ProHoster > Pūnaewele > Nā Administration > Hoʻomaka ka leka uila Mail.ru e hoʻopili i nā kulekele MTA-STS ma ke ʻano hoʻāʻo

Hoʻomaka ka leka uila Mail.ru e hoʻopili i nā kulekele MTA-STS ma ke ʻano hoʻāʻo

Hoʻomaka ka leka uila Mail.ru e hoʻopili i nā kulekele MTA-STS ma ke ʻano hoʻāʻo

I ka pōkole, ʻo MTA-STS kahi ala e pale hou aku ai i nā leka uila mai ka interception (ʻo ia hoʻi, ke kanaka-in-the-middle attacks aka MitM) ke hoʻouna ʻia ma waena o nā kikowaena leka uila. Hoʻopau hapa ia i nā pilikia hoʻoilina hoʻoilina o nā protocol leka uila a ua wehewehe ʻia ma ka RFC 8461 maʻamau hou loa. ʻO Mail.ru ka lawelawe leka nui mua ma ka RuNet e hoʻokō i kēia maʻamau. A ua wehewehe nui ʻia ma lalo o ka ʻoki.

He aha ka pilikia e hoʻoponopono ai ʻo MTA-STS?

ʻO ka mōʻaukala, ua hoʻouna ʻia nā ʻike leka uila (SMTP, POP3, IMAP) i ka ʻike ma kahi kikokikona maʻemaʻe, kahi i hiki ai ke keakea iā ia, no ka laʻana, ke komo ʻana i kahi ala kamaʻilio.

He aha ke ʻano o ke ʻano o ka lawe ʻana i kahi leka mai kekahi mea hoʻohana i kekahi:

Hoʻomaka ka leka uila Mail.ru e hoʻopili i nā kulekele MTA-STS ma ke ʻano hoʻāʻo

Ma ka mōʻaukala, hiki ke hoʻouka ʻia ka MitM ma nā wahi āpau e kaʻa ai ka leka uila.

Pono ʻo RFC 8314 i ka hoʻohana ʻana i ka TLS ma waena o ka mea hoʻohana leka uila (MUA) a me ke kikowaena leka uila. Inā kūpono kāu kikowaena a me nā noi leka uila āu e hoʻohana ai me RFC 8314, a laila ua hoʻopau ʻoe (ka nui) i ka hiki ke hoʻouka ʻia ʻo Man-in-the-Middle ma waena o ka mea hoʻohana a me nā kikowaena leka uila.

Ma muli o nā hana i ʻae ʻia (i hoʻopaʻa ʻia e RFC 8314) e hoʻopau i ka hoʻouka ʻana ma kahi kokoke i ka mea hoʻohana:

Hoʻomaka ka leka uila Mail.ru e hoʻopili i nā kulekele MTA-STS ma ke ʻano hoʻāʻo

Ua hoʻokō nā kikowaena leka uila Mail.ru me RFC 8314 ma mua o ka lawe ʻia ʻana o ka maʻamau; ʻoiaʻiʻo, hopu wale ia i nā hana i ʻae ʻia, ʻaʻole pono mākou e hoʻonohonoho i kekahi mea hou aʻe. Akā, inā hiki i kāu kikowaena leka uila ke ʻae i nā mea hoʻohana e hoʻohana ana i nā protocol insecure, e hōʻoia e hoʻokō i nā ʻōlelo aʻoaʻo o kēia maʻamau, no ka mea ʻO ka mea nui paha, ke hana nei kekahi o kāu mea hoʻohana me ka leka uila me ka hoʻopili ʻole ʻana, ʻoiai inā ʻoe e kākoʻo iā ia.

