠራ ጽሑፍ ያስተላልፋሉ፣ ይህም መረጃን ለመጥለፍ አስችሎታል፣ ለምሳሌ የመገናኛ ቻናል ሲደርሱ።

ደብዳቤ ከአንድ ተጠቃሚ ወደ ሌላ የማድረስ ዘዴ ምን ይመስላል

ከታሪክ አንጻር ሚት ኤም ጥቃት በፖስታ በሚሰራጭባቸው ቦታዎች ሁሉ ይቻል ነበር።

RFC 8314 በደብዳቤ ተጠቃሚ መተግበሪያ (MUA) እና በፖስታ አገልጋይ መካከል TLS መጠቀምን ይጠይቃል። አገልጋይህ እና የምትጠቀማቸው የፖስታ አፕሊኬሽኖች RFC 8314ን የሚያከብሩ ከሆነ በተጠቃሚው እና በደብዳቤ አገልጋዩች መካከል የማን-ኢን-ዘ-መካከለኛ ጥቃትን (በአብዛኛው) አስቀርተዋል።

በአጠቃላይ ተቀባይነት ያላቸው ልማዶችን መከተል (በ RFC 8314 ደረጃውን የጠበቀ) በተጠቃሚው አቅራቢያ ያለውን ጥቃት ያስወግዳል፡

የ Mail.ru ሜይል አገልጋዮች ደረጃው ከመጽደቁ በፊትም RFC 8314 ን ያከብሩ ነበር፤ እንደ እውነቱ ከሆነ፣ በቀላሉ ቀድሞ ተቀባይነት ያላቸውን ልማዶች ይይዛል፣ እና ምንም ተጨማሪ ማዋቀር አልነበረብንም። ነገር ግን፣ የመልዕክት አገልጋይዎ አሁንም ተጠቃሚዎች ደህንነታቸው ያልተጠበቁ ፕሮቶኮሎችን እንዲጠቀሙ የሚፈቅድ ከሆነ፣ የዚህን መስፈርት ምክሮች መተግበሩን ያረጋግጡ፣ ምክንያቱም ምናልባት፣ ቢያንስ አንዳንድ ተጠቃሚዎችዎ ምንም እንኳን እርስዎ ቢደግፉትም ሳይመሰጠሩ በፖስታ ይሰራሉ።

የመልእክት ደንበኛው ሁልጊዜ ከተመሳሳዩ የደብዳቤ አገልጋይ ጋር አብሮ ይሰራል። እና ሁሉም ተጠቃሚዎች ደህንነቱ በተጠበቀ መልኩ እንዲገናኙ ማስገደድ እና ከዚያ ደህንነቱ ያልተጠበቁ ተጠቃሚዎች እንዳይገናኙ በቴክኒካል ማድረግ ይችላሉ (ይህ RFC 8314 የሚያስፈልገው ነው)። ይህ አንዳንድ ጊዜ አስቸጋሪ ነው, ግን ሊሠራ የሚችል ነው. በፖስታ አገልጋዮች መካከል ያለው ትራፊክ አሁንም የበለጠ የተወሳሰበ ነው። ሰርቨሮች የተለያዩ ድርጅቶች ናቸው እና ብዙውን ጊዜ በ "ስብስብ እና መርሳት" ሁነታ ጥቅም ላይ ይውላሉ, ይህም ግንኙነትን ሳያቋርጡ ወደ አስተማማኝ ፕሮቶኮል ለመቀየር የማይቻል ያደርገዋል. SMTP ምስጠራን የሚደግፉ አገልጋዮች ወደ TLS እንዲቀይሩ የሚያስችል የSTARTTLS ቅጥያ ለረጅም ጊዜ አቅርቧል። ነገር ግን በትራፊክ ላይ ተጽእኖ የማድረግ ችሎታ ያለው አጥቂ የዚህን ትዕዛዝ ድጋፍ በተመለከተ መረጃን "ቆርጦ ማውጣት" እና አገልጋዮቹ ግልጽ በሆነ የጽሁፍ ፕሮቶኮል (የማውረድ ጥቃት ተብሎ የሚጠራው) በመጠቀም እንዲገናኙ ማስገደድ ይችላል. በተመሳሳዩ ምክንያት STARTTLS ብዙውን ጊዜ የምስክር ወረቀቱን ትክክለኛነት አያረጋግጥም (የማይታመን የምስክር ወረቀት ከተጨባጭ ጥቃቶች ሊከላከል ይችላል, እና ይህ ግልጽ በሆነ ጽሑፍ መልዕክት ከመላክ የከፋ አይደለም). ስለዚህ፣ STARTTLS የሚከላከለው ከተገቢው የጆሮ ማዳመጫ ብቻ ነው።

