Mail.ru pasts sÄk piemÄrot MTA-STS politikas testa režīmÄ
ÄŖsÄk sakot, MTA-STS ir veids, kÄ vÄl vairÄk aizsargÄt e-pastus no pÄrtverÅ”anas (t.i., uzbrukumiem starp uzbrukumiem, ko sauc par MitM), kad tie tiek pÄrsÅ«tÄ«ti starp pasta serveriem. Tas daļÄji atrisina mantotÄs e-pasta protokolu arhitektÅ«ras problÄmas un ir aprakstÄ«ts salÄ«dzinoÅ”i nesenajÄ standartÄ RFC 8461. Mail.ru ir pirmais lielÄkais pasta pakalpojums RuNet, kas ieviesis Å”o standartu. Un tas ir sÄ«kÄk aprakstÄ«ts zem griezuma.
KÄdu problÄmu atrisina MTA-STS?
VÄsturiski e-pasta protokoli (SMTP, POP3, IMAP) pÄrsÅ«tÄ«ja informÄciju skaidrÄ tekstÄ, kas ļÄva to pÄrtvert, piemÄram, piekļūstot sakaru kanÄlam.
KÄ izskatÄs mehÄnisms vÄstules nosÅ«tÄ«Å”anai no viena lietotÄja citam:
VÄsturiski MitM uzbrukums bija iespÄjams visÄs vietÄs, kur cirkulÄ pasts.
RFC 8314 pieprasa TLS izmantoÅ”anu starp pasta lietotÄja lietojumprogrammu (MUA) un pasta serveri. Ja jÅ«su serveris un izmantotÄs pasta lietojumprogrammas ir saderÄ«gas ar RFC 8314, jÅ«s (lielÄkoties) esat novÄrsis Man-in-the-Middle uzbrukumu iespÄjamÄ«bu starp lietotÄju un pasta serveriem.
VispÄrpieÅemtas prakses ievÄroÅ”ana (standartizÄta ar RFC 8314) novÄrÅ” uzbrukumu lietotÄja tuvumÄ:
Mail.ru pasta serveri atbilda RFC 8314 jau pirms standarta pieÅemÅ”anas; patiesÄ«bÄ tas vienkÄrÅ”i tver jau pieÅemto praksi, un mums nebija jÄkonfigurÄ nekas papildu. Bet, ja jÅ«su pasta serveris joprojÄm ļauj lietotÄjiem izmantot nedroÅ”os protokolus, noteikti ieviesiet Ŕī standarta ieteikumus, jo VisticamÄk, vismaz daži jÅ«su lietotÄji strÄdÄ ar pastu bez Å”ifrÄÅ”anas, pat ja jÅ«s to atbalstÄt.
Pasta klients vienmÄr strÄdÄ ar vienu un to paÅ”u organizÄcijas pasta serveri. Un jÅ«s varat piespiest visus lietotÄjus izveidot savienojumu droÅ”Ä veidÄ un pÄc tam padarÄ«t tehniski neiespÄjamu nedroÅ”iem lietotÄjiem izveidot savienojumu (tas ir tieÅ”i tas, ko pieprasa RFC 8314). Tas dažreiz ir grÅ«ti, bet izdarÄms. Satiksme starp pasta serveriem joprojÄm ir sarežģītÄka. Serveri pieder dažÄdÄm organizÄcijÄm un bieži tiek izmantoti āiestatÄ«t un aizmirstā režīmÄ, kas neļauj uzreiz pÄrslÄgties uz droÅ”u protokolu, nepÄrtraucot savienojumu. SMTP jau sen ir nodroÅ”inÄjis STARTTLS paplaÅ”inÄjumu, kas ļauj serveriem, kas atbalsta Å”ifrÄÅ”anu, pÄrslÄgties uz TLS. TaÄu uzbrucÄjs, kuram ir iespÄja ietekmÄt trafiku, var āizgrieztā informÄciju par Ŕīs komandas atbalstu un piespiest serverus sazinÄties, izmantojot vienkÄrÅ”a teksta protokolu (tÄ sauktais pazeminÄÅ”anas uzbrukums). TÄ paÅ”a iemesla dÄļ STARTTLS parasti nepÄrbauda sertifikÄta derÄ«gumu (neuzticams sertifikÄts var aizsargÄt pret pasÄ«viem uzbrukumiem, un tas nav sliktÄks par ziÅojuma nosÅ«tÄ«Å”anu skaidrÄ tekstÄ). TÄpÄc STARTTLS aizsargÄ tikai pret pasÄ«vu noklausÄ«Å”anos.