Hoʻohana mau ka mea leka uila me ke kikowaena leka like o ka hui like. A hiki iā ʻoe ke hoʻoikaika i nā mea hoʻohana a pau e hoʻopili me kahi ʻano palekana, a laila e hana i ka mea hiki ʻole i nā mea hoʻohana paʻa ʻole ke hoʻopili (ʻo ia ka mea e koi ai ʻo RFC 8314). He paʻakikī kēia i kekahi manawa, akā hiki ke hana. ʻOi aku ka paʻakikī o ka hele ʻana ma waena o nā kikowaena leka uila. Aia nā kikowaena i nā hui like ʻole a hoʻohana pinepine ʻia i ke ʻano "hoʻonohonoho a poina", kahi hiki ʻole ke hoʻololi i kahi protocol palekana i ka manawa hoʻokahi me ka ʻole o ka haki ʻana i ka pilina. Ua hoʻolako lōʻihi ʻo SMTP i ka hoʻonui STARTTLS, kahi e ʻae ai i nā kikowaena e kākoʻo ana i ka hoʻopunipuni e hoʻololi i TLS. Akā ʻo ka mea hoʻouka kaua i hiki ke hoʻohuli i nā kaʻa e hiki ke "ʻoki" i ka ʻike e pili ana i ke kākoʻo no kēia kauoha a hoʻoikaika i nā kikowaena e kamaʻilio me ka hoʻohana ʻana i kahi protocol kikokikona maʻamau (ka mea i kapa ʻia ʻo downgrade attack). No ke kumu like, ʻaʻole ʻike pinepine ʻo STARTTLS i ka ʻoiaʻiʻo o ka palapala hōʻoia (hiki i kahi palapala hilinaʻi ʻole ke pale aku i nā hōʻeha passive, a ʻaʻole ʻoi aku ka maikaʻi o kēia ma mua o ka hoʻouna ʻana i kahi leka ma kahi kikokikona maopopo). No laila, pale wale ʻo STARTTLS i ka lohe ʻana.

Hoʻopau hapa ʻo MTA-STS i ka pilikia o ka hoʻopaʻa ʻana i nā leka ma waena o nā kikowaena leka uila, ke hiki i ka mea hoʻouka ke hoʻoikaika ikaika i nā kaʻa. Inā hoʻolaha ka waihona o ka mea loaʻa i kahi kulekele MTA-STS a kākoʻo ke kikowaena o ka mea hoʻouna iā MTA-STS, e hoʻouna wale ʻo ia i ka leka uila ma luna o kahi pilina TLS, i nā kikowaena wale nō i wehewehe ʻia e ke kulekele, a me ka hōʻoia ʻana o ka palapala hōʻoia o ke kikowaena.

No ke aha he hapa? Hana wale ʻo MTA-STS inā mālama nā ʻaoʻao ʻelua i ka hoʻokō ʻana i kēia maʻamau, a ʻaʻole pale ʻo MTA-STS i nā hiʻohiʻona e hiki ai i ka mea hoʻouka ke kiʻi i kahi palapala hoʻopaʻa inoa kūpono mai kekahi o nā CA lehulehu.

Pehea e hana ai ka MTA-STS

Ka mea kōkua

  1. Hoʻonohonoho i ke kākoʻo STARTTLS me kahi palapala hōʻoia ma ka kikowaena leka. 
  2. Hoʻopuka i ke kulekele MTA-STS ma o HTTPS; hoʻohana ʻia kahi kahua mta-sts kūikawā a me kahi ala kaulana kūikawā no ka hoʻolaha ʻana, no ka laʻana. https://mta-sts.mail.ru/.well-known/mta-sts.txt. Aia i loko o ke kulekele ka papa inoa o nā kikowaena leka (mx) i kuleana e loaʻa i ka leka no kēia kahua.
  3. Hoʻopuka i kahi moʻolelo TXT kūikawā _mta-sts ma DNS me ka mana kulekele. Ke hoʻololi ke kulekele, pono e hōʻano hou i kēia komo (hōʻailona kēia i ka mea hoʻouna e nīnau hou i ke kulekele). ʻo kahi laʻana, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

Mea hoʻouna

Noi ka mea hoʻouna i ka moʻolelo DNS _mta-sts, a inā loaʻa ia, e hana i kahi noi kulekele ma o HTTPS (e nānā i ka palapala hōʻoia). Hoʻopili ʻia ke kulekele hopena (inā hoʻopaʻa ka mea hoʻouka i ke komo ʻana iā ia a hoʻopunipuni paha i ka moʻolelo DNS).

I ka hoʻouna ʻana i ka leka, ʻike ʻia ʻo:

  • aia ke kikowaena i hoʻouna ʻia ai ka leka ma ke kulekele;
  • ʻae ke kikowaena i ka leka me ka hoʻohana ʻana iā TLS (STARTTLS) a loaʻa iā ia kahi palapala hōʻoia.

Nā pōmaikaʻi o MTA-STS

Hoʻohana ʻo MTA-STS i nā ʻenehana i hoʻokō ʻia i ka hapa nui o nā hui (SMTP+STARTTLS, HTTPS, DNS). No ka hoʻokō ʻana ma ka ʻaoʻao loaʻa, ʻaʻohe kākoʻo polokalamu kūikawā no ka maʻamau.