ኤምቲኤ-STS አጥቂው በትራፊክ ላይ ንቁ ተጽዕኖ የማድረግ ችሎታ ሲኖረው በደብዳቤ አገልጋዮች መካከል ያሉትን ፊደሎች የመጥለፍ ችግርን በከፊል ያስወግዳል። የተቀባዩ ጎራ የMTA-STS ፖሊሲን ካተመ እና የላኪው አገልጋይ MTA-STSን የሚደግፍ ከሆነ፣ ኢሜይሉን የሚላከው በTLS ግንኙነት ብቻ ነው፣ በመመሪያው ለተገለጹ አገልጋዮች ብቻ እና የአገልጋዩን የምስክር ወረቀት በማረጋገጥ ብቻ።

ለምን በከፊል? MTA-STS የሚሠራው ሁለቱም ወገኖች ይህንን መስፈርት ለመተግበር ጥንቃቄ ካደረጉ ብቻ ነው፣ እና MTA-STS አጥቂ ከሕዝብ CAs የአንዱ ትክክለኛ የጎራ የምስክር ወረቀት ማግኘት ከቻለባቸው ሁኔታዎች አይከላከልም።

MTA-STS እንዴት እንደሚሰራ

ተቀባይ

1. የSTARTTLS ድጋፍን በደብዳቤ አገልጋዩ ላይ ካለው ትክክለኛ የምስክር ወረቀት ጋር ያዋቅራል። 
2. የኤምቲኤ-STS ፖሊሲን በ HTTPS በኩል ያትማል፤ ልዩ mta-sts ጎራ እና ልዩ የታወቀ መንገድ ለህትመት ጥቅም ላይ ይውላል፣ ለምሳሌ https://mta-sts.mail.ru/.well-known/mta-sts.txt. መመሪያው ለዚህ ጎራ ደብዳቤ የመቀበል መብት ያላቸው የመልእክት አገልጋዮች (mx) ዝርዝር ይዟል።
3. ልዩ የTXT መዝገብ _mta-sts በዲ ኤን ኤስ ከመመሪያው ሥሪት ጋር ያትማል። መመሪያው ሲቀየር ይህ ግቤት መዘመን አለበት (ይህ ላኪው ፖሊሲውን እንደገና እንዲጠይቅ ያሳያል)። ለምሳሌ, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

ላኪ

ላኪው የ_mta-sts ዲ ኤን ኤስ መዝገብ ይጠይቃል፣ እና ካለ፣ በ HTTPS በኩል የመመሪያ ጥያቄ ያቀርባል (የምስክር ወረቀቱን በማጣራት)። የተገኘው ፖሊሲ ተደብቋል (አንድ አጥቂ የእሱን መዳረሻ ከከለከለ ወይም የዲ ኤን ኤስ መዝገቡን ካበላሸ)።

ደብዳቤ በሚልኩበት ጊዜ የሚከተለው ምልክት ይደረግበታል፡-

• ደብዳቤ የሚላክበት አገልጋይ በፖሊሲው ውስጥ ነው;
• አገልጋዩ TLS (STARTTLS) በመጠቀም ደብዳቤ ይቀበላል እና የሚሰራ የምስክር ወረቀት አለው።

የ MTA-STS ጥቅሞች

MTA-STS በአብዛኛዎቹ ድርጅቶች (SMTP+STARTTLS፣ HTTPS፣ DNS) ውስጥ የተተገበሩ ቴክኖሎጂዎችን ይጠቀማል። በተቀባዩ በኩል ለመተግበር, ለደረጃው ልዩ የሶፍትዌር ድጋፍ አያስፈልግም.

