အတိုချုပ်အားဖြင့်၊ MTA-STS သည် မေးလ်ဆာဗာများကြား ပေးပို့သည့်အခါတွင် ကြားဖြတ်ဝင်ရောက်ခြင်းမှ အီးမေးလ်များကို နောက်ထပ်ကာကွယ်ရန် နည်းလမ်းတစ်ခု (ဆိုလိုသည်မှာ၊ အလယ်အလတ်တိုက်ခိုက်မှုများ သို့မဟုတ် MitM)။ ၎င်းသည် အီးမေးလ်ပရိုတိုကောများ၏ အမွေအနှစ်ဗိသုကာဆိုင်ရာ ပြဿနာများကို တစ်စိတ်တစ်ပိုင်းဖြေရှင်းပေးပြီး မကြာသေးမီက စံနှုန်း RFC 8461 တွင် ဖော်ပြထားပါသည်။ Mail.ru သည် ဤစံနှုန်းကိုအကောင်အထည်ဖော်ရန်အတွက် RuNet ရှိ ပထမဆုံးသော အဓိကမေးလ်ဝန်ဆောင်မှုဖြစ်သည်။ ၎င်းကိုဖြတ်တောက်မှုအောက်တွင်အသေးစိတ်ဖော်ပြထားသည်။

မည်သည့်ပြဿနာကို MTA-STS ဖြေရှင်းပေးသနည်း။

သမိုင်းကြောင်းအရ၊ အီးမေးလ်ပရိုတိုကောများ (SMTP၊ POP3၊ IMAP) သည် ရှင်းလင်းသောစာသားဖြင့် အချက်အလက်များကို ပေးပို့ခဲ့ပြီး ဥပမာအားဖြင့် ဆက်သွယ်ရေးချန်နယ်ကို ဝင်ရောက်သည့်အခါ ၎င်းကို ကြားဖြတ်တားဆီးနိုင်စေခဲ့သည်။

အသုံးပြုသူတစ်ဦးမှ အခြားတစ်ဦးထံသို့ စာတစ်စောင်ပေးပို့ခြင်းအတွက် ယန္တရားသည် အဘယ်နည်း။

သမိုင်းကြောင်းအရ၊ မေးလ်ပျံ့နှံ့သည့်နေရာတိုင်းတွင် MitM တိုက်ခိုက်မှု ဖြစ်နိုင်သည်။

RFC 8314 သည် မေးလ်အသုံးပြုသူ အပလီကေးရှင်း (MUA) နှင့် မေးလ်ဆာဗာအကြား TLS ကို အသုံးပြုရန် လိုအပ်သည်။ အကယ်၍ သင့်ဆာဗာနှင့် သင်အသုံးပြုသော မေးလ်အက်ပ်များသည် RFC 8314 နှင့် ကိုက်ညီပါက၊ အသုံးပြုသူနှင့် မေးလ်ဆာဗာများကြားတွင် Man-in-the-Middle တိုက်ခိုက်မှု ဖြစ်နိုင်ချေကို (ကြီးမားစွာ) ဖယ်ရှားလိုက်ပါပြီ။

ယေဘူယျလက်ခံထားသော အလေ့အကျင့်များ (RFC 8314 ဖြင့် စံသတ်မှတ်ထားသည်) သည် အသုံးပြုသူအနီးရှိ တိုက်ခိုက်မှုကို ဖယ်ရှားပေးသည်-

Mail.ru မေးလ်ဆာဗာများသည် စံနှုန်းကို မချမှတ်မီကပင် RFC 8314 နှင့် ကိုက်ညီသည်၊ အမှန်မှာ၊ ၎င်းသည် လက်ခံထားပြီးဖြစ်သော အလေ့အကျင့်များကို ရိုးရှင်းစွာ ဖမ်းယူထားပြီး မည်သည့်အရာမှ ထပ်မံပြင်ဆင်ရန် မလိုအပ်ပါ။ သို့သော် သင့်မေးလ်ဆာဗာသည် လုံခြုံမှုမရှိသော ပရိုတိုကောများကို အသုံးပြုသူများကို ခွင့်ပြုနေသေးပါက၊ အကြောင်းမှာ ဤစံနှုန်း၏ အကြံပြုချက်များကို အကောင်အထည်ဖော်ရန် သေချာပါစေ။ ဖြစ်နိုင်သည်မှာ၊ အနည်းဆုံး သင့်အသုံးပြုသူအချို့သည် ၎င်းကို ပံ့ပိုးကူညီလျှင်ပင် ကုဒ်ဝှက်ခြင်းမရှိဘဲ mail ဖြင့် အလုပ်လုပ်ပါသည်။

