通过MTA-STS和SMTP TLS报告增强电子邮件安全性

1982年，当首次指定SMTP时，它不包含任何在传输级别提供安全性的机制，以保护邮件传输代理之间的通信。

后来，在1999年，STARTTLS命令被添加到SMTP中，这反过来又支持对服务器之间的电子邮件进行加密，从而能够将不安全的连接转换为使用TLS协议加密的安全连接。

然而，加密在SMTP中是可选的，这意味着电子邮件可以以明文发送。邮件传输代理严格传输安全（MTA-STS）是一个相对较新的标准，使邮件服务提供商能够强制实施传输层安全性（TLS）以保护SMTP连接，并指定发送SMTP服务器是否应拒绝向不提供具有可靠服务器证书的TLS的MX主机发送电子邮件。事实证明，它可以成功地抵御TLS降级攻击和中间人（MitM）攻击。

SMTP TLS报告（TLS-RPT）是一个标准，允许报告发送电子邮件和检测错误配置的应用程序在TLS连接中遇到的问题。它允许报告电子邮件未使用TLS加密时发生的电子邮件传递问题。2018年9月，该标准首次记录在RFC 8460中。

为什么你的电子邮件在传输过程中需要加密？

此外，SMTP降级和DNS欺骗攻击等中间人攻击（MITM）近年来越来越流行，并已成为网络犯罪分子的常见做法，可以通过实施TLS加密和扩展对安全协议的支持来规避。

MITM攻击是如何发起的？

由于必须将加密改造为SMTP协议，加密传递的升级必须依赖于STARTTLS命令。MITM攻击者可以通过执行SMTP降级攻击

截获通信后，MITM攻击者可以轻松窃取解密信息并访问电子邮件内容。这是因为SMTP作为邮件传输的行业标准使用了机会主义加密，这意味着加密是可选的，电子邮件仍然可以以明文形式发送。

MITM攻击也可以以DNS欺骗攻击：

由于DNS是一个未加密的系统，网络罪犯可以用他们可以访问并控制的邮件服务器替换DNS查询响应中的MX记录，从而轻松转移流经网络的DNS流量。

在这种情况下，邮件传输代理将电子邮件发送到攻击者的服务器，使他能够访问和篡改电子邮件内容。电子邮件随后可以转发到预期收件人的服务器，而不会被检测到。

部署MTA-STS时，MX地址通过DNS获取，并与MTA-STS策略文件中的地址进行比较，MTA-STS策略文件通过HTTPS安全连接提供服务，从而减轻DNS欺骗攻击。

除了增强信息安全性和减轻普遍的监控攻击外，加密传输中的邮件还可以解决多个SMTP安全问题。

使用MTA-STS实现电子邮件的强制TLS加密

如果您未能通过安全连接传输电子邮件，您的数据可能会被网络攻击者泄露，甚至修改和篡改。

这里是MTA-STS介入并修复此问题的地方，它可以为您的电子邮件提供安全传输，并通过实施TLS加密成功地减轻加密攻击和增强信息安全。

简单地说，MTA-STS强制通过TLS加密路径传输电子邮件。如果无法建立加密连接，则根本不会发送电子邮件，而不是以明文形式发送。

此外，MTA获取并存储MTA-STS策略文件，这些文件安全地服务于MX地址，使得攻击者更难发起DNS欺骗攻击。

MTA-STS提供了针对:

• 降级攻击
• 中间人攻击
• 它解决了多个SMTP安全问题，包括过期的TLS证书和缺乏对安全协议的支持。
• DNS欺骗攻击

主要的邮件服务提供商，如微软、誓言和谷歌，都支持MTA-STS。作为最大的行业参与者，谷歌在采用任何协议时都占据了中心地位，谷歌采用MTA-STS标志着对安全协议的支持扩展，并突显了邮件加密在传输过程中的重要性。

使用TLS-RPT解决电子邮件发送中的问题

SMTP TLS Reporting为域所有者提供诊断报告（JSON文件格式），其中详细介绍了发送到您的域的电子邮件，这些电子邮件面临传递问题，或者由于降级攻击或其他问题而无法传递，因此您可以主动修复问题。

一旦启用TLS-RPT，默认邮件传输代理将开始向指定的电子邮件域发送有关通信服务器之间的电子邮件传递问题的诊断报告。

这些报告通常每天发送一次，涵盖并传达发件人遵守的MTA-STS政策、流量统计数据以及有关电子邮件发送失败或问题的信息。

部署TLS-RPT的必要性：

• 如果由于交付中的任何问题，电子邮件无法发送到您的域，您将收到通知。

• TLS-RPT增强了您所有电子邮件渠道的可视性，使您能够更好地了解域中正在发生的一切，包括无法传递的消息。

• TLS-RPT提供了深入的诊断报告，使您能够识别并找到电子邮件发送问题的根源，并毫不延迟地解决问题。

采用MTA-STS和TLS-RPT，使PowerDMARC变得简单快捷

MTA-STS需要启用HTTPS的web服务器，该服务器具有有效的证书、DNS记录和持续维护。PowerDMARC完全在后台为您处理所有这些，让您的生活变得更加轻松-从生成证书和MTA-STS策略文件到策略实施，我们帮助您避免采用该协议所涉及的复杂性。只要点击几下，我们就能帮你设置，你就再也不用想它了。

借助PowerDMARC的电子邮件身份验证服务，您可以轻松、快速地在组织中部署托管的MTA-STS，借助该服务，您可以强制通过TLS加密连接将电子邮件发送到您的域，从而确保连接安全，防止MITM攻击。

PowerDMARC使TLS-RPT的实现过程简单快捷，让您的生活更加轻松！一旦您注册PowerDMARC并为您的域启用SMTP TLS报告，我们将包含您的电子邮件发送问题报告的复杂JSON文件转换为简单易读的文档（每个结果和每个发送源），您可以轻松地阅读和理解这些文档，这让我们感到非常痛苦！PowerDMARC的平台会自动检测并随后传达您在电子邮件发送中面临的问题，以便您能够及时解决这些问题！

PowerDMARC是一个单一的电子邮件身份验证SaaS平台，它在同一个平台下结合了所有电子邮件身份验证最佳实践，如DMARC、SPF、DKIM、BIMI、MTA-STS和TLS-RPT。所以今天就注册吧，获得免费的DMARC分析仪！