Почта Mail.ru внедряет политики MTA-STS для повышения безопасности

Почта Mail.ru внедряет политики MTA-STS для повышения безопасности
MTA-STS — это способ дополнительно защитить письма от перехвата при передаче с одного почтового сервера на другой. Почта Mail.ru стала первой крупной почтовой службой в Рунете, которая реализовала этот стандарт.

Так сложилось, что протоколы SMTP, POP3 и IMAP передавали информацию в открытом виде. MTA-STS позволяет частично уменьшить риск перехвата. Если эта политика применяется на доменах получателя и отправителя, то письма отправляются только по TLS-соединению, только на прописанные в политике серверы и с обязательной проверкой сертификата сервера. Впрочем, у злоумышленников ещё остаётся возможность перехватить письма, если они смогут получить действующий сертификат домена в одном из публичных СА.

Для внедрения MTA-STS достаточно технологий, которые уже внедрены в большинстве организаций (SMTP+STARTTLS, HTTPS, DNS). При этом получателю не нужно использовать особое ПО, чтобы обеспечить поддержку этой политики.

Конечно, MTA-STS — не серебряная пуля. Чтобы политика действительно работала, нужно следить за валидностью сертификата веб- и почтового сервера, соответствием имен и своевременным обновлением. А если возникнут проблемы с сертификатом, то почта перестанет доставляться.

Отправителю нужно использовать MTA с поддержкой политик MTA-STS, а из коробки такой поддержки нет. Кроме того, MTA-STS использует список доверенных корневых CA. Наконец, выше мы уже сказали, что если злодеи обзаведутся валидным сертификатом, то политика не защитит от перехвата писем.

У MTA-STS есть более защищённая альтернатива — стандарт DANE для SMTP (RFC 7672). Но тот уступает с точки зрения технической надёжности, потому что с MTA-STS маловероятно, что письмо не будет доставлено из-за технических проблем, вызванных внедрением стандарта. Впрочем, DANE и MTA-STS не взаимоисключающие технологии, и могут использоваться параллельно.

Почта Mail.ru уже достаточно давно публикует политику MTA-STS для всех основных доменов. Сейчас команда внедряет клиентскую часть стандарта. Пока что политики применяются в неблокирующем режиме (в случае чего, письмо будет доставлено через «запасной» сервер без применения политик). Позднее небольшая часть SMTP-трафика начнёт передаваться в блокирующем режиме, и со временем весь поток писем будет переведён на MTA-STS.

Сегодня MTA-STS мало кем поддерживается, но стандарт поддержан Google, Comcast и частично Verizon (AOL, Yahoo). Так что его популярность будет быстро возрастать.
mail.ru почта mitm mta
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.