Ann an ùine ghoirid, tha MTA-STS na dhòigh air puist-d a dhìon tuilleadh bho eadar-bheachd (ie, ionnsaighean fear-sa-meadhan aka MitM) nuair a thèid an gluasad eadar frithealaichean puist. Bidh e gu ìre a’ fuasgladh nan duilgheadasan ailtireil dìleabach a thaobh protocolaidhean post-d agus tha e air a mhìneachadh anns an ìre an ìre mhath o chionn ghoirid RFC 8461. Is e Mail.ru a’ chiad phrìomh sheirbheis puist air an RuNet a chuir an inbhe seo an gnìomh. Agus tha e air a mhìneachadh nas mionaidiche fon ghearradh.

Dè an duilgheadas a tha MTA-STS a’ fuasgladh?

Gu h-eachdraidheil, bha protocolaidhean post-d (SMTP, POP3, IMAP) a’ sgaoileadh fiosrachadh ann an teacsa soilleir, a rinn e comasach casg a chuir air, mar eisimpleir, nuair a bha iad a’ faighinn cothrom air seanal conaltraidh.

Cò ris a tha an dòigh airson litir a lìbhrigeadh bho aon neach-cleachdaidh gu neach eile coltach:

Gu h-eachdraidheil, bha ionnsaigh MitM comasach anns a h-uile àite far a bheil post a’ cuairteachadh.

Feumaidh RFC 8314 cleachdadh TLS eadar an tagradh cleachdaiche puist (MUA) agus frithealaiche a’ phuist. Ma tha an t-seirbheisiche agad agus na tagraidhean puist a bhios tu a’ cleachdadh a’ gèilleadh ri RFC 8314, tha thu (gu ìre mhòr) air cuir às don chomas air ionnsaighean Man-in-the-Middle eadar an neach-cleachdaidh agus na frithealaichean puist.

Às deidh cleachdaidhean ris an deach gabhail san fharsaingeachd (àbhaisteach le RFC 8314) cuir às don ionnsaigh faisg air an neach-cleachdaidh:

Choilean frithealaichean puist Mail.ru ri RFC 8314 eadhon mus deach gabhail ris an inbhe; gu dearbh, tha e dìreach a ’glacadh chleachdaidhean ris an deach gabhail mar-thà, agus cha robh againn ri dad a bharrachd a rèiteachadh. Ach, ma tha am frithealaiche puist agad fhathast a’ leigeil le luchd-cleachdaidh protocolaidhean mì-chinnteach a chleachdadh, bi cinnteach gun cuir thu an gnìomh molaidhean na h-ìre seo, oir Nas coltaiche, bidh co-dhiù cuid den luchd-cleachdaidh agad ag obair le post gun chrioptachadh, eadhon ged a bheir thu taic dha.

Bidh an neach-dèiligidh puist an-còmhnaidh ag obair leis an aon fhrithealaiche puist den aon bhuidheann. Agus faodaidh tu toirt air a h-uile neach-cleachdaidh ceangal a dhèanamh ann an dòigh thèarainte, agus an uairsin a dhèanamh do-dhèanta gu teicnigeach do luchd-cleachdaidh neo-thèarainte ceangal a dhèanamh (is e seo dìreach a tha RFC 8314 ag iarraidh). Tha seo uaireannan duilich, ach comasach. Tha trafaic eadar frithealaichean puist fhathast nas toinnte. Buinidh luchd-frithealaidh do bhuidhnean eadar-dhealaichte agus bidh iad gu tric air an cleachdadh ann am modh “set and forget”, a tha ga dhèanamh do-dhèanta atharrachadh gu protocol tèarainte sa bhad gun a bhith a’ briseadh ceangal. Tha SMTP air an leudachadh STARTTLS a thoirt seachad o chionn fhada, a leigeas le frithealaichean a bheir taic do chrioptachadh atharrachadh gu TLS. Ach faodaidh neach-ionnsaigh aig a bheil comas buaidh a thoirt air trafaic “fiosrachadh a ghearradh a-mach” mu thaic don àithne seo agus toirt air na frithealaichean conaltradh a dhèanamh a ’cleachdadh protocol teacsa sìmplidh (an ionnsaigh downgrade ris an canar). Air an aon adhbhar, mar as trice cha bhith STARTTLS a’ sgrùdadh dligheachd an teisteanais (faodaidh teisteanas gun earbsa dìon an aghaidh ionnsaighean fulangach, agus chan eil seo nas miosa na bhith a’ cur teachdaireachd ann an teacsa soilleir). Mar sin, chan eil STARTTLS a’ dìon ach bho chluaiseadh fulangach.