မေးလ်ကလိုင်းယင့်သည် အဖွဲ့အစည်းတစ်ခုတည်း၏ တူညီသောမေးလ်ဆာဗာနှင့် အမြဲအလုပ်လုပ်သည်။ သုံးစွဲသူအားလုံးကို လုံခြုံသောပုံစံဖြင့် ချိတ်ဆက်ရန် သင်က တွန်းအားပေးနိုင်ပြီး၊ ထို့နောက် လုံခြုံမှုမရှိသော သုံးစွဲသူများအတွက် နည်းပညာပိုင်းအရ ချိတ်ဆက်ရန် မဖြစ်နိုင်အောင် ပြုလုပ်နိုင်သည် (၎င်းသည် RFC 8314 လိုအပ်သည့် အတိအကျဖြစ်သည်)။ ဒါက တစ်ခါတလေ ခက်ခဲပေမယ့် လုပ်လို့ရတယ်။ မေးလ်ဆာဗာများအကြား အသွားအလာမှာ ပိုမိုရှုပ်ထွေးနေဆဲဖြစ်သည်။ ဆာဗာများသည် မတူညီသော အဖွဲ့အစည်းများနှင့် သက်ဆိုင်ပြီး ချိတ်ဆက်မှုကို ပြတ်တောက်ခြင်းမရှိဘဲ လုံခြုံသော ပရိုတိုကောသို့ တစ်ကြိမ်တည်းပြောင်းရန် မဖြစ်နိုင်သော "သတ်မှတ်ပြီး မေ့သွားခြင်း" မုဒ်တွင် အသုံးပြုလေ့ရှိပါသည်။ SMTP သည် ကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးသည့် ဆာဗာများကို TLS သို့ပြောင်းရန် ခွင့်ပြုသည့် STARTTLS တိုးချဲ့မှုကို ကြာရှည်စွာ ပံ့ပိုးပေးထားသည်။ သို့သော် အသွားအလာကို လွှမ်းမိုးနိုင်စွမ်းရှိသော တိုက်ခိုက်သူသည် ဤအမိန့်အတွက် ပံ့ပိုးမှုဆိုင်ရာ အချက်အလက်များကို ဖြတ်တောက်နိုင်ပြီး ရိုးရိုးစာသားပရိုတိုကော (၎င်းကို အဆင့်နှိမ့်ချတိုက်ခိုက်ခြင်းဟုခေါ်သည်) ကို အသုံးပြု၍ ဆာဗာများကို ဆက်သွယ်ခိုင်းစေနိုင်သည်။ တူညီသောအကြောင်းပြချက်အတွက်၊ STARTTLS သည် အများအားဖြင့် လက်မှတ်၏တရားဝင်မှုကို စစ်ဆေးလေ့မရှိပါ (မယုံကြည်ရသောလက်မှတ်သည် passive တိုက်ခိုက်မှုများကို ကာကွယ်နိုင်ပြီး၊ ၎င်းသည် ရှင်းလင်းသောစာသားဖြင့် မက်ဆေ့ချ်ပေးပို့ခြင်းထက် ပိုဆိုးသည်မဟုတ်ပါ)။ ထို့ကြောင့်၊ STARTTLS သည် passive ခိုးယူခြင်းမှသာလျှင် ကာကွယ်ပေးပါသည်။

တိုက်ခိုက်သူသည် traffic ကိုတက်ကြွစွာလွှမ်းမိုးနိုင်စွမ်းရှိသောအခါ MTA-STS သည် မေးလ်ဆာဗာများကြားတွင် စာလုံးများကို ကြားဖြတ်ဖမ်းယူခြင်းပြဿနာကို တစ်စိတ်တစ်ပိုင်းအားဖြင့် ဖယ်ရှားပေးပါသည်။ အကယ်၍ လက်ခံသူ၏ဒိုမိန်းသည် MTA-STS မူဝါဒကို ထုတ်ပြန်ပြီး ပေးပို့သူ၏ဆာဗာသည် MTA-STS ကို ပံ့ပိုးပေးမည်ဆိုပါက၊ ၎င်းသည် TLS ချိတ်ဆက်မှုမှတစ်ဆင့် အီးမေးလ်ကိုသာ ပေးပို့မည်ဖြစ်ပြီး၊ မူဝါဒက သတ်မှတ်ထားသော ဆာဗာများထံသို့သာ၊ ဆာဗာ၏ အသိအမှတ်ပြုလက်မှတ်ကို အတည်ပြုခြင်းဖြင့်သာ ပေးပို့မည်ဖြစ်သည်။