የ MTA-STS ጉዳቶች

የድር እና የፖስታ ሰርቨር ሰርተፍኬት ትክክለኛነት፣ የስም መጻጻፍ እና ወቅታዊ እድሳትን መከታተል ያስፈልጋል። በሰርቲፊኬቱ ላይ ያሉ ችግሮች ደብዳቤ መላክ አለመቻልን ያስከትላል።

በላኪ በኩል፣ ለMTA-STS ፖሊሲዎች ድጋፍ ያለው ኤምቲኤ ያስፈልጋል፣ በአሁኑ ጊዜ፣ MTA-STS በኤምቲኤ ውስጥ ካለው ሳጥን ውስጥ አይደገፍም።

ኤምቲኤ-STS የታመኑ ስር CAዎች ዝርዝር ይጠቀማል።

MTA-STS አጥቂው ትክክለኛ የምስክር ወረቀት ከሚጠቀምባቸው ጥቃቶች አይከላከልም። በአብዛኛዎቹ ሁኔታዎች ሚትኤም ከአገልጋዩ አጠገብ የምስክር ወረቀት የመስጠት ችሎታን ያሳያል። እንዲህ ዓይነቱ ጥቃት የምስክር ወረቀት ግልጽነት በመጠቀም ሊገኝ ይችላል. ስለዚህ, በአጠቃላይ, MTA-STS የትራፊክ መጨናነቅ እድልን ይቀንሳል, ግን ሙሉ በሙሉ አያስወግድም.

የመጨረሻዎቹ ሁለት ነጥቦች MTA-STS ከተወዳዳሪ የ SMTP (RFC 7672) የ DANE መስፈርት ያነሰ ደህንነታቸው የተጠበቀ ያደርጉታል፣ ነገር ግን የበለጠ በቴክኒካል አስተማማኝ፣ ማለትም። ለ MTA-STS ደረጃውን የጠበቀ ትግበራ በተፈጠረ ቴክኒካዊ ችግሮች ምክንያት ደብዳቤው እንዳይደርስ ዝቅተኛ ዕድል አለ.

የተፎካካሪ ደረጃ - DANE

DANE የምስክር ወረቀት መረጃን ለማተም DNSSEC ይጠቀማል እና በውጫዊ የምስክር ወረቀት ባለስልጣናት ላይ እምነት አይፈልግም, ይህም የበለጠ ደህንነቱ የተጠበቀ ነው. ነገር ግን የ DNSSEC አጠቃቀም ጉልህ ይበልጥ ብዙውን ጊዜ ቴክኒካዊ ውድቀቶች ይመራል, አጠቃቀም ላይ በርካታ ዓመታት ላይ ስታቲስቲክስ ላይ የተመሠረተ (በአጠቃላይ DNSSEC አስተማማኝነት እና የቴክኒክ ድጋፍ ውስጥ አዎንታዊ አዝማሚያ አለ ቢሆንም). በ SMTP ውስጥ ዳንን በተቀባዩ በኩል ለመተግበር የDNSSEC ለዲ ኤን ኤስ ዞን መገኘት ግዴታ ነው, እና ለ NSEC/NSEC3 ትክክለኛ ድጋፍ ለ DANE አስፈላጊ ነው, በ DNSSEC ውስጥ የስርዓት ችግሮች አሉ.

DNSSEC በትክክል ካልተዋቀረ፣ ተቀባዩ ወገን ምንም እንኳን የማያውቅ ቢሆንም፣ ላኪው ወገን DANEን የሚደግፍ ከሆነ፣ የደብዳቤ መላኪያ ውድቀቶችን ሊያስከትል ይችላል። ስለዚህ, DANE የቆየ እና ይበልጥ አስተማማኝ መስፈርት እና አስቀድሞ በላኪው በኩል አንዳንድ አገልጋይ ሶፍትዌር ውስጥ የተደገፈ ቢሆንም, እንዲያውም በውስጡ ዘልቆ እዚህ ግባ የማይባል ሆኖ ይቆያል, ብዙ ድርጅቶች ምክንያት DNSSEC ተግባራዊ ለማድረግ ዝግጁ አይደሉም. ይህ ደረጃውን የጠበቀ በእነዚያ ዓመታት የ DENE ትግበራን በእጅጉ ቀንሷል።

DANE እና MTA-STS እርስ በርሳቸው አይጋጩም እና አብረው ጥቅም ላይ ሊውሉ ይችላሉ.