Nā hemahema o MTA-STS

Pono e nānā i ka pono o ka palapala pūnaewele a me ka leka uila, ka leka o nā inoa, a me ka hoʻoponopono manawa. ʻO nā pilikia me ka palapala hōʻoia e hiki ʻole ke hoʻouna ʻia ka leka uila.

Ma ka ʻaoʻao hoʻouna, koi ʻia kahi MTA me ke kākoʻo no nā kulekele MTA-STS; i kēia manawa, ʻaʻole kākoʻo ʻia ʻo MTA-STS ma waho o ka pahu i ka MTA.

Hoʻohana ʻo MTA-STS i kahi papa inoa o nā CA kumu hilinaʻi.

ʻAʻole pale ʻo MTA-STS i nā hoʻouka ʻana i hoʻohana ai ka mea hoʻouka i kahi palapala hōʻoia. I ka hapanui o nā hihia, ʻo MitM kokoke i ke kikowaena e hōʻike ana i ka hiki ke hoʻopuka i kahi palapala. Hiki ke ʻike ʻia kēlā ʻano hoʻouka me ka hoʻohana ʻana i ka Certificate Transparency. No laila, ma ka laulā, MTA-STS mitigates, akā,ʻaʻole loa hoʻopau, i ka hiki o ke kaʻa interception.

ʻO nā helu hope ʻelua e ʻoi aku ka palekana o ka MTA-STS ma mua o ke kūlana DANE hoʻokūkū no SMTP (RFC 7672), akā ʻoi aku ka hilinaʻi ʻenehana, ʻo ia. no ka MTA-STS he haʻahaʻa haʻahaʻa ʻaʻole e hāʻawi ʻia ka leka ma muli o nā pilikia ʻenehana i hana ʻia e ka hoʻokō ʻana i ka maʻamau.

Ke kūlana hoʻokūkū - DANE

Hoʻohana ʻo DANE i ka DNSSEC e hoʻopuka i ka ʻike palapala a ʻaʻole koi i ka hilinaʻi i nā mana palapala waho, ʻoi aku ka palekana. Akā, ʻoi aku ka nui o ka hoʻohana ʻana i ka DNSSEC i nā hemahema ʻenehana, e pili ana i nā helu helu i nā makahiki o ka hoʻohana ʻana (ʻoiai he ʻano maikaʻi loa ka hilinaʻi o DNSSEC a me kāna kākoʻo ʻenehana). No ka hoʻokō ʻana i ka DANE ma SMTP ma ka ʻaoʻao e loaʻa ana, pono ka noho ʻana o DNSSEC no ka wahi DNS, a he mea nui ke kākoʻo kūpono no NSEC/NSEC3 no DANE, me nā pilikia ʻōnaehana ma DNSSEC.

Inā ʻaʻole i hoʻonohonoho pono ʻia ka DNSSEC, hiki ke hopena i ka hāʻule ʻana o ka leka uila inā kākoʻo ka ʻaoʻao hoʻouna iā DANE, ʻoiai inā ʻaʻole ʻike ka ʻaoʻao e loaʻa ana. No laila, ʻoiai ʻo DANE kahi kūlana kahiko a ʻoi aku ka palekana a ua kākoʻo ʻia i kekahi polokalamu kikowaena ma ka ʻaoʻao o ka mea hoʻouna, ʻoiaʻiʻo, ʻaʻole nui kona komo ʻana, ʻaʻole mākaukau nā hui he nui no ka pono e hoʻokō i ka DNSSEC. ua lohi nui kēia i ka hoʻokō ʻana o DANE i kēlā mau makahiki a pau i noho ai ka maʻamau.

ʻAʻole paio ʻo DANE a me MTA-STS kekahi i kekahi a hiki ke hoʻohana pū ʻia.

He aha me ke kākoʻo MTA-STS ma Mail.ru Mail?

Ua paʻi ʻo Mail.ru i kahi kulekele MTA-STS no nā kāʻei kapu nui no kekahi manawa. Ke hoʻokō nei mākou i ka ʻāpana o ka mea kūʻai aku o ka maʻamau. I ka manawa kākau, hoʻohana ʻia nā kulekele ma ke ʻano non-blocking (inā paʻa ʻia ka lawe ʻana e kahi kulekele, e hāʻawi ʻia ka leka ma o kahi kikowaena "hoʻokoe" me ka ʻole o ka hoʻohana ʻana i nā kulekele), a laila e koi ʻia ke ʻano pale no kahi hapa liʻiliʻi. o ka hele ʻana i waho o ka SMTP traffic, me ka mālie no ka 100% o ke kaʻa e kākoʻo ʻia ka hoʻokō ʻana i nā kulekele.