Bidh MTA-STS gu ìre a’ cur às don duilgheadas a thaobh a bhith a’ gabhail litrichean eadar frithealaichean puist, nuair a tha comas aig an neach-ionnsaigh buaidh ghnìomhach a thoirt air trafaic. Ma dh’fhoillsicheas àrainn an neach a gheibh e poileasaidh MTA-STS agus gu bheil frithealaiche an neach a chuir taic ri MTA-STS, cha chuir e ach am post-d thairis air ceangal TLS, dìreach gu frithealaichean a tha air am mìneachadh leis a’ phoileasaidh, agus dìreach le dearbhadh air teisteanas an fhrithealaiche.

Carson ann am pàirt? Chan obraich MTA-STS ach ma tha an dà phàrtaidh air a bhith faiceallach an inbhe seo a chuir an gnìomh, agus nach bi MTA-STS a’ dìon an aghaidh shuidheachaidhean far am faigh neach-ionnsaigh teisteanas fearainn dligheach bho aon de na CAan poblach.

Mar a tha MTA-STS ag obair

Luchd-faotainn

1. A' rèiteachadh taic STARTTLS le teisteanas dligheach air frithealaiche a' phuist. 
2. A’ foillseachadh poileasaidh MTA-STS tro HTTPS; tha àrainn mta-sts sònraichte agus slighe shònraichte ainmeil air a chleachdadh airson fhoillseachadh, mar eisimpleir https://mta-sts.mail.ru/.well-known/mta-sts.txt. Anns a’ phoileasaidh tha liosta de luchd-frithealaidh puist (mx) aig a bheil còir post fhaighinn airson an àrainn seo.
3. A’ foillseachadh clàr sònraichte TXT _mta-sts ann an DNS leis an dreach poileasaidh. Nuair a dh’ atharraicheas am poileasaidh, feumar an inntrig seo ùrachadh (tha seo a’ comharrachadh gum bi an neach a chuir a’ cheist a-rithist mun phoileasaidh). Mar eisimpleir, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

Seòladair

Iarraidh an neach a chuir an clàr DNS _mta-sts, agus ma tha e ri fhaighinn, nì e iarrtas poileasaidh tro HTTPS (a’ sgrùdadh an teisteanais). Tha am poileasaidh a thig às air a thasgadh (air eagal ‘s gun cuir neach-ionnsaigh bacadh air ruigsinneachd air no gun cuir e às don chlàr DNS).

Nuair a thathar a’ cur post-d, thathas a’ dèanamh cinnteach gu bheil:

• tha am frithealaiche dhan tèid post a lìbhrigeadh sa phoileasaidh;
• Gabhaidh am frithealaiche ri post le TLS (STARTTLS) agus tha teisteanas dligheach aige.

Buannachdan MTA-STS

Bidh MTA-STS a’ cleachdadh theicneòlasan a tha air an cur an gnìomh mar-thà anns a’ mhòr-chuid de bhuidhnean (SMTP + STARTTLS, HTTPS, DNS). Airson buileachadh air taobh an neach-faighinn, chan eil feum air taic bathar-bog sònraichte airson na h-ìre.

Eas-bhuannachdan MTA-STS

Feumar sùil a chumail air dligheachd an teisteanais frithealaiche lìn is puist, conaltradh ainmean, agus ùrachadh ùineail. Mar thoradh air duilgheadasan leis an teisteanas cha ghabh am post a lìbhrigeadh.

Air taobh an neach a chuir, tha feum air MTA le taic airson poileasaidhean MTA-STS; an-dràsta, chan eil taic ri MTA-STS a-mach às a’ bhogsa san MTA.

Bidh MTA-STS a’ cleachdadh liosta de CAan freumha earbsach.

