ProHoster > Blog > Идораи > Почтаи Mail.ru ба татбиқи сиёсатҳои MTA-STS дар ҳолати санҷишӣ оғоз мекунад

Почтаи Mail.ru ба татбиқи сиёсатҳои MTA-STS дар ҳолати санҷишӣ оғоз мекунад

Почтаи Mail.ru ба татбиқи сиёсатҳои MTA-STS дар ҳолати санҷишӣ оғоз мекунад

Хулоса, MTA-STS як роҳи муҳофизати минбаъдаи паёмҳои электронӣ аз боздоштани (яъне, ҳамлаҳои одам дар миёна ба номи MitM) ҳангоми интиқол байни серверҳои почта мебошад. Он қисман мушкилоти меъмории меъмории протоколҳои почтаи электрониро ҳал мекунад ва дар стандарти нисбатан навтарини RFC 8461 тавсиф шудааст. Mail.ru аввалин хидмати асосии почтаи электронӣ дар RuNet мебошад, ки ин стандартро татбиқ мекунад. Ва он ба таври муфассал дар зери набуред тасвир шудааст.

MTA-STS кадом масъаларо ҳал мекунад?

Таърихан, протоколҳои почтаи электронӣ (SMTP, POP3, IMAP) иттилоотро дар матни равшан интиқол медоданд, ки ин имкон дод, ки онро, масалан, ҳангоми дастрасӣ ба канали алоқа боздошт.

Механизми интиқоли мактуб аз як корбар ба дигараш чӣ гуна аст:

Почтаи Mail.ru ба татбиқи сиёсатҳои MTA-STS дар ҳолати санҷишӣ оғоз мекунад

Таърихан, ҳамлаи MitM дар ҳама ҷойҳое, ки почта паҳн мешавад, имконпазир буд.

RFC 8314 истифодаи TLS-ро байни барномаи корбари почтаи электронӣ (MUA) ва сервери почта талаб мекунад. Агар сервери шумо ва барномаҳои почтаи электронӣ, ки шумо истифода мебаред, бо RFC 8314 мувофиқ бошанд, пас шумо эҳтимолияти ҳамлаҳои Man-in-the-Middle байни корбар ва серверҳои почтаро (асосан) аз байн бурдед.

Пас аз таҷрибаҳои маъмулӣ (стандартизатсияи RFC 8314) ҳамларо дар наздикии корбар нест мекунад:

Почтаи Mail.ru ба татбиқи сиёсатҳои MTA-STS дар ҳолати санҷишӣ оғоз мекунад

Серверҳои почтаи Mail.ru ҳатто пеш аз қабули стандарт ба RFC 8314 мувофиқат мекарданд; дар асл, он танҳо амалияҳои аллакай қабулшударо сабт мекунад ва ба мо лозим набуд, ки ягон чизи иловагиро танзим кунем. Аммо, агар сервери почтаи шумо то ҳол ба корбарон иҷозат диҳад, ки протоколҳои ноамнро истифода баранд, ҳатман тавсияҳои ин стандартро иҷро кунед, зеро Эҳтимол, ҳадди аққал баъзе аз корбарони шумо бо почта бе рамзгузорӣ кор мекунанд, ҳатто агар шумо онро дастгирӣ кунед.

Мизоҷи почтаи электронӣ ҳамеша бо ҳамон сервери почтаи як созмон кор мекунад. Ва шумо метавонед ҳамаи корбаронро маҷбур кунед, ки ба таври бехатар пайваст шаванд ва сипас пайвастшавии корбарони ғайриамнро аз ҷиҳати техникӣ ғайриимкон созед (ин маҳз ҳамон чизест, ки RFC 8314 талаб мекунад). Ин баъзан душвор, аммо иҷрошаванда аст. Трафик байни серверҳои почта ҳоло ҳам мураккабтар аст. Серверҳо ба созмонҳои гуногун тааллуқ доранд ва аксар вақт дар реҷаи “муқаррар кардан ва фаромӯш кардан” истифода мешаванд, ки бе қатъ кардани пайвастшавӣ якбора ба протоколи бехатар гузаштанро ғайриимкон месозад. SMTP муддати тӯлонӣ тамдиди STARTTLS-ро пешниҳод кардааст, ки ба серверҳое, ки рамзкунониро дастгирӣ мекунанд, имкон медиҳад, ки ба TLS гузаранд. Аммо ҳамлакунанда, ки қобилияти таъсир расонидан ба трафикро дорад, метавонад маълумотро дар бораи дастгирии ин фармон "бурида" ва серверҳоро маҷбур кунад, ки бо истифода аз протоколи матнии оддӣ муошират кунанд (ба истилоҳ ҳамлаи пастсифат). Бо ҳамин сабаб, STARTTLS одатан эътибори сертификатро намесанҷад (шаҳодатномаи беэътимод метавонад аз ҳамлаҳои ғайрифаъол муҳофизат кунад ва ин аз фиристодани паём дар матни равшан бадтар нест). Аз ин рӯ, STARTTLS танҳо аз гӯш кардани ғайрифаъол муҳофизат мекунад.