ʻO wai kekahi e kākoʻo i ka maʻamau?

I kēia manawa, hoʻopuka nā kulekele MTA-STS ma kahi o 0.05% o nā kāʻei kapu, akā naʻe, ke pale nei lākou i ka nui o ka lele leka, no ka mea Kākoʻo ʻia ka maʻamau e nā mea pāʻani nui - Google, Comcast a me kekahi hapa Verizon (AOL, Yahoo). Nui nā lawelawe leka uila i hoʻolaha e hoʻokō ʻia ke kākoʻo no ka maʻamau i ka wā e hiki mai ana.

Pehea e pili ai kēia iaʻu?

ʻAʻole inā ʻaʻole hoʻolaha kāu kikowaena i kahi kulekele MTA-STS. Inā hoʻolaha ʻoe i ke kulekele, ʻoi aku ka maikaʻi o ka pale ʻana i nā leka uila no nā mea hoʻohana o kāu kikowaena leka uila mai ka interception.

Pehea wau e hoʻokō ai i ka MTA-STS?

Kākoʻo MTA-STS ma ka ʻaoʻao loaʻa

Ua lawa ka hoʻolaha ʻana i ke kulekele ma o HTTPS a me nā moʻolelo ma DNS, hoʻonohonoho i kahi palapala hōʻoia mai kekahi o nā CA i hilinaʻi ʻia (E hiki ke hoʻopili ʻia) no STARTTLS i ka MTA (kākoʻo ʻia ʻo STARTTLS i nā MTA hou a pau), ʻaʻohe kākoʻo kūikawā mai ka Pono ʻia ʻo MTA.

ʻO ka ʻanuʻu, ʻano like kēia:

  1. E hoʻonohonoho i ka STARTTLS ma ka MTA āu e hoʻohana nei (postfix, exim, sendmail, Microsoft Exchange, etc.).
  2. E hōʻoia ʻoe e hoʻohana nei i kahi palapala hōʻoia (i hoʻopuka ʻia e kahi CA hilinaʻi, ʻaʻole i pau, ke kumuhana o ka palapala hōʻoia e pili ana i ka moʻolelo MX e hāʻawi ana i ka leka uila no kāu kikowaena).
  3. E hoʻonohonoho i kahi moʻolelo TLS-RPT kahi e hoʻopuka ʻia ai nā hōʻike noiʻi kulekele (e nā lawelawe e kākoʻo ana i ka hoʻouna ʻana i nā hōʻike TLS). Laʻana komo (no ka example.com domain): 
    smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»

    Aʻo kēia helu i nā mea hoʻouna leka uila e hoʻouna i nā hōʻike helu helu ma ka hoʻohana ʻana iā TLS ma SMTP iā [email protected].

    E nānā i nā hōʻike no kekahi mau lā e ʻike pono ʻaʻohe hewa.

  4. Hoʻopuka i ke kulekele MTA-STS ma HTTPS. Hoʻopuka ʻia ke kulekele ma ke ʻano he waihona kikokikona me nā mea hoʻopau laina CRLF ma ka wahi. 
    https://mta-sts.example.com/.well-known/mta-sts.txt

    Kumukānāwai laʻana:

    version: STSv1
mode: enforce
mx: mxs.mail.ru
mx: emx.mail.ru
mx: mx2.corp.mail.ru
max_age: 86400

    Aia i loko o ka māhele mana ka mana o ke kulekele (i kēia manawa STSv1), Hoʻonohonoho ke ʻano i ke ʻano noi kulekele, hoʻāʻo - ke ʻano hoʻāʻo (ʻaʻole i hoʻohana ʻia ke kulekele), hoʻokō - ke ʻano "kaua". E hoʻopuka mua i ke kulekele me ke ʻano: hoʻāʻo, inā ʻaʻohe pilikia me ke kulekele i ke ʻano hoʻāʻo, ma hope o kekahi manawa hiki iā ʻoe ke hoʻololi i ke ʻano: hoʻokō.

    Ma ka mx, ua kuhikuhi ʻia kahi papa inoa o nā kikowaena leka a pau e hiki ke ʻae i ka leka uila no kāu kikowaena (pono i kēlā me kēia kikowaena ke loaʻa kahi palapala i hoʻonohonoho ʻia e like me ka inoa i kuhikuhi ʻia ma mx). Hōʻike ʻo Max_age i ka manawa caching o ke kulekele (i ka manawa e hoʻohana ʻia ai ke kulekele i hoʻomanaʻo ʻia inā paha e hoʻopaʻa ka mea hoʻouka i kāna hoʻopuka a hoʻopōʻino paha i nā moʻolelo DNS i ka manawa o ka caching, hiki iā ʻoe ke hōʻailona i ka pono e noi hou i ke kulekele ma ka hoʻololi ʻana i ka mta-sts DNS. mooolelo).

