Większość serwerów poczty e-mail korzysta z protokołu SMTP, który sam w sobie nie zapewnia należytego bezpieczeństwa. Niezabezpieczony serwer nie powinien być stosowany do przesyłania poufnych danych. Konieczne jest wykorzystanie dodatkowych metod szyfrowania, np. MTA-STS.
Czym jest MTA-STS i w jaki sposób zabezpiecza e-maile?
Konfiguracja MTA-STS sprawia, że serwer przyjmuje wyłącznie te wiadomości, które zostały poddane szyfrowaniu TLS w jednej z najnowszych wersji. W dodatku odbiorcy mają pewność, że pochodzące od Ciebie e-maile również są w pełni bezpieczne. W ten sposób można zapobiec atakom typu „man in the middle”. W czasie takiego ataku serwer zewnętrzny przemyca wysłana wiadomość i dokonuje zmian.
Większość serwerów działających na zasadzie protokołu SMTP obsługuje TLS, jednakże nie zawsze serwery z tej formy korzystają. Nie ma zatem pewności, że wiadomość została poddana szyfrowaniu TLS - Transport Layer Security. TLS to nic innego, jak tylko kolejna wersja protokołu zabezpieczającego SSL.
Innymi słowy, MTA-STS wymusza zastosowanie szyfrowania TLS w ramach protokołu SMTP. Ten sposób zabezpieczenia jest odpowiedni na przykład w sytuacji, gdy chcesz umożliwić klientom przekazywanie wrażliwych danych za pośrednictwem poczty e-mail. Może to być wskazane celem załatwienia najróżniejszych spraw bez wychodzenia z domu. Podobne szyfrowanie powinno być stosowane celem zabezpieczenia wiadomości przesyłanych wewnątrz firmy, pomiędzy pracownikami czy partnerami biznesowymi.
W ramach tej formy zabezpieczenia możesz także korzystać raportów TLS. Dzięki temu zyskasz ważne informacji dotyczące pojawiających się nieścisłości. Serwery zewnętrzne, z których pochodzą wiadomości nadawców, otrzymają automatyczne żądanie wysłania takiego raportu.
Jak skonfigurować MTA-STS?
Sposób konfiguracji MTA-STS jest w dużej mierze uzależniony od funkcji poczty. Jeśli dostawca poczty umożliwia wykonanie takiej konfiguracji z zastosowaniem kilku prostych kroków, nie musisz korzystać z poniższej zaawansowanej instrukcji. Ponadto, możesz zapytać dostawcę poczty o rodzaje stosowanych zabezpieczeń. Być może opcja MTA-STS jest stosowana jako domyślna forma ochrony? Jeśli nie, warto przeprowadzić konfigurację zgodnie z następującymi krokami:
- sprawdź, czy certyfikaty TLS stosowane przez serwer są odpowiednie i aktualne,
- stwórz plik konfigurujący w formie tekstu mta-sts.txt. To tak zwane zasady MTA-STS. W pliku muszą znaleźć się następujące dane:
- version: w tym miejscu zawsze należy umieścić tekst STSv1,
- mode: tutaj możesz wybrać jedną z dostępnych opcji. Jeśli chcesz skutecznie konfigurować MTA-STS wpisz „enforce”. Jeżeli zależy Ci wyłącznie na okresowym testowaniu tej opcji zastosuj „testing”. Jeśli kiedykolwiek pojawi się potrzeba wyłączenia tej opcji wpisz „none”,
- mx: tu należy podać nazwę serwera poczty, np. mail.firmax.com. Jeśli chcesz skonfigurować tę opcję dla wielu serwerów wystarczy zastosować kilka wierszy mx.
- max_age: określ czas, w którym ustalona zasada będzie aktualna. Czas ten określany jest w sekundach. Możesz podać dowolną liczbę do 31557600. Jeden tydzień wynosi 604800 sekund. Przykładowa ostateczna forma pliku z zasadami MTA-STS wygląda następująco:
version: STSv1
mode: enforce
mx: mail1.firmax.com
mx: mail2.firmax.com
max_age: 604800
- wyślij utworzoną zasadę na publiczny serwer. Często odbywa się to za pośrednictwem utworzonego wcześniej wirtualnego serwera. Nazwa serwera musi zaczynać się od mta-sts, np. mta-sts.firmax.com. Serwer ten musi być zabezpieczony protokołem SSL/HTTPS.
- dodaj rekordy DNS. Przede wszystkim dodaj rekord dla MTA-STS, który powinien prezentować się następująco:
mta-sts.firmax.com TXT "v=STSv1; id=12345678910
W miejscu „mta-sts.firmax.com” podaj oczywiście odpowiednią nazwę DNS serwera. Natomiast jako ID można zastosować dowolny ciąg liczb. Dodając kolejny rekord określisz adres a-mail, na który mają być dostarczane raporty TLS. W tym celu zastosuj „rua”, np.:
_smtp._tls.firmax.com TXT "v=TLSRPTv1; rua=mailto:firmax@nazwa.com"
To wszystko! Poszczególni dostawcy domen mogą ułatwić Ci sprawdzenie, czy zastosowane zabezpieczenia odpowiednio funkcjonują. W tym celu skontaktuj się z obsługą serwera poczty. Jeśli otrzymujesz raporty TLS, z pewnością zabezpieczenie MTA-STS funkcjonuje odpowiednio. Pamiętaj, że dostępne są także inne formy ochrony poczty e-mail. To na przykład SPF, DMARC czy DKIM. Chcesz, aby profesjonaliści zadbali o Twoje e-maile i bezpieczeństwo klientów firmy? Skontaktuj się z idea4me!