ဘာကြောင့် တစ်စိတ်တစ်ပိုင်း MTA-STS သည် ဤစံနှုန်းကို အကောင်အထည်ဖော်ရန် နှစ်ဖက်စလုံးက ဂရုပြုမှသာ အလုပ်လုပ်နိုင်ပြီး၊ တိုက်ခိုက်သူသည် အများသူငှာ CAs တစ်ခုမှ တရားဝင်ဒိုမိန်းလက်မှတ်ကို ရယူနိုင်သည့် အခြေအနေများကို MTA-STS မှ အကာအကွယ်မပေးနိုင်ပါ။

MTA-STS အလုပ်လုပ်ပုံ

လက်လံသူ

1. မေးလ်ဆာဗာတွင် မှန်ကန်သောလက်မှတ်တစ်ခုဖြင့် STARTTLS ပံ့ပိုးမှုအား စီစဉ်သတ်မှတ်ပေးသည်။ 
2. HTTPS မှတစ်ဆင့် MTA-STS မူဝါဒကို ထုတ်ဝေသည်; အထူး mta-sts ဒိုမိန်းနှင့် အထူးလူသိများသည့်လမ်းကြောင်းကို ထုတ်ဝေရန်အတွက် အသုံးပြုသည်၊ ဥပမာ၊ https://mta-sts.mail.ru/.well-known/mta-sts.txt. မူဝါဒတွင် ဤဒိုမိန်းအတွက် မေးလ်လက်ခံပိုင်ခွင့်ရှိသည့် မေးလ်ဆာဗာများစာရင်း (mx) ပါရှိသည်။
3. မူဝါဒဗားရှင်းဖြင့် DNS တွင် အထူး TXT မှတ်တမ်း _mta-sts ကို ထုတ်ဝေသည်။ မူဝါဒပြောင်းလဲသည့်အခါ ဤထည့်သွင်းမှုကို အပ်ဒိတ်လုပ်ရပါမည် (၎င်းသည် မူဝါဒကို ပြန်လည်မေးမြန်းရန် ပေးပို့သူကို အချက်ပြသည်)။ ဥပမာအားဖြင့်, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

ပေးပို့သူ

ပေးပို့သူသည် _mta-sts DNS မှတ်တမ်းကို တောင်းဆိုပြီး ၎င်းကိုရရှိနိုင်ပါက HTTPS မှတစ်ဆင့် မူဝါဒတောင်းဆိုချက်တစ်ခု ပြုလုပ်ပါ (လက်မှတ်ကို စစ်ဆေးနေသည်)။ ရလဒ်ပေါ်လစီကို ကက်ရှ်လုပ်ထားသည် (တိုက်ခိုက်သူတစ်ဦးက ၎င်းကိုဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ထားလျှင် သို့မဟုတ် DNS မှတ်တမ်းကို အတုအယောင်ပြုလုပ်ပါက)။

မေးလ်ပို့သောအခါ၊ ၎င်းကိုစစ်ဆေးသည်-

• မေးလ်ပို့သည့်ဆာဗာသည် မူဝါဒတွင် ရှိနေသည်။
• ဆာဗာသည် TLS (STARTTLS) ကို အသုံးပြု၍ မေးလ်ကို လက်ခံပြီး တရားဝင် လက်မှတ်တစ်ခု ရှိသည်။

MTA-STS ၏ အားသာချက်များ

MTA-STS သည် အဖွဲ့အစည်းအများစု (SMTP+STARTTLS၊ HTTPS၊ DNS) တွင် အကောင်အထည်ဖော်ပြီးသော နည်းပညာများကို အသုံးပြုသည်။ လက်ခံသူဘက်မှ အကောင်အထည်ဖော်ရန်အတွက် စံနှုန်းအတွက် အထူးဆော့ဖ်ဝဲပံ့ပိုးမှု မလိုအပ်ပါ။