በ Mail.ru Mail ውስጥ ከኤምቲኤ-STS ድጋፍ ጋር ምን አለ?

Mail.ru የMTA-STS ፖሊሲ ለሁሉም ዋና ዋና ጎራዎች ለተወሰነ ጊዜ ሲያትም። በአሁኑ ጊዜ የደንበኛውን የደረጃውን ክፍል በመተግበር ላይ ነን። ይህ ጽሑፍ በሚጻፍበት ጊዜ ፖሊሲዎች የሚተገበሩት በማይከለከል ሁነታ ነው (ማድረስ በፖሊሲ ከታገደ ደብዳቤው ፖሊሲዎችን ሳይተገበር በ "መለዋወጫ" አገልጋይ በኩል ይደርሳል) ከዚያም የማገድ ሁነታ ለጥቂት ክፍል ይገደዳል. የወጪ SMTP ትራፊክ ቀስ በቀስ ለ 100% ትራፊክ ፖሊሲዎች መተግበር ይደገፋል።

መስፈርቱን የሚደግፈው ሌላ ማን ነው?

እስካሁን፣ የኤምቲኤ-STS ፖሊሲዎች በግምት 0.05% የሚሆኑ ንቁ ጎራዎችን ያትማሉ፣ ነገር ግን፣ ብዙ የፖስታ ትራፊክን አስቀድመው ይከላከላሉ፣ ምክንያቱም መስፈርቱ የሚደገፈው በዋና ተጫዋቾች - Google፣ Comcast እና በከፊል Verizon (AOL፣ Yahoo) ነው። ሌሎች በርካታ የፖስታ አገልግሎቶች ለስታንዳርድ ድጋፍ በቅርብ ጊዜ ውስጥ ተግባራዊ እንደሚሆኑ አስታውቀዋል።

ይህ በእኔ ላይ ምን ተጽዕኖ ይኖረዋል?

የእርስዎ ጎራ የMTA-STS ፖሊሲ ካላተመ በስተቀር አይሆንም። መመሪያውን ካተሙ፣ ለደብዳቤ አገልጋይዎ ተጠቃሚዎች ኢሜይሎች ከመጥለፍ በተሻለ ይጠበቃሉ።

MTA-STSን እንዴት ተግባራዊ አደርጋለሁ?

የኤምቲኤ-STS ድጋፍ በተቀባዩ በኩል

መመሪያውን በ HTTPS እና በዲ ኤን ኤስ ውስጥ መዝገቦችን ማተም በቂ ነው፣ ከታመኑት CAs ውስጥ የሚሰራ ሰርተፊኬት ያዋቅሩ (እንመሰጥር ይቻል) ለSTARTTLS በኤምቲኤ (STARTTLS በሁሉም ዘመናዊ ኤምቲኤዎች ይደገፋል)፣ ምንም ልዩ ድጋፍ የለም MTA ያስፈልጋል።

ደረጃ በደረጃ ይህን ይመስላል።

1. እየተጠቀሙበት ባለው MTA ውስጥ STARTTLSን ያዋቅሩ (postfix፣ exim፣ sendmail፣ Microsoft Exchange፣ ወዘተ)።
2. የሚሰራ የእውቅና ማረጋገጫ እየተጠቀሙ መሆንዎን ያረጋግጡ (በታመነ CA የተሰጠ፣ ጊዜው ያላለፈበት፣ የእውቅና ማረጋገጫው ርዕሰ ጉዳይ ለጎራዎ መልዕክት ከሚያደርስ የMX መዝገብ ጋር ይዛመዳል)።
3. የመመሪያ ማመልከቻ ሪፖርቶች የሚቀርቡበት የTLS-RPT መዝገብ ያዋቅሩ (የTLS ሪፖርቶችን መላክን በሚደግፉ አገልግሎቶች)። የምሳሌ ግቤት (ለ example.com ጎራ)፡-

   smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»

   ይህ ግቤት የመልእክት ላኪዎች በSMTP ውስጥ በTLS አጠቃቀም ላይ ስታቲስቲካዊ ሪፖርቶችን እንዲልኩ ያዛል [email protected].