MTA-STS daļÄji novÄrÅ” vÄstuļu pÄrtverÅ”anas problÄmu starp pasta serveriem, kad uzbrucÄjam ir iespÄja aktÄ«vi ietekmÄt trafiku. Ja adresÄta domÄns publicÄ MTA-STS politiku un sÅ«tÄ«tÄja serveris atbalsta MTA-STS, tas nosÅ«tÄ«s e-pastu tikai, izmantojot TLS savienojumu, tikai uz politikÄ definÄtajiem serveriem un tikai ar servera sertifikÄta pÄrbaudi.
KÄpÄc daļÄji? MTA-STS darbojas tikai tad, ja abas puses ir parÅ«pÄjuÅ”Äs par Ŕī standarta ievieÅ”anu, un MTA-STS neaizsargÄ pret gadÄ«jumiem, kad uzbrucÄjs var iegÅ«t derÄ«gu domÄna sertifikÄtu no vienas no publiskajÄm CA.
KÄ darbojas MTA-STS
saÅÄmÄjs
KonfigurÄ STARTTLS atbalstu ar derÄ«gu sertifikÄtu pasta serverÄ«.
PublicÄ MTA-STS politiku, izmantojot HTTPS; publicÄÅ”anai tiek izmantots Ä«paÅ”s mta-sts domÄns un Ä«paÅ”s labi zinÄms ceļŔ, piemÄram, https://mta-sts.mail.ru/.well-known/mta-sts.txt. PolitikÄ ir saraksts ar pasta serveriem (mx), kuriem ir tiesÄ«bas saÅemt Ŕī domÄna pastu.
PublicÄ Ä«paÅ”u TXT ierakstu _mta-sts DNS ar politikas versiju. Kad politika mainÄs, Å”is ieraksts ir jÄatjaunina (tas norÄda sÅ«tÄ«tÄjam, lai atkÄrtoti pieprasÄ«tu politiku). PiemÄram, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"
SÅ«tÄ«tÄjs
SÅ«tÄ«tÄjs pieprasa _mta-sts DNS ierakstu un, ja tas ir pieejams, veic politikas pieprasÄ«jumu, izmantojot HTTPS (pÄrbaudot sertifikÄtu). RezultÄtÄ iegÅ«tÄ politika tiek saglabÄta keÅ”atmiÅÄ (ja uzbrucÄjs bloÄ·Ä piekļuvi tai vai vilto DNS ierakstu).
NosÅ«tot pastu, tiek pÄrbaudÄ«ts, vai:
serveris, uz kuru tiek piegÄdÄts pasts, ir polisÄ;
serveris pieÅem pastu, izmantojot TLS (STARTTLS), un tam ir derÄ«gs sertifikÄts.
MTA-STS priekŔrocības
MTA-STS izmanto tehnoloÄ£ijas, kas jau ir ieviestas lielÄkajÄ daÄ¼Ä organizÄciju (SMTP+STARTTLS, HTTPS, DNS). ÄŖstenoÅ”anai saÅÄmÄja pusÄ standartam nav nepiecieÅ”ams Ä«paÅ”s programmatÅ«ras atbalsts.
MTA-STS trūkumi
Ir jÄuzrauga tÄ«mekļa un pasta servera sertifikÄta derÄ«gums, vÄrdu atbilstÄ«ba un savlaicÄ«ga atjaunoÅ”ana. Ja rodas problÄmas ar sertifikÄtu, pastu nevarÄs piegÄdÄt.