MTA-STS ၏ အားနည်းချက်များ

ဝဘ်နှင့် မေးလ်ဆာဗာ လက်မှတ်၏တရားဝင်မှု၊ အမည်များစာပေးစာယူနှင့် အချိန်နှင့်တစ်ပြေးညီ သက်တမ်းတိုးခြင်းကို စောင့်ကြည့်ရန် လိုအပ်ပါသည်။ လက်မှတ်နှင့်ပတ်သက်သော ပြဿနာများသည် မေးလ်ပေးပို့၍မရတော့ခြင်း ဖြစ်ပေါ်လာသည်။

ပေးပို့သူဘက်တွင်၊ MTA-STS မူဝါဒများအတွက် ပံ့ပိုးမှုရှိသော MTA လိုအပ်သည်၊ လက်ရှိတွင် MTA-STS ကို MTA အတွင်းရှိ ဘောက်စ်မှ ပံ့ပိုးမထားပါ။

MTA-STS သည် ယုံကြည်ရသော root CA များစာရင်းကို အသုံးပြုသည်။

MTA-STS သည် တိုက်ခိုက်သူမှ တရားဝင်အသိအမှတ်ပြုလက်မှတ်ကို အသုံးပြုသည့် တိုက်ခိုက်မှုများကို မကာကွယ်ပါ။ ကိစ္စအများစုတွင်၊ ဆာဗာအနီးရှိ MitM သည် လက်မှတ်ထုတ်ပေးနိုင်စွမ်းကို ရည်ညွှန်းသည်။ ထိုသို့သောတိုက်ခိုက်မှုကို Certificate Transparency ကို အသုံးပြု၍ ရှာဖွေတွေ့ရှိနိုင်သည်။ ထို့ကြောင့်၊ ယေဘူယျအားဖြင့်၊ MTA-STS သည် ယာဉ်ကြောပိတ်ဆို့ခြင်း၏ ဖြစ်နိုင်ခြေကို လုံးလုံးလျားလျား ဖယ်ရှားပစ်မည်မဟုတ်ပေ။

နောက်ဆုံးအချက်နှစ်ချက်က MTA-STS သည် SMTP (RFC 7672) အတွက် ပြိုင်ဆိုင်သော DANE စံနှုန်းထက် လုံခြုံမှုနည်းပါးစေသော်လည်း နည်းပညာပိုင်းအရ ပိုစိတ်ချရသည်၊ ဆိုလိုသည်မှာ၊ MTA-STS အတွက် စံနှုန်းကို အကောင်အထည်ဖော်ခြင်းကြောင့် နည်းပညာပိုင်းဆိုင်ရာ ပြဿနာများကြောင့် စာကို ပေးပို့နိုင်မည်မဟုတ်ကြောင်း ဖြစ်နိုင်ခြေနည်းပါသည်။

ယှဉ်ပြိုင်မှုစံနှုန်း - DANE

DANE သည် လက်မှတ်အချက်အလက်များကိုထုတ်ဝေရန် DNSSEC ကိုအသုံးပြုပြီး ပြင်ပအသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များကိုယုံကြည်မှုမလိုအပ်ပါ၊ ၎င်းသည်ပိုမိုလုံခြုံသည်။ သို့သော် DNSSEC ကိုအသုံးပြုခြင်းသည် နှစ်အတော်ကြာကြာ အသုံးပြုခဲ့သည့် စာရင်းဇယားများအပေါ် အခြေခံ၍ နည်းပညာပိုင်းဆိုင်ရာ ချို့ယွင်းချက်များကို သိသိသာသာ ဖြစ်ပေါ်စေသည် (ယေဘုယျအားဖြင့် DNSSEC ၏ ယုံကြည်စိတ်ချရမှုနှင့် ၎င်း၏နည်းပညာပံ့ပိုးမှုတွင် ယေဘုယျအားဖြင့် အပြုသဘောဆောင်သောလမ်းကြောင်းရှိသော်လည်း)။ လက်ခံသူဘက်မှ SMTP တွင် DANE ကို အကောင်အထည်ဖော်ရန်၊ DNS ဇုန်အတွက် DNSSEC ရှိနေခြင်းသည် မဖြစ်မနေ လိုအပ်ပြီး DNSSEC တွင် စနစ်ပိုင်းဆိုင်ရာ ပြဿနာများရှိသည့် DANE အတွက် NSEC/NSEC3 အတွက် မှန်ကန်သောပံ့ပိုးမှုသည် မရှိမဖြစ်လိုအပ်ပါသည်။