Cha bhith MTA-STS a’ dìon an aghaidh ionnsaighean anns a bheil an neach-ionnsaigh a’ cleachdadh teisteanas dligheach. Anns a 'mhòr-chuid de chùisean, tha MitM faisg air an fhrithealaiche a' ciallachadh gu bheil comas teisteanas a thoirt seachad. Faodar ionnsaigh mar seo a lorg le bhith a’ cleachdadh Teisteanas Transparency. Mar sin, san fharsaingeachd, bidh MTA-STS a ’lasachadh, ach chan eil e a’ cuir às gu tur, comasachd eadar-ghabhail trafaic.

Tha an dà phuing mu dheireadh a’ fàgail nach eil MTA-STS cho tèarainte ris an inbhe DANE farpaiseach airson SMTP (RFC 7672), ach nas earbsaiche gu teicneòlach, i.e. airson MTA-STS tha coltachd ìosal ann nach tèid an litir a lìbhrigeadh air sgàth duilgheadasan teicnigeach a dh’ adhbhraich buileachadh na h-inbhe.

Inbhe farpaiseach - DANE

Bidh DANE a’ cleachdadh DNSSEC gus fiosrachadh teisteanais fhoillseachadh agus chan eil feum air earbsa ann an ùghdarrasan teisteanais bhon taobh a-muigh, a tha tòrr nas tèarainte. Ach bidh cleachdadh DNSSEC gu math nas trice a’ leantainn gu fàilligidhean teignigeach, stèidhichte air staitistig thar grunn bhliadhnaichean de chleachdadh (ged a tha gluasad adhartach sa chumantas ann an earbsachd DNSSEC agus an taic theicnigeach aige). Gus DANE a chuir an gnìomh ann an SMTP air taobh an neach a gheibh e, tha làthaireachd DNSSEC airson an sòn DNS èigneachail, agus tha taic cheart airson NSEC / NSEC3 deatamach airson DANE, leis a bheil duilgheadasan siostamach ann an DNSSEC.

Mura h-eil DNSSEC air a rèiteachadh gu ceart, faodaidh e fàiligeadh ann an lìbhrigeadh puist ma tha an taobh cur a’ toirt taic do DANE, eadhon ged nach eil fios aig an taobh faighinn mu dheidhinn. Mar sin, a dh’ aindeoin gur e inbhe nas sine agus nas tèarainte a th’ ann an DANE agus gu bheil taic ann mu thràth ann am bathar-bog frithealaiche air taobh an t-seoladair, gu dearbh tha an dol a-steach aige fhathast beag, chan eil mòran bhuidhnean deiseil airson a chuir an gnìomh air sgàth an fheum air DNSSEC a chuir an gnìomh, tha seo air dàil mhòr a chuir air buileachadh DANE fad na bliadhnaichean sin a tha an inbhe air a bhith ann.

Chan eil DANE agus MTA-STS a’ strì ri chèile agus faodar an cleachdadh còmhla.

Dè a tha ann an taic MTA-STS ann am Mail.ru Mail?

Tha Mail.ru air a bhith a’ foillseachadh poileasaidh MTA-STS airson a h-uile prìomh raon airson ùine. Tha sinn an-dràsta a’ buileachadh a’ phàirt teachdaiche den inbhe. Aig àm sgrìobhaidh, tha poileasaidhean air an cur an sàs ann am modh neo-bacadh (ma tha lìbhrigeadh air a bhacadh le poileasaidh, thèid an litir a lìbhrigeadh tro fhrithealaiche “a bharrachd” gun a bhith a’ cur an sàs phoileasaidhean), an uairsin thèid am modh bacaidh a sparradh airson pàirt bheag de thrafaig SMTP a-mach, mean air mhean airson 100% de thrafaig bidh e a’ toirt taic do chur an gnìomh phoileasaidhean.

Cò eile a tha a’ toirt taic don inbhe?

