Yuav ua li cas yog lub mechanism rau xa ib tsab ntawv los ntawm ib tug neeg siv mus rau lwm tus zoo li:
Keeb kwm, kev tawm tsam MitM tuaj yeem ua tau nyob rau txhua qhov chaw uas xa ntawv xa mus.
RFC 8314 yuav tsum tau siv TLS nruab nrab ntawm daim ntawv thov xa ntawv (MUA) thiab xa ntawv xa mus. Yog tias koj tus neeg rau zaub mov thiab cov ntawv xa ntawv koj siv tau ua raws li RFC 8314, ces koj tau (feem ntau) tshem tawm qhov muaj peev xwm ntawm Man-in-the-Middle attacks ntawm tus neeg siv thiab cov neeg xa ntawv.
Ua raws li kev coj ua feem ntau lees txais (tus qauv los ntawm RFC 8314) tshem tawm qhov kev tawm tsam ze ntawm tus neeg siv:
Mail.ru mail servers tau ua raws li RFC 8314 txawm tias ua ntej tus qauv tau txais; qhov tseeb, nws tsuas yog ntes tau txais kev coj ua, thiab peb tsis tas yuav teeb tsa ib yam dab tsi ntxiv. Tab sis, yog tias koj tus neeg xa ntawv tseem tso cai rau cov neeg siv siv cov txheej txheem tsis ruaj ntseg, nco ntsoov siv cov lus pom zoo ntawm tus qauv no, vim tias Feem ntau, tsawg kawg yog qee tus ntawm koj cov neeg siv ua haujlwm nrog kev xa ntawv yam tsis muaj encryption, txawm tias koj txhawb nws.
Tus neeg xa ntawv ib txwm ua haujlwm nrog tib lub chaw xa ntawv ntawm tib lub koom haum. Thiab koj tuaj yeem yuam txhua tus neeg siv los txuas rau hauv kev ruaj ntseg, thiab tom qab ntawd ua rau nws tsis yooj yim rau cov neeg siv tsis ruaj ntseg txuas (qhov no yog raws nraim li RFC 8314 xav tau). Qhov no yog qee zaum nyuaj, tab sis ua tau. Kev tsheb khiav ntawm kev xa ntawv tseem nyuaj dua. Cov servers koom nrog cov koom haum sib txawv thiab feem ntau siv nyob rau hauv "teeb ββthiab tsis nco qab" hom, uas ua rau nws tsis tuaj yeem hloov mus rau cov txheej txheem ruaj ntseg ib zaug yam tsis muaj kev sib txuas. SMTP tau ntev muab qhov txuas ntxiv ntawm STARTTLS, uas tso cai rau cov servers uas txhawb nqa kev nkag mus hloov mus rau TLS. Tab sis tus neeg tawm tsam uas muaj peev xwm cuam tshuam rau kev khiav tsheb tuaj yeem "txiav tawm" cov ntaub ntawv hais txog kev txhawb nqa rau cov lus txib no thiab yuam cov servers sib txuas lus siv cov ntawv nyeem yooj yooj yim (lub npe hu ua downgrade attack). Rau tib lub laj thawj, STARTTLS feem ntau tsis kuaj xyuas qhov siv tau ntawm daim ntawv pov thawj (ib daim ntawv pov thawj tsis ntseeg tuaj yeem tiv thaiv kev tawm tsam tsis zoo, thiab qhov no tsis yog qhov phem tshaj qhov xa xov hauv cov ntawv ntshiab). Yog li ntawd, STARTTLS tsuas yog tiv thaiv tsis pub dhau eavesdropping.
MTA-STS ib feem tshem tawm qhov teeb meem ntawm kev cuam tshuam cov ntawv ntawm cov neeg xa ntawv, thaum tus neeg tawm tsam muaj peev xwm ua rau muaj kev cuam tshuam rau kev khiav tsheb. Yog tias tus neeg tau txais kev sau npe tshaj tawm MTA-STS txoj cai thiab tus xa cov neeg rau zaub mov txhawb nqa MTA-STS, nws tsuas yog xa email hla TLS kev sib txuas, tsuas yog rau cov servers uas tau teev tseg los ntawm txoj cai, thiab tsuas yog nrog kev pov thawj ntawm server daim ntawv pov thawj.
Vim li cas ib nrab? MTA-STS tsuas yog ua haujlwm yog tias ob tog tau saib xyuas los siv tus qauv no, thiab MTA-STS tsis tiv thaiv cov xwm txheej uas tus neeg tawm tsam tuaj yeem tau txais daim ntawv pov thawj siv tau los ntawm ib qho ntawm cov pej xeem CAs.
MTA-STS ua haujlwm li cas
Tus neeg txais
Configures STARTTLS kev txhawb nqa nrog daim ntawv pov thawj siv tau ntawm tus xa ntawv xa ntawv.
Tshaj tawm txoj cai MTA-STS ntawm HTTPS; tshwj xeeb mta-sts sau thiab ib txoj hauv kev paub tshwj xeeb yog siv rau kev tshaj tawm, piv txwv li https://mta-sts.mail.ru/.well-known/mta-sts.txt. Txoj cai muaj cov npe ntawm cov xa ntawv xa ntawv (mx) uas muaj cai tau txais ntawv xa tuaj rau lub npe no.