DNSSEC ကို မှန်ကန်စွာ ပြင်ဆင်သတ်မှတ်ခြင်း မပြုပါက၊ လက်ခံရရှိသည့် ဘက်မှ ဘာမှ မသိသော်လည်း ပေးပို့သည့် ဘက်မှ DANE ကို ပံ့ပိုးပေးမည်ဆိုပါက ပေးပို့မှု ပျက်ကွက်မှုများ ဖြစ်ပေါ်နိုင်သည်။ ထို့ကြောင့်၊ DANE သည် အသက်ကြီး၍ ပိုမိုလုံခြုံသောစံနှုန်းတစ်ခုဖြစ်ပြီး ပေးပို့သူဘက်မှ ဆာဗာဆော့ဖ်ဝဲအချို့တွင် ပံ့ပိုးပေးထားပြီးဖြစ်သော်လည်း၊ အမှန်တကယ်တွင် ၎င်း၏ထိုးဖောက်မှုမှာ အရေးမပါသေးသော်လည်း၊ DNSSEC ကို အကောင်အထည်ဖော်ရန် လိုအပ်ခြင်းကြောင့် အဖွဲ့အစည်းများစွာသည် ၎င်းကို အကောင်အထည်ဖော်ရန် အဆင်သင့်မဖြစ်သေးပါ။ ၎င်းသည် စံရှိပြီးသားနှစ်များအားလုံးကို DANE ၏အကောင်အထည်ဖော်မှုကို သိသိသာသာနှေးကွေးစေခဲ့သည်။

DANE နှင့် MTA-STS တို့သည် တစ်ခုနှင့်တစ်ခု မကွဲလွဲဘဲ အတူတကွသုံးနိုင်သည်။

Mail.ru Mail ရှိ MTA-STS ပံ့ပိုးမှုနှင့်အတူ အဘယ်အရာရှိသနည်း။

Mail.ru သည် အဓိကဒိုမိန်းအားလုံးအတွက် MTA-STS မူဝါဒကို အချိန်အတော်ကြာအောင် ထုတ်ဝေနေပါသည်။ ကျွန်ုပ်တို့သည် စံသတ်မှတ်ချက်၏ ဖောက်သည်အစိတ်အပိုင်းကို လက်ရှိအကောင်အထည်ဖော်နေပါသည်။ စာရေးချိန်တွင်၊ မူဝါဒများကို ပိတ်ဆို့ခြင်းမုဒ်တွင် ကျင့်သုံးသည် (မူဝါဒတစ်ခုက ပေးပို့မှုကို ပိတ်ဆို့ပါက မူဝါဒများကို အသုံးမပြုဘဲ "အပို" ဆာဗာမှတစ်ဆင့် ပေးပို့မည်)၊ ထို့နောက် ပိတ်ဆို့ခြင်းမုဒ်ကို အစိတ်အပိုင်းအနည်းငယ်အတွက် ခိုင်းစေမည်ဖြစ်သည်။ အထွက် SMTP အသွားအလာ၏ 100% အသွားအလာအတွက် တဖြည်းဖြည်း ကျင့်သုံးမှု မူဝါဒများကို ပံ့ပိုးပေးမည်ဖြစ်သည်။

စံနှုန်းကို ဘယ်သူက ပံ့ပိုးပေးလဲ။

ယခုအချိန်အထိ၊ MTA-STS မူဝါဒများသည် လက်ရှိအသုံးပြုနေသော ဒိုမိန်းများ၏ 0.05% ခန့်ကို ထုတ်ပြန်ထားသော်လည်း၊ မည်သို့ပင်ဆိုစေကာမူ ၎င်းတို့သည် ကြီးမားသောစာပို့လမ်းကြောင်းကို ကာကွယ်ထားပြီးဖြစ်သောကြောင့်၊ စံနှုန်းကို အဓိက ကစားသမားများဖြစ်သော Google၊ Comcast နှင့် Verizon (AOL၊ Yahoo) တို့က ထောက်ခံထားသည်။ အခြားစာပို့ဝန်ဆောင်မှုများစွာသည် မကြာမီကာလအတွင်း စံချိန်စံညွှန်းကို ပံ့ပိုးပေးမည်ဟု ကြေညာထားသည်။

ဒါကငါ့ကိုဘယ်လိုအကျိုးသက်ရောက်မလဲ။

သင့်ဒိုမိန်းသည် MTA-STS မူဝါဒကို မထုတ်ပြန်ပါက မဟုတ်ပေ။ မူဝါဒကို သင်ထုတ်ဝေပါက၊ သင့်မေးလ်ဆာဗာ၏ သုံးစွဲသူများအတွက် အီးမေးလ်များကို ကြားဖြတ်ဝင်ရောက်ခြင်းမှ ပိုမိုကောင်းမွန်စွာ ကာကွယ်နိုင်မည်ဖြစ်သည်။