No sÅ«tÄ«tÄja puses ir nepiecieÅ”ama MTA ar MTA-STS politiku atbalstu; paÅ”laik MTA-STS netiek atbalstÄ«ts MTA.
MTA-STS izmanto uzticamo saknes CA sarakstu.
MTA-STS neaizsargÄ pret uzbrukumiem, kuros uzbrucÄjs izmanto derÄ«gu sertifikÄtu. VairumÄ gadÄ«jumu MitM servera tuvumÄ nozÄ«mÄ iespÄju izsniegt sertifikÄtu. Å Ädu uzbrukumu var noteikt, izmantojot Certificate Transparency. TÄpÄc kopumÄ MTA-STS mazina, bet pilnÄ«bÄ nenovÄrÅ” satiksmes pÄrtverÅ”anas iespÄju.
PÄdÄjie divi punkti padara MTA-STS mazÄk droÅ”u par konkurÄjoÅ”o DANE standartu SMTP (RFC 7672), taÄu tehniski uzticamÄku, t.i. MTA-STS ir maza varbÅ«tÄ«ba, ka vÄstule netiks piegÄdÄta standarta ievieÅ”anas izraisÄ«tu tehnisku problÄmu dÄļ.
Sacensību standarts - DANE
DANE izmanto DNSSEC, lai publicÄtu sertifikÄtu informÄciju, un tai nav nepiecieÅ”ama uzticÄÅ”anÄs ÄrÄjÄm sertifikÄtu iestÄdÄm, kas ir daudz droÅ”Äka. Bet DNSSEC izmantoÅ”ana ievÄrojami biežÄk izraisa tehniskas kļūmes, pamatojoties uz statistiku vairÄku gadu lietoÅ”anas laikÄ (lai gan kopumÄ ir pozitÄ«va tendence DNSSEC un tÄ tehniskÄ atbalsta uzticamÄ«bÄ). Lai ieviestu DANE SMTP adresÄta pusÄ, DNSSEC klÄtbÅ«tne DNS zonai ir obligÄta, un DANE ir bÅ«tisks pareizs atbalsts NSEC/NSEC3, ar kuru DNSSEC ir sistÄmiskas problÄmas.
Ja DNSSEC nav pareizi konfigurÄts, tas var izraisÄ«t pasta piegÄdes kļūmes, ja sÅ«tÄ«tÄja puse atbalsta DANE, pat ja saÅÄmÄja puse par to neko nezina. TÄpÄc, neskatoties uz to, ka DANE ir vecÄks un droÅ”Äks standarts un jau tiek atbalstÄ«ts kÄdÄ servera programmatÅ«rÄ sÅ«tÄ«tÄja pusÄ, faktiski tÄ izplatÄ«ba joprojÄm ir nenozÄ«mÄ«ga, daudzas organizÄcijas nav gatavas to ieviest, jo ir nepiecieÅ”ams ieviest DNSSEC, tas ir bÅ«tiski palÄninÄjuÅ”i DANE ievieÅ”anu visus standarta pastÄvÄÅ”anas gadus.
DANE un MTA-STS nav pretrunÄ viens ar otru un var tikt izmantoti kopÄ.
Kas notiek ar MTA-STS atbalstu pakalpojumÄ Mail.ru Mail?
Mail.ru jau ilgu laiku ir publicÄjis MTA-STS politiku visiem galvenajiem domÄniem. Å obrÄ«d mÄs ievieÅ”am standarta klienta daļu. RakstÄ«Å”anas laikÄ politikas tiek piemÄrotas nebloÄ·ÄÅ”anas režīmÄ (ja piegÄde ir bloÄ·Äta ar politiku, vÄstule tiks piegÄdÄta caur "rezerves" serveri, neizmantojot politikas), tad bloÄ·ÄÅ”anas režīms tiks piespiests nelielai daļai. no izejoÅ”Äs SMTP trafika, pakÄpeniski 100% trafika tiks atbalstÄ«ta politiku izpilde.