MTA-STS мушкилоти боздоштани мактубҳо байни серверҳои почтаро қисман бартараф мекунад, вақте ки ҳамлакунанда қобилияти таъсиррасониро ба трафикро дорад. Агар домени қабулкунанда сиёсати MTA-STS-ро нашр кунад ва сервери ирсолкунанда MTA-STS-ро дастгирӣ кунад, он паёми электрониро танҳо тавассути пайвасти TLS, танҳо ба серверҳое, ки сиёсат муайян кардааст ва танҳо бо тасдиқи сертификати сервер мефиристад.

Чаро қисман? MTA-STS танҳо дар сурате кор мекунад, ки ҳарду ҷониб барои татбиқи ин стандарт ғамхорӣ карда бошанд ва MTA-STS аз сенарияҳое, ки дар он ҳамлакунанда метавонад аз яке аз CA-ҳои ҷамъиятӣ шаҳодатномаи домени дурустро ба даст орад, муҳофизат намекунад.

Чӣ тавр MTA-STS кор мекунад

Харидор

  1. Дастгирии STARTTLS-ро бо сертификати дуруст дар сервери почта танзим мекунад. 
  2. Сиёсати MTA-STS-ро тавассути HTTPS нашр мекунад; барои интишор домени махсуси mta-sts ва роҳи махсуси маъруф истифода мешавад. https://mta-sts.mail.ru/.well-known/mta-sts.txt. Сиёсат рӯйхати серверҳои почтаи электрониро (mx) дар бар мегирад, ки ҳуқуқи гирифтани паёмро барои ин домен доранд.
  3. Сабти махсуси TXT _mta-sts-ро дар DNS бо версияи сиёсат нашр мекунад. Вақте ки сиёсат тағир меёбад, ин сабт бояд нав карда шавад (ин ба ирсолкунанда сигнал медиҳад, ки сиёсатро дубора дархост кунад). Барои намуна, _mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"

Ирсолкунанда

Фиристодан сабти _mta-sts DNS-ро дархост мекунад ва агар он дастрас бошад, тавассути HTTPS дархости сиёсат мегузорад (тафтиш кардани сертификат). Сиёсати натиҷавӣ кэш карда мешавад (агар ҳамлакунанда дастрасӣ ба онро манъ кунад ё сабти DNS-ро қаллобӣ кунад).

Ҳангоми фиристодани почта инҳо тафтиш карда мешаванд:

  • сервере, ки ба он почта фиристода мешавад, дар сиёсат аст;
  • сервер почтаро бо истифода аз TLS (STARTTLS) қабул мекунад ва дорои сертификати дуруст аст.

Афзалиятҳои MTA-STS

MTA-STS технологияҳоеро истифода мебарад, ки аллакай дар аксари созмонҳо татбиқ карда шудаанд (SMTP+STARTTLS, HTTPS, DNS). Барои татбиқ дар тарафи гиранда, дастгирии махсуси нармафзор барои стандарт талаб карда намешавад.

Камбудиҳои MTA-STS

Муҳлати эътибори сертификати сервери веб ва почта, мувофиқати номҳо ва навсозии саривақтиро назорат кардан лозим аст. Мушкилот бо сертификат боиси интиқоли почта мегардад.