Gu ruige seo, tha poileasaidhean MTA-STS a’ foillseachadh timcheall air 0.05% de raointean gnìomhach, ach, a dh’ aindeoin sin, tha iad mu thràth a’ dìon àireamh mhòr de thrafaig puist, air sgàth Tha an inbhe a’ faighinn taic bho phrìomh chluicheadairean - Google, Comcast agus gu ìre Verizon (AOL, Yahoo). Tha mòran de sheirbheisean puist eile air ainmeachadh gun tèid taic don inbhe a chuir an gnìomh a dh’ aithghearr.

Ciamar a bheir seo buaidh orm?

Chan ann mura foillsich an àrainn agad poileasaidh MTA-STS. Ma dh’fhoillsicheas tu am poileasaidh, bidh puist-d airson luchd-cleachdaidh an t-seirbheisiche puist agad air an dìon nas fheàrr bho eadar-bheachdan.

Ciamar a chuireas mi MTA-STS an gnìomh?

Taic MTA-STS air taobh an neach-faighinn

Tha e gu leòr am poileasaidh fhoillseachadh tro HTTPS agus clàran ann an DNS, rèiteachadh teisteanas dligheach bho aon de na CAan earbsach (Tha e comasach dhuinn crioptachadh) airson STARTTLS anns an MTA (tha STARTTLS a’ faighinn taic anns a h-uile MTA ùr-nodha), gun taic shònraichte bhon Tha feum air MTA.

Ceum air cheum, tha e coltach mar seo:

1. Dèan rèiteachadh air STARTTLS anns an MTA a tha thu a’ cleachdadh (postfix, exim, sendmail, Microsoft Exchange, msaa).
2. Dèan cinnteach gu bheil thu a’ cleachdadh teisteanas dligheach (air a chuir a-mach le CA earbsach, nach eil air tighinn gu crìch, tha cuspair an teisteanais a’ freagairt ris a’ chlàr MX a bhios a’ lìbhrigeadh post don àrainn agad).
3. Dèan clàr TLS-RPT tro am bi aithisgean tagraidh poileasaidh air an lìbhrigeadh (le seirbheisean a bheir taic do bhith a’ cur aithisgean TLS). Inntrigeadh eisimpleir (airson an àrainn example.com):

   smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:tlsrpt@example.com»

   Tha an inntrig seo ag iarraidh air luchd-cuiridh puist aithisgean staitistigeil a chuir air cleachdadh TLS ann an SMTP gu tlsrpt@exmple.com.

   Cum sùil air na h-aithisgean airson grunn làithean gus dèanamh cinnteach nach eil mearachdan ann.

4. Foillsich am poileasaidh MTA-STS thairis air HTTPS. Tha am poileasaidh air fhoillseachadh mar fhaidhle teacsa le luchd-crìochnachaidh loidhne CRLF a rèir àite.

   https://mta-sts.example.com/.well-known/mta-sts.txt
   

   Eisimpleir poileasaidh:

   version: STSv1
   mode: enforce
   mx: mxs.mail.ru
   mx: emx.mail.ru
   mx: mx2.corp.mail.ru
   max_age: 86400
   

   Anns an raon dreach tha dreach a’ phoileasaidh (an-dràsta STSv1), Bidh modh a’ suidheachadh modh tagraidh poileasaidh, deuchainn - modh deuchainn (chan eil am poileasaidh air a chuir an sàs), cuir an gnìomh - modh “sabaid”. An toiseach foillsich am poileasaidh le modh: deuchainn, mura h-eil duilgheadas ann leis a’ phoileasaidh ann am modh deuchainn, às deidh greis faodaidh tu atharrachadh gu modh: cuir an gnìomh.

   Ann am mx, tha liosta de na frithealaichean puist uile as urrainn gabhail ri post airson an àrainn agad air a shònrachadh (feumaidh teisteanas a bhith aig gach frithealaiche a tha a rèir an ainm a chaidh a shònrachadh ann am mx). Tha Max_age a’ sònrachadh ùine tasgaidh a’ phoileasaidh (aon uair ‘s gun tèid am poileasaidh cuimhne a chuir an sàs eadhon ged a chuireas an neach-ionnsaigh bacadh air a lìbhrigeadh no ma truailleadh e na clàran DNS rè ùine an tasgaidh, faodaidh tu innse gu bheil feum air am poileasaidh iarraidh a-rithist le bhith ag atharrachadh an mta-sts DNS clàr).

