Почта Mail.ru внедряет политики MTA-STS для повышения безопасности

Почта Mail.ru внедряет политики MTA-STS для повышения безопасности
MTA-STS — это способ дополнительно защитить письма от перехвата при передаче с одного почтового сервера на другой. Почта Mail.ru стала первой крупной почтовой службой в Рунете, которая реализовала этот стандарт.

Так сложилось, что протоколы SMTP, POP3 и IMAP передавали информацию в открытом виде. MTA-STS позволяет частично уменьшить риск перехвата. Если эта политика применяется на доменах получателя и отправителя, то письма отправляются только по TLS-соединению, только на прописанные в политике серверы и с обязательной проверкой сертификата сервера. Впрочем, у злоумышленников ещё остаётся возможность перехватить письма, если они смогут получить действующий сертификат домена в одном из публичных СА.

Для внедрения MTA-STS достаточно технологий, которые уже внедрены в большинстве организаций (SMTP+STARTTLS, HTTPS, DNS). При этом получателю не нужно использовать особое ПО, чтобы обеспечить поддержку этой политики.

Конечно, MTA-STS — не серебряная пуля. Чтобы политика действительно работала, нужно следить за валидностью сертификата веб- и почтового сервера, соответствием имен и своевременным обновлением. А если возникнут проблемы с сертификатом, то почта перестанет доставляться.

Отправителю нужно использовать MTA с поддержкой политик MTA-STS, а из коробки такой поддержки нет. Кроме того, MTA-STS использует список доверенных корневых CA. Наконец, выше мы уже сказали, что если злодеи обзаведутся валидным сертификатом, то политика не защитит от перехвата писем.

У MTA-STS есть более защищённая альтернатива — стандарт DANE для SMTP (RFC 7672). Но тот уступает с точки зрения технической надёжности, потому что с MTA-STS маловероятно, что письмо не будет доставлено из-за технических проблем, вызванных внедрением стандарта. Впрочем, DANE и MTA-STS не взаимоисключающие технологии, и могут использоваться параллельно.

Почта Mail.ru уже достаточно давно публикует политику MTA-STS для всех основных доменов. Сейчас команда внедряет клиентскую часть стандарта. Пока что политики применяются в неблокирующем режиме (в случае чего, письмо будет доставлено через «запасной» сервер без применения политик). Позднее небольшая часть SMTP-трафика начнёт передаваться в блокирующем режиме, и со временем весь поток писем будет переведён на MTA-STS.

Сегодня MTA-STS мало кем поддерживается, но стандарт поддержан Google, Comcast и частично Verizon (AOL, Yahoo). Так что его популярность будет быстро возрастать.
mail.ru почта mitm mta
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!