Аз ҷониби ирсолкунанда, MTA бо дастгирии сиёсати MTA-STS талаб карда мешавад; дар айни замон, MTA-STS аз қуттӣ дар MTA дастгирӣ намешавад.

MTA-STS рӯйхати CA-ҳои боэътимоди решаро истифода мебарад.

MTA-STS аз ҳамлаҳое, ки дар он ҳамлакунанда шаҳодатномаи дурустро истифода мебарад, муҳофизат намекунад. Дар аксари ҳолатҳо, MitM дар наздикии сервер қобилияти додани сертификатро дар назар дорад. Чунин ҳамларо метавон бо истифода аз шаффофияти сертификат ошкор кард. Аз ин рӯ, дар маҷмӯъ, MTA-STS имкони боздоштани ҳаракатро коҳиш медиҳад, аммо пурра нест намекунад.

Ду нуқтаи охир MTA-STS-ро нисбат ба стандарти рақобаткунандаи DANE барои SMTP (RFC 7672) камтар бехатар мекунанд, аммо аз ҷиҳати техникӣ боэътимодтар, яъне. барои MTA-STS эҳтимоли кам аст, ки мактуб аз сабаби мушкилоти техникӣ, ки дар натиҷаи татбиқи стандарт ба вуҷуд омадааст, расонида нашавад.

Стандарти рақобаткунанда - DANE

DANE DNSSEC-ро барои интишори маълумоти сертификат истифода мебарад ва эътимод ба мақомоти сертификатсияи берунаро талаб намекунад, ки ин хеле амнтар аст. Аммо истифодаи DNSSEC ба таври назаррас бештар ба нокомии техникӣ оварда мерасонад, ки дар асоси омори чанд соли истифода (гарчанде ки умуман тамоюли мусбат дар эътимоднокии DNSSEC ва дастгирии техникии он вуҷуд дорад). Барои татбиқи DANE дар SMTP дар тарафи гиранда мавҷудияти DNSSEC барои минтақаи DNS ҳатмист ва дастгирии дурусти NSEC/NSEC3 барои DANE муҳим аст, ки бо он мушкилоти системавӣ дар DNSSEC вуҷуд дорад.

Агар DNSSEC дуруст танзим карда нашавад, он метавонад боиси нокомии интиқоли почта гардад, агар ҷониби ирсолкунанда DANE-ро дастгирӣ кунад, ҳатто агар ҷониби қабулкунанда дар ин бора чизе намедонад. Аз ин рӯ, сарфи назар аз он, ки DANE стандарти кӯҳнатар ва амнтар аст ва аллакай дар баъзе нармафзори сервер дар тарафи ирсолкунанда дастгирӣ карда мешавад, дар асл воридшавии он ночиз боқӣ мемонад, бисёр ташкилотҳо барои татбиқи он омода нестанд бо сабаби зарурати татбиқи DNSSEC, ин татбиқи DANE-ро дар тӯли тамоми солҳое, ки стандарт мавҷуд буд, ба таври назаррас коҳиш дод.

DANE ва MTA-STS бо ҳамдигар мухолиф нестанд ва метавонанд якҷоя истифода шаванд.

Дастгирии MTA-STS дар Mail.ru Mail чӣ гуна аст?

Mail.ru муддати тӯлонӣ сиёсати MTA-STS-ро барои ҳама доменҳои асосӣ нашр мекунад. Мо ҳоло қисми муштарии стандартро татбиқ карда истодаем. Ҳангоми навиштан, сиёсатҳо дар реҷаи ғайрибандӣ татбиқ карда мешаванд (агар интиқол аз ҷониби сиёсат баста шуда бошад, мактуб тавассути сервери "эҳтиётӣ" бе татбиқи сиёсат расонида мешавад), пас режими блоккунӣ барои як қисми хурд маҷбур карда мешавад. трафики содиротии SMTP, тадриҷан барои 100% трафик он хоҳад буд Иҷрои сиёсатҳо дастгирӣ карда мешавад.

Боз кӣ стандартро дастгирӣ мекунад?