KurÅ” vÄl atbalsta standartu?
LÄ«dz Å”im MTA-STS politikas publicÄ aptuveni 0.05% aktÄ«vo domÄnu, taÄu, neskatoties uz to, tÄs jau aizsargÄ lielu pasta trafika apjomu, jo Standartu atbalsta lielÄkie spÄlÄtÄji - Google, Comcast un daļÄji Verizon (AOL, Yahoo). Daudzi citi pasta dienesti ir paziÅojuÅ”i, ka tuvÄkajÄ laikÄ tiks ieviests standarta atbalsts.
KÄ tas mani ietekmÄs?
Ja vien jÅ«su domÄnÄ nav publicÄta MTA-STS politika. Ja publicÄsit politiku, jÅ«su pasta servera lietotÄju e-pasta ziÅojumi tiks labÄk aizsargÄti pret pÄrtverÅ”anu.
KÄ ieviest MTA-STS?
MTA-STS atbalsts saÅÄmÄja pusÄ
Pietiek publicÄt politiku, izmantojot HTTPS, un ierakstus DNS, konfigurÄt derÄ«gu sertifikÄtu no vienas no uzticamajÄm CA (IespÄjams Å”ifrÄt) STARTTLS MTA (STARTTLS tiek atbalstÄ«ts visos mÅ«sdienu MTA), nav Ä«paÅ”a atbalsta no NepiecieÅ”ama MTA.
Soli pa solim tas izskatÄs Å”Ädi:
KonfigurÄjiet STARTTLS izmantotajÄ MTA (postfix, exim, sendmail, Microsoft Exchange utt.).
PÄrliecinieties, vai izmantojat derÄ«gu sertifikÄtu (to izdevusi uzticama CA, kam nav beidzies derÄ«guma termiÅÅ”, sertifikÄta priekÅ”mets atbilst MX ierakstam, kas piegÄdÄ pastu jÅ«su domÄnam).
KonfigurÄjiet TLS-RPT ierakstu, caur kuru tiks piegÄdÄti politikas lietojumprogrammu atskaites (pakalpojumi, kas atbalsta TLS atskaiÅ”u sÅ«tÄ«Å”anu). Ieraksta piemÄrs (domÄnam example.com):
smtp._tls.example.com. 300 IN TXT Ā«v=TLSRPTv1;rua=mailto:[email protected]Ā»
Å is ieraksts uzdod pasta sÅ«tÄ«tÄjiem nosÅ«tÄ«t statistikas pÄrskatus par TLS lietojumu SMTP uz [email protected].
PÄrraugiet pÄrskatus vairÄkas dienas, lai pÄrliecinÄtos, ka nav kļūdu.
PublicÄjiet MTA-STS politiku, izmantojot HTTPS. Politika tiek publicÄta kÄ teksta fails ar CRLF rindiÅas terminatoriem pÄc atraÅ”anÄs vietas.
Versijas laukÄ ir norÄdÄ«ta politikas versija (paÅ”laik STSv1), Režīms iestata politikas piemÄroÅ”anas režīmu, testÄÅ”ana ā testa režīms (politika netiek piemÄrota), Enforce ā ācÄ«Åasā režīms. Vispirms publicÄjiet politiku ar režīmu: testÄÅ”ana, ja testa režīmÄ ar politiku nav problÄmu, pÄc kÄda laika varat pÄrslÄgties uz režīmu: enforce.
Mx ir norÄdÄ«ts visu pasta serveru saraksts, kas var pieÅemt jÅ«su domÄna pastu (katram serverim ir jÄbÅ«t konfigurÄtam sertifikÄtam, kas atbilst mx norÄdÄ«tajam nosaukumam). Max_age norÄda politikas keÅ”atmiÅas laiku (kad atcerÄtÄ politika tiks lietota pat tad, ja uzbrucÄjs keÅ”atmiÅas laikÄ bloÄ·Ä tÄs piegÄdi vai sabojÄ DNS ierakstus, varat signalizÄt par nepiecieÅ”amÄ«bu vÄlreiz pieprasÄ«t politiku, mainot mta-sts DNS ieraksts).