   ምንም ስህተቶች አለመኖራቸውን ለማረጋገጥ ሪፖርቶቹን ለብዙ ቀናት ይቆጣጠሩ።

4. የMTA-STS ፖሊሲን በ HTTPS ላይ ያትሙ። መመሪያው እንደ የጽሑፍ ፋይል ከCRLF መስመር ተርሚናሮች ጋር በቦታ ታትሟል።

   https://mta-sts.example.com/.well-known/mta-sts.txt
   

   ምሳሌ ፖሊሲ፡-

   version: STSv1
   mode: enforce
   mx: mxs.mail.ru
   mx: emx.mail.ru
   mx: mx2.corp.mail.ru
   max_age: 86400
   

   የስሪት መስኩ የመመሪያውን ስሪት (በአሁኑ ጊዜ) ይዟል STSv1), ሁነታ የፖሊሲ አፕሊኬሽን ሁነታን ያዘጋጃል, ሙከራ - የሙከራ ሁነታ (መመሪያው አልተተገበረም), ተፈጻሚ - "ውጊያ" ሁነታ. በመጀመሪያ ፖሊሲውን በሁነታ ያትሙ፡ በመሞከር ላይ በሙከራ ሁነታ ላይ በፖሊሲው ላይ ምንም ችግሮች ከሌሉ ከጥቂት ጊዜ በኋላ ወደ ሁነታ መቀየር ይችላሉ፡ ማስገደድ።

   በ mx ውስጥ፣ ለጎራዎ ደብዳቤ መቀበል የሚችሉ የሁሉም የመልዕክት አገልጋዮች ዝርዝር ተገልጿል (እያንዳንዱ አገልጋይ በmx ውስጥ ከተገለጸው ስም ጋር የሚዛመድ የተዋቀረ ሰርተፍኬት ሊኖረው ይገባል)። Max_age የመመሪያውን የመሸጎጫ ጊዜ ይገልጻል (አንድ ጊዜ የሚታወሰው መመሪያ ተግባራዊ ይሆናል አጥቂው ማድረሱን ቢያግድም ወይም በመሸጎጫ ጊዜ የዲ ኤን ኤስ መዝገቦችን ቢያበላሽም፣ mta-sts ዲ ኤን ኤስ በመቀየር ፖሊሲውን እንደገና መጠየቅ እንደሚያስፈልግ ማሳወቅ ይችላሉ። መዝገብ)።

5. በDNS ውስጥ የTXT መዝገብ ያትሙ፡- 

   _mta-sts.example.com. TXT “v=STS1; id=someid;”
   

   የዘፈቀደ ለዪ (ለምሳሌ የጊዜ ማህተም) በመታወቂያ መስኩ ላይ መጠቀም ይቻላል፤ ፖሊሲው ሲቀየር መለወጥ አለበት፣ ይህ ላኪዎች የተሸጎጠውን ፖሊሲ እንደገና መጠየቅ እንደሚያስፈልጋቸው እንዲገነዘቡ ያስችላቸዋል (ለዪው ከ የተሸጎጠ).

MTA-STS ድጋፍ በላኪው በኩል

እስካሁን ድረስ ከእሷ ጋር መጥፎ ነው, ምክንያቱም ... ትኩስ መደበኛ.