То ба ҳол, сиёсатҳои MTA-STS тақрибан 0.05% доменҳои фаъолро нашр мекунанд, аммо бо вуҷуди ин, онҳо аллакай миқдори зиёди трафики почтаро муҳофизат мекунанд, зеро Стандартро бозигарони асосӣ дастгирӣ мекунанд - Google, Comcast ва қисман Verizon (AOL, Yahoo). Бисёре аз дигар хадамоти почта эълон карданд, ки дастгирии стандарт дар ояндаи наздик амалӣ карда мешавад.

Ин ба ман чӣ гуна таъсир мерасонад?

На агар домени шумо сиёсати MTA-STS-ро нашр накунад. Агар шумо сиёсатро интишор кунед, паёмҳои почтаи электронӣ барои корбарони сервери почтаи шумо аз боздошт беҳтар ҳифз карда мешаванд.

Чӣ тавр ман MTA-STS-ро татбиқ мекунам?

Дастгирии MTA-STS дар тарафи гиранда

Интишори сиёсат тавассути HTTPS ва сабтҳо дар DNS кифоя аст, аз яке аз CA-ҳои боэътимод танзим кардани сертификати дуруст (Биёед рамзгузорӣ кунем) барои STARTTLS дар MTA (STARTTLS дар ҳама MTA-ҳои муосир дастгирӣ карда мешавад), дастгирии махсус аз ҷониби MTA талаб карда мешавад.

Қадам ба қадам, ин чунин ба назар мерасад:

  1. STARTTLS-ро дар MTA истифода мекунед (postfix, exim, sendmail, Microsoft Exchange ва ғайра) танзим кунед.
  2. Боварӣ ҳосил кунед, ки шумо сертификати дурустро истифода мебаред (аз ҷониби CA-и боэътимод дода шудааст, мӯҳлати эътибораш ба охир нарасидааст, мавзӯи сертификат ба сабти MX, ки почтаро барои домени шумо мерасонад, мувофиқат мекунад).
  3. Сабти TLS-RPT-ро танзим кунед, ки тавассути он гузоришҳои барномаи сиёсатгузорӣ расонида мешаванд (аз ҷониби хидматҳое, ки фиристодани гузоришҳои TLS-ро дастгирӣ мекунанд). Намунаи вуруд (барои домени example.com): 
    smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»

    Ин вуруд ба ирсолкунандагони почта дастур медиҳад, ки ҳисоботи оморӣ дар бораи истифодаи TLS дар SMTP ба [email protected].

    Ҳисоботҳоро дар тӯли якчанд рӯз назорат кунед, то боварӣ ҳосил кунед, ки ягон хатогӣ вуҷуд надорад.

  4. Сиёсати MTA-STS-ро тавассути HTTPS нашр кунед. Сиёсат ҳамчун файли матнӣ бо терминаторҳои сатри CRLF аз рӯи макон нашр карда мешавад. 
    https://mta-sts.example.com/.well-known/mta-sts.txt

    Намунаи сиёсат:

    version: STSv1
mode: enforce
mx: mxs.mail.ru
mx: emx.mail.ru
mx: mx2.corp.mail.ru
max_age: 86400

    Майдони версия версияи сиёсатро дар бар мегирад (ҳоло STSv1), Режим режими татбиқи сиёсатро муқаррар мекунад, санҷиш — ҳолати санҷишӣ (сиёсат татбиқ карда намешавад), татбиқ — реҷаи "ҷанг". Аввалан сиёсатро бо режим интишор кунед: озмоиш, агар бо сиёсат дар реҷаи санҷиш ягон мушкилот вуҷуд надошта бошад, пас аз муддате шумо метавонед ба режим гузаред: татбиқ.

    Дар mx, рӯйхати ҳамаи серверҳои почтаи электронӣ, ки метавонанд барои домени шумо почта қабул кунанд, муайян карда шудааст (ҳар як сервер бояд сертификати танзимшуда дошта бошад, ки ба номи дар mx муқарраршуда мувофиқат кунад). Max_age вақти кэшкунии сиёсатро муайян мекунад (вақте ки сиёсати хотирмон татбиқ карда мешавад, ҳатто агар ҳамлакунанда интиқоли онро манъ кунад ё сабтҳои DNS-ро дар давоми вақти кэш вайрон кунад, шумо метавонед тавассути тағир додани mta-sts DNS зарурати дархости дубораи сиёсатро нишон диҳед. сабт).