MTA-STS ကို ဘယ်လိုအကောင်အထည်ဖော်မလဲ။

လက်ခံသူဘက်မှ MTA-STS ပံ့ပိုးမှု

မူဝါဒကို HTTPS နှင့် DNS တွင် မှတ်တမ်းများမှတစ်ဆင့် ထုတ်ဝေရန် လုံလောက်သည်၊ ယုံကြည်စိတ်ချရသော CA များထဲမှ တစ်ခုမှ တရားဝင် လက်မှတ်ကို စီစဉ်သတ်မှတ်ပါ (MTA ရှိ STARTTLS အတွက် စာဝှက်ထားကြပါစို့ (STARTTLS သည် ခေတ်မီ MTAs များအားလုံးတွင် ပံ့ပိုးထားသည်)၊ အထူးပံ့ပိုးကူညီမှု မရှိပါ MTA လိုအပ်သည်။

တစ်ဆင့်ပြီးတစ်ဆင့်၊ ဤပုံသည်

1. သင်အသုံးပြုနေသော MTA တွင် STARTTLS ကို စီစဉ်သတ်မှတ်ပါ (postfix၊ exim၊ sendmail၊ Microsoft Exchange စသည်ဖြင့်)။
2. သင်သည် တရားဝင် အသိအမှတ်ပြုလက်မှတ်ကို အသုံးပြုနေသည် (ယုံကြည်စိတ်ချရသော CA မှထုတ်ပေးသော၊ သက်တမ်းမကုန်သေးပါ၊ လက်မှတ်၏အကြောင်းအရာသည် သင့်ဒိုမိန်းအတွက် မေးလ်ပေးပို့သည့် MX မှတ်တမ်းနှင့် ကိုက်ညီသည်)။
3. မူဝါဒ အပလီကေးရှင်း အစီရင်ခံစာများ ပေးပို့မည့် TLS-RPT မှတ်တမ်း (TLS အစီရင်ခံစာများ ပေးပို့ခြင်းကို ပံ့ပိုးပေးသည့် ဝန်ဆောင်မှုများအားဖြင့်) သတ်မှတ်ပါ။ နမူနာထည့်သွင်းခြင်း (example.com ဒိုမိန်းအတွက်):

   smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»

   ဤထည့်သွင်းမှုသည် SMTP ရှိ TLS အသုံးပြုမှုဆိုင်ရာ စာရင်းအင်းအစီရင်ခံစာများပေးပို့ရန် စာပို့သူများကို ညွှန်ကြားထားသည်။ [email protected].

   အမှားအယွင်းများမရှိစေရန် အစီရင်ခံစာများကို ရက်ပေါင်းများစွာ စောင့်ကြည့်ပါ။

4. HTTPS တွင် MTA-STS မူဝါဒကို ထုတ်ဝေပါ။ မူဝါဒကို တည်နေရာအလိုက် CRLF line terminators ဖြင့် စာသားဖိုင်အဖြစ် ထုတ်ဝေထားသည်။

   https://mta-sts.example.com/.well-known/mta-sts.txt
   

   နမူနာမူဝါဒ-

   version: STSv1
   mode: enforce
   mx: mxs.mail.ru
   mx: emx.mail.ru
   mx: mx2.corp.mail.ru
   max_age: 86400
   

   ဗားရှင်းအကွက်တွင် မူဝါဒဗားရှင်းပါရှိသည် (လောလောဆယ် STSv1) မုဒ်သည် မူဝါဒအပလီကေးရှင်းမုဒ်ကို သတ်မှတ်ပေးသည်၊ စမ်းသပ်ခြင်း — စမ်းသပ်မုဒ် (မူဝါဒကို အသုံးမပြုပါ)၊ တွန်းအားပေးသည် — “တိုက်ပွဲ” မုဒ်။ ပထမဦးစွာ မူဝါဒကို မုဒ်ဖြင့် ထုတ်ဝေပါ- စမ်းသပ်ခြင်း၊ စမ်းသပ်မုဒ်တွင် မူဝါဒနှင့် ပြဿနာများ မရှိပါက ခဏအကြာတွင် သင်သည် မုဒ်သို့ ပြောင်းနိုင်သည်- တွန်းအားပေးပါ။