• Exim - ምንም አብሮ የተሰራ ድጋፍ የለም, የሶስተኛ ወገን ስክሪፕት አለ https://github.com/Bobberty/MTASTS-EXIM-PERL 
• Postfix - አብሮ የተሰራ ድጋፍ የለም፣ በሃበሬ ላይ በዝርዝር የተገለጸ የሶስተኛ ወገን ስክሪፕት አለ። https://habr.com/en/post/424961/

ስለ “ግዴታ TLS” እንደ የመጨረሻ ቃል

ከቅርብ ጊዜ ወዲህ፣ ተቆጣጣሪዎች ለኢሜይል ደህንነት ትኩረት እየሰጡ ነው (እና ያ ጥሩ ነገር ነው)። ለምሳሌ ዲኤምአርሲ በዩናይትድ ስቴትስ ውስጥ ላሉ ሁሉም የመንግስት ኤጀንሲዎች የግዴታ ነው እና በፋይናንሺያል ሴክተር ውስጥ ተፈላጊነቱ እየጨመረ በመምጣቱ ደረጃውን የጠበቀ ቁጥጥር በተደረጉ ቦታዎች 90% ደርሷል። አሁን አንዳንድ ተቆጣጣሪዎች የ "ግዴታ TLS" በግለሰብ ጎራዎች መተግበርን ይጠይቃሉ, ነገር ግን "አስገዳጅ TLS" ን የማረጋገጥ ዘዴ አልተገለጸም እና በተግባር ይህ መቼት ብዙውን ጊዜ ቀድሞውኑ ከትክክለኛ ጥቃቶች በትንሹም ቢሆን በማይከላከል መልኩ ይተገበራል. እንደ DANE ወይም MTA-STS ባሉ ስልቶች የቀረበ።

ተቆጣጣሪው የ "ግዴታ TLS" ከተለየ ጎራዎች ጋር መተግበርን የሚፈልግ ከሆነ, MTA-STS ወይም ከፊል አናሎግ በጣም ተስማሚ ዘዴ አድርገው እንዲመለከቱት እንመክራለን, ለእያንዳንዱ ጎራ ደህንነቱ የተጠበቀ ቅንብሮችን በተናጠል ያስወግዳል. የMTA-STS ደንበኛን ክፍል በመተግበር ላይ ችግሮች ካጋጠሙዎት (ፕሮቶኮሉ ሰፊ ድጋፍ እስኪያገኝ ድረስ ምናልባት እነሱ ሊያገኙ ይችላሉ) ይህንን አካሄድ ልንመክረው እንችላለን፡-

1. የMTA-STS ፖሊሲ እና/ወይም የ DANE መዝገቦችን ያትሙ (DANE ትርጉም ያለው DNSSEC አስቀድሞ ለጎራዎ የነቃ ከሆነ ብቻ ነው፣ እና በማንኛውም ሁኔታ MTA-STS) ይህ በአቅጣጫዎ ያለውን ትራፊክ ይከላከላል እና ሌሎች የመልእክት አገልግሎቶችን የመጠየቅ አስፈላጊነት ያስወግዳል። የፖስታ አገልግሎት ቀድሞውንም MTA-STS እና/ወይም DANE የሚደግፍ ከሆነ ለጎራዎ የግዴታ TLSን ለማዋቀር።
2. ለትልቅ የኢሜል አገልግሎቶች የMTA-STSን “analog” ለእያንዳንዱ ጎራ በተለየ የትራንስፖርት መቼቶች ይተግብሩ፣ ይህም ለደብዳቤ ማስተላለፍ ጥቅም ላይ የዋለውን MX ያስተካክላል እና ለእሱ የTLS ሰርተፍኬትን የግዴታ ማረጋገጫ ያስፈልገዋል። ጎራዎቹ የMTA-STS ፖሊሲን አስቀድመው ካተሙ፣ ይህ ያለምንም ህመም ሊደረግ ይችላል። በራሱ፣ የግዴታ TLSን ለአንድ ጎራ ማሰራጫውን ሳያስተካክሉ ማንቃት እና የምስክር ወረቀቱን ሳያረጋግጡ ከደህንነት እይታ አንጻር ውጤታማ አይደሉም እና አሁን ባሉት የSTARTTLS ስልቶች ላይ ምንም አይጨምርም።

ምንጭ: hab.com