Tshaj tawm TXT tshwj xeeb cov ntaub ntawv _mta-sts hauv DNS nrog txoj cai version. Thaum txoj cai hloov pauv, qhov kev nkag no yuav tsum tau hloov kho (qhov no qhia tias tus neeg xa ntawv rov nug txog txoj cai). Piv txwv li, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"
Tus xa
Tus neeg xa ntawv thov _mta-sts DNS cov ntaub ntawv, thiab yog tias muaj, ua tsab cai thov ntawm HTTPS (xyuas daim ntawv pov thawj). Txoj cai tshwm sim yog cached (nyob rau hauv rooj plaub tus neeg tawm tsam thaiv kev nkag mus rau nws lossis spoofs cov ntaub ntawv DNS).
Thaum xa ntawv, nws raug kuaj xyuas tias:
tus neeg rau zaub mov uas xa ntawv yog nyob rau hauv txoj cai;
tus neeg rau zaub mov lees txais kev xa ntawv siv TLS (STARTTLS) thiab muaj daim ntawv pov thawj siv tau.
Qhov zoo ntawm MTA-STS
MTA-STS siv cov thev naus laus zis uas twb tau siv hauv ntau lub koom haum (SMTP + STARTTLS, HTTPS, DNS). Rau kev siv ntawm sab neeg txais, tsis muaj kev txhawb nqa tshwj xeeb software rau tus qauv.
Disadvantages ntawm MTA-STS
Nws yog ib qho tsim nyog los saib xyuas qhov siv tau ntawm lub vev xaib thiab xa ntawv pov thawj server, kev sau npe ntawm cov npe, thiab rov ua dua raws sijhawm. Teeb meem nrog daim ntawv pov thawj yuav ua rau xa ntawv tsis tuaj yeem xa tuaj.
Ntawm tus xa ntawv, MTA nrog kev txhawb nqa rau MTA-STS cov cai yuav tsum tau; tam sim no, MTA-STS tsis tau txais kev txhawb nqa tawm ntawm lub thawv hauv MTA.
MTA-STS siv cov npe ntawm cov hauv paus ntseeg CAs.
MTA-STS tsis tiv thaiv kev tawm tsam uas tus neeg tawm tsam siv daim ntawv pov thawj siv tau. Feem ntau, MitM nyob ze ntawm lub server cuam tshuam lub peev xwm los muab daim ntawv pov thawj. Xws li kev tawm tsam tuaj yeem tshawb pom siv Daim Ntawv Pov Thawj Transparency. Yog li ntawd, feem ntau, MTA-STS mitigates, tab sis tsis tag tshem tawm, muaj peev xwm ntawm kev cuam tshuam tsheb.
Ob lub ntsiab lus kawg ua rau MTA-STS tsis muaj kev nyab xeeb dua li qhov sib tw DANE tus qauv rau SMTP (RFC 7672), tab sis ntau dua technically ntseeg tau, piv txwv li. rau MTA-STS muaj qhov tsawg tsawg uas tsab ntawv yuav tsis xa tuaj vim muaj teeb meem kev ua haujlwm los ntawm kev ua raws li tus qauv.
Kev sib tw tus qauv - DANE
DANE siv DNSSEC los tshaj tawm cov ntaub ntawv pov thawj thiab tsis tas yuav muaj kev ntseeg siab rau cov tub ceev xwm daim ntawv pov thawj sab nraud, uas muaj kev nyab xeeb ntau dua. Tab sis kev siv DNSSEC feem ntau ua rau muaj kev ua tsis tiav, raws li kev txheeb cais ntau xyoo ntawm kev siv (txawm hais tias feem ntau muaj qhov zoo ntawm kev ntseeg siab ntawm DNSSEC thiab nws cov kev txhawb nqa). Txhawm rau siv DANE hauv SMTP ntawm tus neeg txais nyiaj, qhov muaj DNSSEC rau thaj tsam DNS yog qhov yuav tsum tau ua, thiab kev txhawb nqa kom raug rau NSEC / NSEC3 yog qhov tseem ceeb rau DANE, uas muaj teeb meem hauv DNSSEC.
Yog tias DNSSEC tsis raug teeb tsa kom raug, nws tuaj yeem ua rau xa ntawv xa tsis tiav yog tias sab xa ntawv txhawb nqa DANE, txawm tias sab tau txais tsis paub dab tsi txog nws. Yog li ntawd, txawm tias qhov tseeb tias DANE yog tus qauv qub thiab muaj kev nyab xeeb dua thiab twb tau txais kev txhawb nqa hauv qee lub server software ntawm tus neeg xa khoom, qhov tseeb nws qhov kev nkag mus tsis tseem ceeb, ntau lub koom haum tsis tau npaj los siv vim qhov xav tau los siv DNSSEC, qhov no tau ua rau qeeb qeeb ntawm kev siv DANE tag nrho cov xyoo uas tus qauv muaj.
DANE thiab MTA-STS tsis sib haum xeeb thiab siv tau ua ke.
Dab tsi yog MTA-STS kev txhawb nqa hauv Mail.ru Mail?
Mail.ru tau tshaj tawm txoj cai MTA-STS rau txhua qhov chaw loj rau qee lub sijhawm. Tam sim no peb tab tom siv tus neeg siv khoom ib feem ntawm tus qauv. Thaum lub sijhawm sau ntawv, cov cai raug siv rau hauv hom tsis thaiv (yog tias kev xa khoom raug thaiv los ntawm txoj cai, tsab ntawv yuav raug xa los ntawm "sparre" server yam tsis tau siv txoj cai), ces thaiv hom yuav raug yuam rau ib feem me me. ntawm SMTP cov tsheb khiav tawm, maj mam rau 100% ntawm cov tsheb khiav nws yuav raug tswj hwm txoj cai raug txhawb.
Leej twg txhawb nqa tus qauv?
Txog tam sim no, MTA-STS cov cai tshaj tawm kwv yees li 0.05% ntawm cov haujlwm nquag, tab sis, txawm li cas los xij, lawv twb tau tiv thaiv ntau qhov kev xa ntawv, vim Tus qauv yog txhawb los ntawm cov players loj - Google, Comcast thiab ib nrab Verizon (AOL, Yahoo). Ntau lwm qhov kev pabcuam xa ntawv tau tshaj tawm tias kev txhawb nqa rau tus qauv yuav raug siv nyob rau yav tom ntej.
Qhov no yuav cuam tshuam kuv li cas?
Tsis yog tshwj tsis yog tias koj lub npe tshaj tawm MTA-STS txoj cai. Yog tias koj tshaj tawm txoj cai, emails rau cov neeg siv ntawm koj lub mail server yuav raug tiv thaiv zoo dua los ntawm kev cuam tshuam.
Kuv yuav siv MTA-STS li cas?
Kev them nyiaj yug MTA-STS ntawm tus neeg txais kev pab
Nws yog txaus los tshaj tawm txoj cai ntawm HTTPS thiab cov ntaub ntawv hauv DNS, teeb tsa daim ntawv pov thawj siv tau los ntawm ib qho ntawm CAs ntseeg tau (Cia peb encrypt yog ua tau) rau STARTTLS hauv MTA (STARTTLS tau txais kev txhawb nqa nyob rau hauv tag nrho cov niaj hnub MTAs), tsis muaj kev txhawb tshwj xeeb los ntawm cov Yuav tsum muaj MTA.
Step by step, nws zoo li no:
Configure STARTTLS hauv MTA koj siv (postfix, exim, sendmail, Microsoft Exchange, thiab lwm yam).
Nco ntsoov tias koj siv daim ntawv pov thawj siv tau (tso tawm los ntawm CA uas ntseeg siab, tsis tas sijhawm, cov ntsiab lus ntawm daim ntawv pov thawj sib tw MX cov ntaub ntawv uas xa ntawv rau koj lub npe).
Teeb tsa TLS-RPT cov ntaub ntawv los ntawm cov ntaub ntawv thov kev cai lij choj yuav raug xa (los ntawm cov kev pabcuam uas txhawb nqa xa TLS cov ntaub ntawv). Piv txwv nkag (rau example.com sau):
smtp._tls.example.com. 300 IN TXT Β«v=TLSRPTv1;rua=mailto:[email protected]Β»
Qhov kev nkag no qhia cov neeg xa ntawv xa cov ntaub ntawv qhia txog kev siv TLS hauv SMTP rau [email protected].
Saib xyuas cov ntawv ceeb toom rau ob peb hnub kom paub tseeb tias tsis muaj qhov yuam kev.
Tshaj tawm MTA-STS txoj cai hla HTTPS. Txoj cai tau tshaj tawm ua cov ntawv nyeem nrog CRLF kab terminators los ntawm qhov chaw.
Lub teb version muaj cov version ntawm txoj cai (tam sim no STSv1), hom teeb tsa txoj cai thov hom, kev sim - sim hom (txoj cai tsis siv), tswj - hom "sib ntaus sib tua". Ua ntej tshaj tawm txoj cai nrog hom: kev sim, yog tias tsis muaj teeb meem nrog txoj cai hauv kev sim hom, tom qab ib ntus koj tuaj yeem hloov mus rau hom: tswj.
Hauv mx, ib daim ntawv teev npe ntawm txhua tus xa ntawv tuaj yeem lees txais kev xa ntawv rau koj lub npe tau teev tseg (txhua tus neeg rau zaub mov yuav tsum muaj daim ntawv pov thawj teeb tsa uas phim lub npe teev hauv mx). Max_age qhia txog lub sijhawm caching ntawm txoj cai (ib zaug txoj cai nco qab yuav raug siv txawm tias tus neeg tawm tsam thaiv nws qhov kev xa lossis ua txhaum cov ntaub ntawv DNS thaum lub sijhawm caching, koj tuaj yeem qhia qhov yuav tsum tau thov txoj cai dua los ntawm kev hloov mta-sts DNS cov ntaub ntawv).