   mx တွင်၊ သင့်ဒိုမိန်းအတွက် မေးလ်လက်ခံနိုင်သော မေးလ်ဆာဗာများစာရင်းကို သတ်မှတ်ထားသည် (ဆာဗာတစ်ခုစီတွင် mx တွင်ဖော်ပြထားသောအမည်နှင့် ကိုက်ညီသော လက်မှတ်တစ်ခုစီရှိရမည်)။ Max_age သည် မူဝါဒ၏ ကက်ရှ်အချိန်ကို သတ်မှတ်သည် (တိုက်ခိုက်သူသည် ၎င်း၏ ပေးပို့မှုကို ပိတ်ဆို့လိုက်သည် သို့မဟုတ် ကက်ရှ်အချိန်အတွင်း DNS မှတ်တမ်းများကို ဖောက်ဖျက်သွားလျှင်ပင်၊ မှတ်သားထားသော မူဝါဒကို အသုံးပြုမည်ဆိုပါက၊ mta-sts DNS ကို ပြောင်းလဲခြင်းဖြင့် မူဝါဒကို ထပ်မံတောင်းဆိုရန် လိုအပ်ကြောင်း အချက်ပြနိုင်သည် မှတ်တမ်း)။

5. DNS တွင် TXT မှတ်တမ်းကို ထုတ်ဝေပါ- 

   _mta-sts.example.com. TXT “v=STS1; id=someid;”
   

   အိုင်ဒီအကွက်တွင် မထင်သလိုသတ်မှတ်မှုစနစ် (ဥပမာ၊ အချိန်တံဆိပ်) ကို သုံးနိုင်သည်၊ မူဝါဒပြောင်းလဲသည့်အခါ ပြောင်းလဲသင့်သည်၊ ၎င်းသည် ပေးပို့သူများအား ကက်ရှ်ထားသည့်မူဝါဒကို ပြန်လည်တောင်းဆိုရန် လိုအပ်ကြောင်း နားလည်နိုင်စေသည် (သတ်မှတ်သူသည် ကွဲပြားပါက၊ သိမ်းဆည်းထားသည်)။

ပေးပို့သူဘက်မှ MTA-STS ပံ့ပိုးမှု

အခုချိန်ထိတော့ သူ့အပေါ်မကောင်းလို့... လတ်ဆတ်သောစံ။

• Exim - built-in ပံ့ပိုးမှုမရှိပါ၊ ပြင်ပအဖွဲ့အစည်း script တစ်ခုရှိသည်။ https://github.com/Bobberty/MTASTS-EXIM-PERL 
• Postfix - built-in ပံ့ပိုးမှုမရှိပါ၊ Habré တွင်အသေးစိတ်ဖော်ပြထားသောတတိယပါတီ script တစ်ခုရှိသည် https://habr.com/en/post/424961/

"မဖြစ်မနေ TLS" အကြောင်း နောက်ဆက်တွဲအနေဖြင့်

မကြာသေးမီက၊ စည်းကမ်းထိန်းသိမ်းရေးအဖွဲ့များသည် အီးမေးလ်လုံခြုံရေးကို အာရုံစိုက်လာနေကြပြီ (ဒါက ကောင်းသောအရာဖြစ်သည်)။ ဥပမာအားဖြင့်၊ DMARC သည် အမေရိကန်ပြည်ထောင်စုရှိ အစိုးရအေဂျင်စီများအားလုံးအတွက် မဖြစ်မနေလိုအပ်ပြီး စံသတ်မှတ်ချက်၏ ထိုးဖောက်ဝင်ရောက်မှုသည် 90% ထိ ကန့်သတ်ထားသောနေရာများတွင် ရောက်ရှိသွားသဖြင့် ဘဏ္ဍာရေးကဏ္ဍတွင် ပိုမိုလိုအပ်ပါသည်။ ယခုအခါ အချို့သော ထိန်းကျောင်းသူများသည် တစ်ဦးချင်းစီ ဒိုမိန်းများနှင့်အတူ "မဖြစ်မနေ TLS" ကို အကောင်အထည်ဖော်ရန် လိုအပ်သော်လည်း၊ "မဖြစ်မနေ TLS" ကို သေချာစေရန်အတွက် ယန္တရားအား သတ်မှတ်မထားကြောင်း၊ လက်တွေ့တွင် ယခင်ရှိပြီးသား စစ်မှန်သော တိုက်ခိုက်မှုများကိုပင် အနည်းဆုံး မကာကွယ်နိုင်သည့် နည်းလမ်းဖြင့် ဤဆက်တင်ကို မကြာခဏ အကောင်အထည်ဖော်လေ့ရှိပါသည်။ DANE သို့မဟုတ် MTA-STS ကဲ့သို့သော ယန္တရားများတွင် ပံ့ပိုးပေးထားသည်။