  5. Hoʻopuka i kahi moʻolelo TXT ma DNS:  
    _mta-sts.example.com. TXT “v=STS1; id=someid;”

    Hiki ke hoʻohana ʻia kahi mea hōʻike manaʻo ʻole (e like me ka timestamp) i ke kahua id; i ka wā e loli ai ke kulekele, pono ia e hoʻololi, hiki i ka poʻe hoʻouna ke hoʻomaopopo he pono lākou e noi hou i ke kulekele huna (inā ʻokoʻa ka mea ʻike mai ka kahi huna).

Kākoʻo MTA-STS ma ka ʻaoʻao hoʻouna

I kēia manawa ua hewa me ia, no ka mea ... maʻamau hou.

Ma ke ʻano he ʻōlelo hope e pili ana i ka "TLS mandatory"

I kēia mau lā, ua hoʻolohe nā regulators i ka palekana leka uila (a he mea maikaʻi kēlā). No ka laʻana, koi ʻia ʻo DMARC no nā keʻena aupuni āpau ma ʻAmelika Hui Pū ʻIa a koi nui ʻia i ka ʻāpana kālā, me ke komo ʻana o ka maʻamau a hiki i 90% i nā wahi i hoʻoponopono ʻia. I kēia manawa, koi kekahi mau regulators i ka hoʻokō ʻana i ka "TLS mandatory" me nā kāʻei pilikino, akā ʻaʻole i wehewehe ʻia ke ʻano no ka hōʻoia ʻana i ka "TLS mandatory" a ma ka hoʻomaʻamaʻa ʻana ua hoʻokō pinepine ʻia kēia hoʻonohonoho ma ke ʻano ʻaʻole e pale iki i nā hoʻouka kaua maoli. i hāʻawi ʻia i nā mīkini e like me DANE a i ʻole MTA-STS.

Inā koi ka mea hoʻoponopono i ka hoʻokō ʻana i ka "TLS mandatory" me nā kikowaena kaʻawale, manaʻo mākou e noʻonoʻo i ka MTA-STS a i ʻole kāna ʻāpana analogue e like me ke ʻano kūpono loa, hoʻopau ia i ka pono e hana i nā hoʻonohonoho paʻa no kēlā me kēia kikowaena. Inā pilikia ʻoe i ka hoʻokō ʻana i ka ʻāpana o ka mea kūʻai aku o MTA-STS (a hiki i ka manawa i loaʻa i ka protocol ke kākoʻo ākea, hiki paha iā lākou), hiki iā mākou ke ʻōlelo i kēia ala:

  1. E hoʻopuka i kahi kulekele MTA-STS a me / a i ʻole nā ​​moʻolelo DANE (makemake ʻo DANE inā ua hoʻohana ʻia ʻo DNSSEC no kāu kikowaena, a ʻo MTA-STS i kēlā me kēia hihia), mālama kēia i ke kaʻa i kāu kuhikuhi a hoʻopau i ka pono e nīnau i nā lawelawe leka uila. e hoʻonohonoho i ka TLS pono no kāu kikowaena inā kākoʻo ka lawelawe leka uila iā MTA-STS a/a i ʻole DANE.
  2. No nā lawelawe leka uila nui, e hoʻokō i kahi "analog" o MTA-STS ma o nā hoʻonohonoho kaʻa kaʻawale no kēlā me kēia kikowaena, kahi e hoʻoponopono ai i ka MX i hoʻohana ʻia no ka hoʻouna ʻana i ka leka uila a pono e hōʻoia i kahi palapala TLS no ia. Inā hoʻopuka mua nā kāʻei kapu i kahi kulekele MTA-STS, hiki ke hana ʻia me ka ʻeha ʻole. ʻO ia iho, hiki i ka TLS kauoha no kahi kikowaena me ka hoʻopaʻa ʻole ʻana i ka relay a me ka hōʻoia ʻana i ka palapala hōʻoia no ka mea ʻaʻole pono ia mai kahi ʻike palekana a ʻaʻole hoʻohui i kekahi mea i nā mīkini STARTTLS e kū nei.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka