Nyob rau hauv luv luv, MTA-STS yog ib txoj hauv kev los tiv thaiv emails los ntawm kev cuam tshuam (piv txwv li, txiv neej-hauv-tus-nruab nrab tawm tsam aka MitM) thaum sib kis ntawm xa ntawv servers. Nws ib nrab daws cov teeb meem qub txeeg qub teg ntawm email raws tu qauv thiab tau piav qhia nyob rau hauv tus txheej txheem tsis ntev los no RFC 8461. Mail.ru yog thawj qhov kev xa ntawv loj ntawm RuNet los ua raws li tus qauv no. Thiab nws tau piav qhia ntau ntxiv hauv qab qhov txiav.

MTA-STS daws teeb meem dab tsi?

Keeb kwm, email raws tu qauv (SMTP, POP3, IMAP) xa cov ntaub ntawv hauv cov ntawv ntshiab, uas ua rau nws muaj peev xwm cuam tshuam nws, piv txwv li, thaum nkag mus rau kev sib txuas lus.

Yuav ua li cas yog lub mechanism rau xa ib tsab ntawv los ntawm ib tug neeg siv mus rau lwm tus zoo li:

Keeb kwm, kev tawm tsam MitM tuaj yeem ua tau nyob rau txhua qhov chaw uas xa ntawv xa mus.

RFC 8314 yuav tsum tau siv TLS nruab nrab ntawm daim ntawv thov xa ntawv (MUA) thiab xa ntawv xa mus. Yog tias koj tus neeg rau zaub mov thiab cov ntawv xa ntawv koj siv tau ua raws li RFC 8314, ces koj tau (feem ntau) tshem tawm qhov muaj peev xwm ntawm Man-in-the-Middle attacks ntawm tus neeg siv thiab cov neeg xa ntawv.

Ua raws li kev coj ua feem ntau lees txais (tus qauv los ntawm RFC 8314) tshem tawm qhov kev tawm tsam ze ntawm tus neeg siv:

Mail.ru mail servers tau ua raws li RFC 8314 txawm tias ua ntej tus qauv tau txais; qhov tseeb, nws tsuas yog ntes tau txais kev coj ua, thiab peb tsis tas yuav teeb tsa ib yam dab tsi ntxiv. Tab sis, yog tias koj tus neeg xa ntawv tseem tso cai rau cov neeg siv siv cov txheej txheem tsis ruaj ntseg, nco ntsoov siv cov lus pom zoo ntawm tus qauv no, vim tias Feem ntau, tsawg kawg yog qee tus ntawm koj cov neeg siv ua haujlwm nrog kev xa ntawv yam tsis muaj encryption, txawm tias koj txhawb nws.

Tus neeg xa ntawv ib txwm ua haujlwm nrog tib lub chaw xa ntawv ntawm tib lub koom haum. Thiab koj tuaj yeem yuam txhua tus neeg siv los txuas rau hauv kev ruaj ntseg, thiab tom qab ntawd ua rau nws tsis yooj yim rau cov neeg siv tsis ruaj ntseg txuas (qhov no yog raws nraim li RFC 8314 xav tau). Qhov no yog qee zaum nyuaj, tab sis ua tau. Kev tsheb khiav ntawm kev xa ntawv tseem nyuaj dua. Cov servers koom nrog cov koom haum sib txawv thiab feem ntau siv nyob rau hauv "teeb ​​thiab tsis nco qab" hom, uas ua rau nws tsis tuaj yeem hloov mus rau cov txheej txheem ruaj ntseg ib zaug yam tsis muaj kev sib txuas. SMTP tau ntev muab qhov txuas ntxiv ntawm STARTTLS, uas tso cai rau cov servers uas txhawb nqa kev nkag mus hloov mus rau TLS. Tab sis tus neeg tawm tsam uas muaj peev xwm cuam tshuam rau kev khiav tsheb tuaj yeem "txiav tawm" cov ntaub ntawv hais txog kev txhawb nqa rau cov lus txib no thiab yuam cov servers sib txuas lus siv cov ntawv nyeem yooj yooj yim (lub npe hu ua downgrade attack). Rau tib lub laj thawj, STARTTLS feem ntau tsis kuaj xyuas qhov siv tau ntawm daim ntawv pov thawj (ib daim ntawv pov thawj tsis ntseeg tuaj yeem tiv thaiv kev tawm tsam tsis zoo, thiab qhov no tsis yog qhov phem tshaj qhov xa xov hauv cov ntawv ntshiab). Yog li ntawd, STARTTLS tsuas yog tiv thaiv tsis pub dhau eavesdropping.

MTA-STS ib feem tshem tawm qhov teeb meem ntawm kev cuam tshuam cov ntawv ntawm cov neeg xa ntawv, thaum tus neeg tawm tsam muaj peev xwm ua rau muaj kev cuam tshuam rau kev khiav tsheb. Yog tias tus neeg tau txais kev sau npe tshaj tawm MTA-STS txoj cai thiab tus xa cov neeg rau zaub mov txhawb nqa MTA-STS, nws tsuas yog xa email hla TLS kev sib txuas, tsuas yog rau cov servers uas tau teev tseg los ntawm txoj cai, thiab tsuas yog nrog kev pov thawj ntawm server daim ntawv pov thawj.

Vim li cas ib nrab? MTA-STS tsuas yog ua haujlwm yog tias ob tog tau saib xyuas los siv tus qauv no, thiab MTA-STS tsis tiv thaiv cov xwm txheej uas tus neeg tawm tsam tuaj yeem tau txais daim ntawv pov thawj siv tau los ntawm ib qho ntawm cov pej xeem CAs.

MTA-STS ua haujlwm li cas

Tus neeg txais

1. Configures STARTTLS kev txhawb nqa nrog daim ntawv pov thawj siv tau ntawm tus xa ntawv xa ntawv. 
2. Tshaj tawm txoj cai MTA-STS ntawm HTTPS; tshwj xeeb mta-sts sau thiab ib txoj hauv kev paub tshwj xeeb yog siv rau kev tshaj tawm, piv txwv li https://mta-sts.mail.ru/.well-known/mta-sts.txt. Txoj cai muaj cov npe ntawm cov xa ntawv xa ntawv (mx) uas muaj cai tau txais ntawv xa tuaj rau lub npe no.
3. Tshaj tawm TXT tshwj xeeb cov ntaub ntawv _mta-sts hauv DNS nrog txoj cai version. Thaum txoj cai hloov pauv, qhov kev nkag no yuav tsum tau hloov kho (qhov no qhia tias tus neeg xa ntawv rov nug txog txoj cai). Piv txwv li, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

Tus xa

Tus neeg xa ntawv thov _mta-sts DNS cov ntaub ntawv, thiab yog tias muaj, ua tsab cai thov ntawm HTTPS (xyuas daim ntawv pov thawj). Txoj cai tshwm sim yog cached (nyob rau hauv rooj plaub tus neeg tawm tsam thaiv kev nkag mus rau nws lossis spoofs cov ntaub ntawv DNS).

Thaum xa ntawv, nws raug kuaj xyuas tias:

• tus neeg rau zaub mov uas xa ntawv yog nyob rau hauv txoj cai;
• tus neeg rau zaub mov lees txais kev xa ntawv siv TLS (STARTTLS) thiab muaj daim ntawv pov thawj siv tau.

Qhov zoo ntawm MTA-STS

MTA-STS siv cov thev naus laus zis uas twb tau siv hauv ntau lub koom haum (SMTP + STARTTLS, HTTPS, DNS). Rau kev siv ntawm sab neeg txais, tsis muaj kev txhawb nqa tshwj xeeb software rau tus qauv.

Disadvantages ntawm MTA-STS

Nws yog ib qho tsim nyog los saib xyuas qhov siv tau ntawm lub vev xaib thiab xa ntawv pov thawj server, kev sau npe ntawm cov npe, thiab rov ua dua raws sijhawm. Teeb meem nrog daim ntawv pov thawj yuav ua rau xa ntawv tsis tuaj yeem xa tuaj.

Ntawm tus xa ntawv, MTA nrog kev txhawb nqa rau MTA-STS cov cai yuav tsum tau; tam sim no, MTA-STS tsis tau txais kev txhawb nqa tawm ntawm lub thawv hauv MTA.

MTA-STS siv cov npe ntawm cov hauv paus ntseeg CAs.

MTA-STS tsis tiv thaiv kev tawm tsam uas tus neeg tawm tsam siv daim ntawv pov thawj siv tau. Feem ntau, MitM nyob ze ntawm lub server cuam tshuam lub peev xwm los muab daim ntawv pov thawj. Xws li kev tawm tsam tuaj yeem tshawb pom siv Daim Ntawv Pov Thawj Transparency. Yog li ntawd, feem ntau, MTA-STS mitigates, tab sis tsis tag tshem tawm, muaj peev xwm ntawm kev cuam tshuam tsheb.

Ob lub ntsiab lus kawg ua rau MTA-STS tsis muaj kev nyab xeeb dua li qhov sib tw DANE tus qauv rau SMTP (RFC 7672), tab sis ntau dua technically ntseeg tau, piv txwv li. rau MTA-STS muaj qhov tsawg tsawg uas tsab ntawv yuav tsis xa tuaj vim muaj teeb meem kev ua haujlwm los ntawm kev ua raws li tus qauv.

Kev sib tw tus qauv - DANE

DANE siv DNSSEC los tshaj tawm cov ntaub ntawv pov thawj thiab tsis tas yuav muaj kev ntseeg siab rau cov tub ceev xwm daim ntawv pov thawj sab nraud, uas muaj kev nyab xeeb ntau dua. Tab sis kev siv DNSSEC feem ntau ua rau muaj kev ua tsis tiav, raws li kev txheeb cais ntau xyoo ntawm kev siv (txawm hais tias feem ntau muaj qhov zoo ntawm kev ntseeg siab ntawm DNSSEC thiab nws cov kev txhawb nqa). Txhawm rau siv DANE hauv SMTP ntawm tus neeg txais nyiaj, qhov muaj DNSSEC rau thaj tsam DNS yog qhov yuav tsum tau ua, thiab kev txhawb nqa kom raug rau NSEC / NSEC3 yog qhov tseem ceeb rau DANE, uas muaj teeb meem hauv DNSSEC.

Yog tias DNSSEC tsis raug teeb tsa kom raug, nws tuaj yeem ua rau xa ntawv xa tsis tiav yog tias sab xa ntawv txhawb nqa DANE, txawm tias sab tau txais tsis paub dab tsi txog nws. Yog li ntawd, txawm tias qhov tseeb tias DANE yog tus qauv qub thiab muaj kev nyab xeeb dua thiab twb tau txais kev txhawb nqa hauv qee lub server software ntawm tus neeg xa khoom, qhov tseeb nws qhov kev nkag mus tsis tseem ceeb, ntau lub koom haum tsis tau npaj los siv vim qhov xav tau los siv DNSSEC, qhov no tau ua rau qeeb qeeb ntawm kev siv DANE tag nrho cov xyoo uas tus qauv muaj.

DANE thiab MTA-STS tsis sib haum xeeb thiab siv tau ua ke.

Dab tsi yog MTA-STS kev txhawb nqa hauv Mail.ru Mail?

Mail.ru tau tshaj tawm txoj cai MTA-STS rau txhua qhov chaw loj rau qee lub sijhawm. Tam sim no peb tab tom siv tus neeg siv khoom ib feem ntawm tus qauv. Thaum lub sijhawm sau ntawv, cov cai raug siv rau hauv hom tsis thaiv (yog tias kev xa khoom raug thaiv los ntawm txoj cai, tsab ntawv yuav raug xa los ntawm "sparre" server yam tsis tau siv txoj cai), ces thaiv hom yuav raug yuam rau ib feem me me. ntawm SMTP cov tsheb khiav tawm, maj mam rau 100% ntawm cov tsheb khiav nws yuav raug tswj hwm txoj cai raug txhawb.

Leej twg txhawb nqa tus qauv?

Txog tam sim no, MTA-STS cov cai tshaj tawm kwv yees li 0.05% ntawm cov haujlwm nquag, tab sis, txawm li cas los xij, lawv twb tau tiv thaiv ntau qhov kev xa ntawv, vim Tus qauv yog txhawb los ntawm cov players loj - Google, Comcast thiab ib nrab Verizon (AOL, Yahoo). Ntau lwm qhov kev pabcuam xa ntawv tau tshaj tawm tias kev txhawb nqa rau tus qauv yuav raug siv nyob rau yav tom ntej.

Qhov no yuav cuam tshuam kuv li cas?

Tsis yog tshwj tsis yog tias koj lub npe tshaj tawm MTA-STS txoj cai. Yog tias koj tshaj tawm txoj cai, emails rau cov neeg siv ntawm koj lub mail server yuav raug tiv thaiv zoo dua los ntawm kev cuam tshuam.

Kuv yuav siv MTA-STS li cas?

Kev them nyiaj yug MTA-STS ntawm tus neeg txais kev pab

Nws yog txaus los tshaj tawm txoj cai ntawm HTTPS thiab cov ntaub ntawv hauv DNS, teeb tsa daim ntawv pov thawj siv tau los ntawm ib qho ntawm CAs ntseeg tau (Cia peb encrypt yog ua tau) rau STARTTLS hauv MTA (STARTTLS tau txais kev txhawb nqa nyob rau hauv tag nrho cov niaj hnub MTAs), tsis muaj kev txhawb tshwj xeeb los ntawm cov Yuav tsum muaj MTA.

Step by step, nws zoo li no:

1. Configure STARTTLS hauv MTA koj siv (postfix, exim, sendmail, Microsoft Exchange, thiab lwm yam).
2. Nco ntsoov tias koj siv daim ntawv pov thawj siv tau (tso tawm los ntawm CA uas ntseeg siab, tsis tas sijhawm, cov ntsiab lus ntawm daim ntawv pov thawj sib tw MX cov ntaub ntawv uas xa ntawv rau koj lub npe).
3. Teeb tsa TLS-RPT cov ntaub ntawv los ntawm cov ntaub ntawv thov kev cai lij choj yuav raug xa (los ntawm cov kev pabcuam uas txhawb nqa xa TLS cov ntaub ntawv). Piv txwv nkag (rau example.com sau):

   smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»

   Qhov kev nkag no qhia cov neeg xa ntawv xa cov ntaub ntawv qhia txog kev siv TLS hauv SMTP rau [email protected].

   Saib xyuas cov ntawv ceeb toom rau ob peb hnub kom paub tseeb tias tsis muaj qhov yuam kev.

4. Tshaj tawm MTA-STS txoj cai hla HTTPS. Txoj cai tau tshaj tawm ua cov ntawv nyeem nrog CRLF kab terminators los ntawm qhov chaw.

   https://mta-sts.example.com/.well-known/mta-sts.txt
   

   Piv txwv txoj cai:

   version: STSv1
   mode: enforce
   mx: mxs.mail.ru
   mx: emx.mail.ru
   mx: mx2.corp.mail.ru
   max_age: 86400
   

   Lub teb version muaj cov version ntawm txoj cai (tam sim no STSv1), hom teeb tsa txoj cai thov hom, kev sim - sim hom (txoj cai tsis siv), tswj - hom "sib ntaus sib tua". Ua ntej tshaj tawm txoj cai nrog hom: kev sim, yog tias tsis muaj teeb meem nrog txoj cai hauv kev sim hom, tom qab ib ntus koj tuaj yeem hloov mus rau hom: tswj.

   Hauv mx, ib daim ntawv teev npe ntawm txhua tus xa ntawv tuaj yeem lees txais kev xa ntawv rau koj lub npe tau teev tseg (txhua tus neeg rau zaub mov yuav tsum muaj daim ntawv pov thawj teeb tsa uas phim lub npe teev hauv mx). Max_age qhia txog lub sijhawm caching ntawm txoj cai (ib zaug txoj cai nco qab yuav raug siv txawm tias tus neeg tawm tsam thaiv nws qhov kev xa lossis ua txhaum cov ntaub ntawv DNS thaum lub sijhawm caching, koj tuaj yeem qhia qhov yuav tsum tau thov txoj cai dua los ntawm kev hloov mta-sts DNS cov ntaub ntawv).

5. Tshaj tawm TXT cov ntaub ntawv hauv DNS: 

   _mta-sts.example.com. TXT “v=STS1; id=someid;”
   

   Ib tus neeg txheeb xyuas qhov tsis txaus siab (piv txwv li, lub sijhawm teev sijhawm) tuaj yeem siv rau hauv daim teb id; thaum txoj cai hloov pauv, nws yuav tsum hloov, qhov no tso cai rau cov neeg xa khoom nkag siab tias lawv yuav tsum rov thov txoj cai cached (yog tias tus cim txawv ntawm qhov cached ib).

Kev them nyiaj yug MTA-STS nyob rau sab xa

Tam sim no nws tsis zoo nrog nws, vim ... tshiab txheem.

• Exim - tsis muaj kev txhawb nqa hauv, muaj tsab ntawv thib peb https://github.com/Bobberty/MTASTS-EXIM-PERL 
• Postfix - tsis muaj kev txhawb nqa hauv, muaj tsab ntawv thib peb uas tau piav qhia hauv Habré https://habr.com/en/post/424961/

Raws li cov lus tom qab hais txog "yuav tsum TLS"

Tsis ntev los no, cov neeg tswj hwm tau saib xyuas kev ruaj ntseg email (thiab qhov ntawd yog qhov zoo). Piv txwv li, DMARC yog qhov yuav tsum tau ua rau txhua lub koomhaum tseemfwv hauv Tebchaws Meskas thiab yuav tsum tau nce ntxiv hauv kev lag luam nyiaj txiag, nrog rau kev nkag mus rau tus qauv nce mus txog 90% hauv thaj chaw tswj hwm. Tam sim no qee tus neeg tswj hwm xav tau qhov kev siv ntawm "yuav tsum TLS" nrog tus kheej tus thawj tswj hwm, tab sis lub tshuab ua kom ntseeg tau tias "yuav tsum TLS" tsis tau txhais thiab hauv kev xyaum, qhov teeb tsa no feem ntau siv rau hauv txoj hauv kev uas tsis tiv thaiv qhov kev tawm tsam tiag tiag uas twb muaj lawm. muab rau hauv cov txheej txheem xws li DANE lossis MTA-STS.

Yog tias tus tswj hwm yuav tsum tau ua raws li "yuav tsum tau TLS" nrog cov npe sib cais, peb pom zoo kom txiav txim siab MTA-STS lossis nws ib feem analogue raws li qhov tsim nyog tshaj plaws, nws tshem tawm qhov yuav tsum tau ua kom muaj kev ruaj ntseg rau txhua qhov sib cais. Yog tias koj muaj teeb meem siv tus neeg siv khoom ntawm MTA-STS (txog thaum tus txheej txheem tau txais kev txhawb nqa dav dav, lawv feem ntau yuav), peb tuaj yeem pom zoo rau txoj hauv kev no:

1. Tshaj tawm MTA-STS txoj cai thiab / lossis DANE cov ntaub ntawv (DANE ua rau kev nkag siab tsuas yog tias DNSSEC twb tau qhib rau koj lub npe, thiab MTA-STS nyob rau hauv ib rooj plaub), qhov no yuav tiv thaiv kev tsheb khiav hauv koj cov kev taw qhia thiab tshem tawm qhov xav tau nug lwm cov kev pabcuam xa ntawv txhawm rau teeb tsa TLS yuav tsum tau ua rau koj lub npe yog tias qhov kev pabcuam xa ntawv tau txhawb nqa MTA-STS thiab / lossis DANE.
2. Rau cov kev pabcuam email loj, siv qhov "analogue" ntawm MTA-STS los ntawm kev thauj mus los sib cais rau txhua tus sau npe, uas yuav txhim kho MX siv rau kev xa ntawv xa mus thiab yuav tsum tau ua pov thawj ntawm TLS daim ntawv pov thawj rau nws. Yog tias cov thawj tswj hwm tau tshaj tawm txoj cai MTA-STS, qhov no tuaj yeem ua tiav tsis mob. Los ntawm nws tus kheej, ua kom yuav tsum tau TLS rau tus sau yam tsis tau kho qhov relay thiab txheeb xyuas daim ntawv pov thawj rau nws tsis muaj txiaj ntsig los ntawm qhov pom kev ruaj ntseg thiab tsis ntxiv ib yam dab tsi rau cov txheej txheem STARTTLS uas twb muaj lawm.

Tau qhov twg los: www.hab.com