Page Shape Page Shape Page Shape Page Shape Page Shape

什么是 MTA-STS?设置正确的 MTA STS 策略

SMTP 邮件传输代理-严格传输安全(MTA-STS)是一个广为人知的互联网标准,它有助于提高 SMTP(简单邮件传输协议)服务器之间连接的安全性。MTA-STS 解决了现有的 SMTP 在传输过程中执行 TLS 加密。在 1982 年,SMTP 首次被指定,它不包含任何在传输层面提供安全的机制,以确保邮件传输代理之间的通信。然而,在 1999 年,STARTTLS 命令被添加到 SMTP 中,反过来支持服务器之间的电子邮件加密,提供了将非安全连接转换为使用 TLS 协议加密的安全连接的能力。在这种情况下,您一定很想知道 SMTP 是否采用 STARTTLS 来确保服务器之间的连接安全,为什么需要转向 MTA-STS,以及它的作用是什么。让我们在本博客的以下章节中一探究竟!

一、MTA-STS 是什么?

MTA-STS 是一个安全标准,确保通过加密的 SMTP 连接安全传输电子邮件。首字母缩写 MTA 代表信息传输代理,这是一个在计算机之间传输电子邮件信息的程序。首字母缩写 STS 代表严格的传输安全,这是用来实现该标准的协议。一个具有 MTA-STS 意识的邮件传输代理(MTA)或安全信息传输代理(SMTA)按照该规范操作,为在不安全的网络上发送电子邮件提供一个安全的端到端渠道。MTA-STS 协议允许 SMTP 客户端验证服务器的身份,并通过要求服务器在 TLS 握手中提供其证书指纹来确保它没有连接到一个冒牌货。然后,客户端根据包含已知服务器证书的信任存储来验证该证书。

二、为什么需要转向 MTA-STS?

STARTTLS 并不完美,它未能解决两个主要问题:首先,它是一种可选措施,因此 STARTTLS 无法防止中间人(MITM)攻击。这是因为 MITM 攻击者可以轻易修改连接,阻止加密更新。它的第二个问题是,即使实施了 STARTTLS,也无法像 SMTP 那样验证发送服务器的身份。邮件服务器不会验证证书。虽然目前大多数外发电子邮件都使用加密,但攻击者仍可在电子邮件加密前对其进行阻挠和篡改。如果您通过安全连接发送电子邮件,您的数据可能会受到网络攻击者的威胁,甚至被修改和篡改。这时,MTA-STS 就会介入并解决这个问题,保证邮件的安全传输,并成功缓解 MITM 攻击。

三、MTA-STS 的作用是什么?

MTA 存储 MTA-STS 策略文件,使攻击者更难发起。MTA-STS 协议通过 DNS 记录进行部署,该记录指定邮件服务器可以从特定子域获取策略文件。该策略文件通过 HTTPS 获取,并与收件人邮件服务器名称列表一起通过证书验证。与发送端相比,收件人端更容易实施 MTA-STS,因为它需要邮件服务器软件的支持。虽然有些邮件服务器支持 MTA-STS,如但并非所有邮件服务器都支持。主要的邮件服务提供商,如微软、Oath 和谷歌都支持 MTA-STS。谷歌的 Gmail 已经在近期采用了 MTA-STS 策略。MTA-STS 消除了电子邮件连接安全方面的弊端,使受支持的邮件服务器确保连接安全的过程变得简单和容易获得。

四、如何为您的域设置 MTA-STS?

一旦有了活动策略文件,外部邮件服务器将不允许在没有安全连接的情况下访问电子邮件。MTA-STS 策略模式的三个可用值如下:

  1. STRICT:这是最严格的模式,要求所有连接都必须使用安全连接。
  2. PERMISSIVE:这是一种更宽松的模式,允许在没有安全连接的情况下进行临时降级连接。
  3. OFF:这将禁用 MTA-STS。

MTA-STS 需要一个具有有效证书的 HTTPS 网络服务器、DNS 记录和持续维护。SecurityGateway 的工具完全在后台为您处理所有这些工作,让您的生活变得更加轻松。一旦我们帮您设置好,您就再也不用考虑这个问题了。在 SecurityGateway 的帮助下,您可以部署无需处理公共证书。我们可以帮助您从今天开始,您就可以通过 TLS 加密连接快速强制将电子邮件发送到您的域,并确保您的连接安全,防止 MITM 和其他网络攻击。

最新博客