ID laukÄ var izmantot patvaļīgu identifikatoru (piemÄram, laikspiedolu); kad politika mainÄs, tai ir jÄmainÄs, tÄdÄjÄdi sÅ«tÄ«tÄji var saprast, ka viÅiem ir atkÄrtoti jÄpieprasa keÅ”atmiÅÄ saglabÄtÄ politika (ja identifikators atŔķiras no keÅ”atmiÅÄ saglabÄtais).
MTA-STS atbalsts sÅ«tÄ«tÄja pusÄ
PagaidÄm ar viÅu ir slikti, jo... svaigs standarts.
PÄdÄjÄ laikÄ regulatori ir pievÄrsuÅ”i uzmanÄ«bu e-pasta droŔībai (un tas ir labi). PiemÄram, DMARC ir obligÄts visÄm valsts aÄ£entÅ«rÄm Amerikas SavienotajÄs ValstÄ«s, un tas arvien vairÄk tiek pieprasÄ«ts finanÅ”u sektorÄ, jo regulÄtajÄs jomÄs standarta izplatÄ«ba sasniedz 90%. Tagad daži regulatori pieprasa āobligÄtÄ TLSā ievieÅ”anu ar atseviŔķiem domÄniem, taÄu āobligÄtÄ TLSā nodroÅ”inÄÅ”anas mehÄnisms nav definÄts un praksÄ Å”is uzstÄdÄ«jums nereti tiek ieviests tÄ, ka pat minimÄli neaizsargÄ pret reÄliem uzbrukumiem, kas jau ir kas paredzÄti tÄdos mehÄnismos kÄ DANE vai MTA-STS.
Ja regulators pieprasa āobligÄtÄ TLSā ievieÅ”anu ar atseviŔķiem domÄniem, iesakÄm kÄ piemÄrotÄko mehÄnismu uzskatÄ«t MTA-STS vai tÄ daļÄju analogu, tas novÄrÅ” nepiecieÅ”amÄ«bu veikt droÅ”us iestatÄ«jumus katram domÄnam atseviŔķi. Ja jums ir grÅ«tÄ«bas ar MTA-STS klienta daļas ievieÅ”anu (kamÄr protokols nav saÅÄmis plaÅ”u atbalstu, viÅi, visticamÄk, saÅems), mÄs varam ieteikt Å”Ädu pieeju:
PublicÄjiet MTA-STS politiku un/vai DANE ierakstus (DANE ir jÄga tikai tad, ja jÅ«su domÄnam jau ir iespÄjots DNSSEC, un jebkurÄ gadÄ«jumÄ MTA-STS), tas aizsargÄs trafiku jÅ«su virzienÄ un novÄrsÄ«s nepiecieÅ”amÄ«bu lÅ«gt citus pasta pakalpojumus. lai konfigurÄtu obligÄto TLS savam domÄnam, ja pasta pakalpojums jau atbalsta MTA-STS un/vai DANE.
Lieliem e-pasta pakalpojumiem ieviesiet MTA-STS āanaloguā, izmantojot atseviŔķus transporta iestatÄ«jumus katram domÄnam, kas novÄrsÄ«s pasta pÄrsÅ«tÄ«Å”anai izmantoto MX un prasÄ«s obligÄtu tÄ TLS sertifikÄta pÄrbaudi. Ja domÄni jau publicÄ MTA-STS politiku, to, visticamÄk, var izdarÄ«t nesÄpÄ«gi. Pati par sevi obligÄtÄ TLS iespÄjoÅ”ana domÄnam, nelabojot releju un tam nepÄrbaudot sertifikÄtu, no droŔības viedokļa ir neefektÄ«va un neko nepievieno esoÅ”ajiem STARTTLS mehÄnismiem.