အကယ်၍ စည်းကမ်းထိန်းသိမ်းရေးသည် သီးခြားဒိုမိန်းများဖြင့် "မဖြစ်မနေ မဖြစ်မနေ TLS" ကို အကောင်အထည်ဖော်ရန် လိုအပ်ပါက၊ MTA-STS သို့မဟုတ် ၎င်း၏တစ်စိတ်တစ်ပိုင်း analogue ကို အသင့်တော်ဆုံးယန္တရားအဖြစ် ထည့်သွင်းစဉ်းစားရန် အကြံပြုသည်၊ ၎င်းသည် ဒိုမိန်းတစ်ခုစီအတွက် သီးခြားစီလုံခြုံရေးဆက်တင်များပြုလုပ်ရန် လိုအပ်မှုကို ဖယ်ရှားပေးပါသည်။ MTA-STS ၏ client အပိုင်းကို အကောင်အထည်ဖော်ရာတွင် အခက်အခဲများရှိပါက (ပရိုတိုကောသည် ကျယ်ပြန့်သော ပံ့ပိုးမှုမရရှိမီအထိ၊ ၎င်းတို့ ဖြစ်နိုင်ချေရှိသည်)၊ ကျွန်ုပ်တို့သည် ဤချဉ်းကပ်မှုကို အကြံပြုနိုင်သည်-

1. MTA-STS မူဝါဒနှင့်/သို့မဟုတ် DANE မှတ်တမ်းများကို ထုတ်ဝေပါ (DANE သည် သင့်ဒိုမိန်းအတွက် DNSSEC ကို ဖွင့်ထားပြီးသားမှသာလျှင် အဓိပ္ပါယ်ရှိပြီး မည်သည့်ကိစ္စတွင်မဆို MTA-STS)၊ ၎င်းက သင့်ဦးတည်ရာသို့ အသွားအလာများကို ကာကွယ်ပေးပြီး အခြားမေးလ်ဝန်ဆောင်မှုများကို တောင်းဆိုရန် လိုအပ်မှုကို ဖယ်ရှားပေးမည်ဖြစ်သည်။ မေးလ်ဝန်ဆောင်မှုသည် MTA-STS နှင့်/သို့မဟုတ် DANE ကို ပံ့ပိုးထားပြီးဖြစ်ပါက သင့်ဒိုမိန်းအတွက် မဖြစ်မနေ TLS ကို ပြင်ဆင်သတ်မှတ်ရန်။
2. ကြီးမားသော အီးမေးလ်ဝန်ဆောင်မှုများအတွက်၊ ဒိုမိန်းတစ်ခုစီအတွက် သီးခြားသယ်ယူပို့ဆောင်ရေးဆက်တင်များမှတစ်ဆင့် MTA-STS ၏ "သရုပ်ဖော်ပုံ" ကို အကောင်အထည်ဖော်ပါ၊ ၎င်းသည် စာပို့ပေးပို့ခြင်းအတွက်အသုံးပြုသည့် MX ကိုဖြေရှင်းပေးမည်ဖြစ်ပြီး ၎င်းအတွက် TLS လက်မှတ်ကို မဖြစ်မနေအတည်ပြုရန်လိုအပ်မည်ဖြစ်ပါသည်။ ဒိုမိန်းများသည် MTA-STS မူဝါဒကို ထုတ်ဝေပြီးပါက၊ ၎င်းကို မနာကျင်ဘဲ လုပ်ဆောင်နိုင်ဖွယ်ရှိသည်။ ၎င်းကိုယ်တိုင်က၊ ဒိုမိန်းတစ်ခုအတွက် မဖြစ်မနေ TLS ကို ဖွင့်ထားခြင်းဖြင့် ၎င်းသည် လုံခြုံရေးရှုထောင့်မှ ထိရောက်မှုမရှိသည့်အတွက် လက်မှတ်ကို စစ်ဆေးခြင်းမပြုဘဲ ရှိပြီးသား STARTTLS ယန္တရားများတွင် မည်သည့်အရာကိုမျှ ထည့်မထားပါ။

source: www.habr.com