  5. Сабти TXT-ро дар DNS нашр кунед:  
    _mta-sts.example.com. TXT “v=STS1; id=someid;”

    Дар майдони id идентификатори худсарона (масалан, тамғаи вақт) метавонад истифода шавад; вақте ки сиёсат тағир меёбад, он бояд тағир ёбад, ин ба ирсолкунандагон имкон медиҳад, то бифаҳманд, ки онҳо бояд сиёсати кэшшударо дубора дархост кунанд (агар идентификатор аз сиёсати кэш фарқ кунад) кэш карда шудааст).

Дастгирии MTA-STS дар тарафи ирсолкунанда

То ҳол бо вай бад аст, зеро ... стандарти тару тоза.

  • Exim - дастгирии дарунсохт нест, скрипти тарафи сеюм мавҷуд аст https://github.com/Bobberty/MTASTS-EXIM-PERL 
  • Postfix - дастгирии дарунсохт вуҷуд надорад, скрипти тарафи сеюм мавҷуд аст, ки дар Habré ба таври муфассал тавсиф шудааст https://habr.com/en/post/424961/

Ҳамчун сухан дар бораи "TLS ҳатмӣ"

Вақтҳои охир, танзимгарон ба амнияти почтаи электронӣ таваҷҷӯҳ зоҳир мекунанд (ва ин як чизи хуб аст). Масалан, DMARC барои ҳамаи муассисаҳои давлатӣ дар Иёлоти Муттаҳида ҳатмӣ аст ва дар бахши молиявӣ бештар талаб карда мешавад ва воридшавии стандарт дар минтақаҳои танзимшаванда ба 90% мерасад. Ҳоло баъзе танзимгарон татбиқи "TLS ҳатмӣ" -ро бо доменҳои инфиродӣ талаб мекунанд, аммо механизми таъмини "TLS ҳатмӣ" муайян карда нашудааст ва дар амал ин танзимот аксар вақт тавре амалӣ карда мешавад, ки ҳатто аз ҳамлаҳои воқеие, ки аллакай ҳадди аққал муҳофизат карда мешаванд ки дар механизмхо ба монанди DANE ё MTA-STS пешбинй шудаанд.

Агар танзимкунанда татбиқи "TLS ҳатмӣ" -ро бо доменҳои алоҳида талаб кунад, мо тавсия медиҳем, ки MTA-STS ё аналоги қисман онро ҳамчун механизми мувофиқтарин баррасӣ кунем, он зарурати танзими бехатариро барои ҳар як домени алоҳида аз байн мебарад. Агар шумо дар татбиқи қисми муштарии MTA-STS мушкилот дошта бошед (то даме ки протокол дастгирии васеъ дарёфт накунад, онҳо эҳтимол дорад), мо метавонем ин равишро тавсия диҳем:

  1. Сиёсати MTA-STS ва/ё сабтҳои DANE-ро интишор кунед (DANE танҳо дар ҳолате маъно дорад, ки агар DNSSEC барои домени шумо аллакай фаъол бошад ва MTA-STS дар ҳар сурат), ин трафикро дар самти шумо муҳофизат мекунад ва зарурати дархост кардани хидматҳои почтаи дигарро аз байн мебарад. Барои танзим кардани TLS ҳатмӣ барои домени шумо, агар хидмати почта аллакай MTA-STS ва/ё DANE -ро дастгирӣ кунад.
  2. Барои хидматҳои бузурги почтаи электронӣ, "аналоги" MTA-STS-ро тавассути танзимоти алоҳидаи нақлиёт барои ҳар як домен татбиқ кунед, ки MX-ро барои интиқоли паёмҳо ислоҳ мекунад ва санҷиши ҳатмии сертификати TLS-ро барои он талаб мекунад. Агар доменҳо аллакай сиёсати MTA-STS-ро нашр карда бошанд, ин эҳтимол метавонад бедард анҷом дода шавад. Худ аз худ, фаъол кардани TLS-и ҳатмӣ барои домен бе ислоҳи реле ва санҷиши сертификат барои он аз нуқтаи назари амният бесамар аст ва ба механизмҳои мавҷудаи STARTTLS чизе илова намекунад.

Манбаъ: will.com

Илова Эзоҳ