5. Foillsich clàr TXT ann an DNS: 

   _mta-sts.example.com. TXT “v=STS1; id=someid;”
   

   Faodar aithnichear neo-riaghailteach (mar eisimpleir, stampa-ama) a chleachdadh anns an raon id; nuair a dh’ atharraicheas am poileasaidh, bu chòir dha atharrachadh, leigidh seo le luchd-cuiridh tuigsinn gum feum iad am poileasaidh tasgaidh ath-iarraidh (ma tha an aithnichear eadar-dhealaichte bhon tè air a thasgadh).

Taic MTA-STS air taobh an neach a chuir

Gu ruige seo tha e dona leatha, oir ... inbhe ùr.

• Exim - gun taic togte, tha sgriobt treas-phàrtaidh ann https://github.com/Bobberty/MTASTS-EXIM-PERL 
• Postfix - chan eil taic stèidhichte ann, tha sgriobt treas-phàrtaidh ann a tha air a mhìneachadh gu mionaideach air Habré https://habr.com/en/post/424961/

Mar iar-fhacal mu “TLS èigneachail”

O chionn ghoirid, tha riaghladairean air a bhith a’ toirt aire do thèarainteachd post-d (agus is e rud math a tha sin). Mar eisimpleir, tha DMARC èigneachail airson a h-uile buidheann riaghaltais anns na Stàitean Aonaichte agus tha feum air barrachd is barrachd anns an roinn ionmhais, le dol a-steach don inbhe a’ ruighinn 90% ann an raointean riaghlaichte. A-nis tha cuid de luchd-riaghlaidh ag iarraidh gun tèid “TLS èigneachail” a chuir an gnìomh le raointean fa leth, ach chan eil an dòigh-obrach airson dèanamh cinnteach gu bheil “TLS èigneachail” air a mhìneachadh agus ann an cleachdadh bidh an suidheachadh seo gu tric air a chuir an gnìomh ann an dòigh nach bi eadhon a’ dìon an aghaidh fìor ionnsaighean a tha mar-thà. air a sholarachadh ann an uidheamachdan leithid DANE no MTA-STS.

Ma dh’ fheumas an riaghlaiche “TLS èigneachail” a chuir an gnìomh le raointean fa leth, tha sinn a’ moladh beachdachadh air MTA-STS no an analogue pàirt aige mar an dòigh as freagarraiche, bidh e a’ cur às don fheum air suidheachaidhean tèarainte a dhèanamh airson gach raon fa leth. Ma tha duilgheadasan agad le bhith a’ cur an gnìomh a’ phàirt teachdaiche de MTA-STS (gus am faigh am protocol taic farsaing, is dòcha gun dèan iad sin), is urrainn dhuinn an dòigh-obrach seo a mholadh:

1. Foillsich poileasaidh MTA-STS agus / no clàran DANE (tha DANE a’ dèanamh ciall a-mhàin ma tha DNSSEC air a chomasachadh airson an àrainn agad mu thràth, agus MTA-STS co-dhiù), dìonaidh seo trafaic nad stiùir agus cuir às don fheum air seirbheisean puist eile iarraidh gus TLS èigneachail a rèiteachadh airson an àrainn agad ma tha an t-seirbheis puist a’ toirt taic do MTA-STS agus/no DANE mu thràth.
2. Airson seirbheisean post-d mòra, cuir an gnìomh “analog” de MTA-STS tro shuidheachaidhean còmhdhail fa leth airson gach raon, a shocraicheas am MX a thathar a’ cleachdadh airson sgaoileadh puist agus a dh’ fheumas dearbhadh èigneachail air teisteanas TLS air a shon. Ma tha na raointean mar-thà a’ foillseachadh poileasaidh MTA-STS, tha coltas ann gun tèid seo a dhèanamh gun phian. Leis fhèin, tha a bhith a’ comasachadh TLS èigneachail airson àrainn gun a bhith a’ càradh an t-sealaidheachd agus a’ dearbhadh an teisteanais air a shon neo-èifeachdach bho shealladh tèarainteachd agus chan eil e a’ cur dad ris na h-innealan STARTTLS a th’ ann mar-thà.

Source: www.habr.com