MTA-STS如何提高您的电子邮件安全性？

简单邮件传输协议（Simple Mail Transfer Protocol，简称SMTP）存在易被利用的安全漏洞。电子邮件路由协议是在密码技术刚刚起步的时候设计的（例如，事实上的电子邮件传输协议SMTP现在已经有将近40年的历史了），因此安全性不是一个重要的考虑因素。

因此，在大多数电子邮件系统中，加密仍然是机会主义的，这意味着如果对方的连接不支持TLS，它会回滚到未加密的连接，以明文形式传递消息。

为了缓解SMTP安全问题，MTA-STS（邮件传输代理严格的传输安全）是推荐的电子邮件身份验证标准。它强制实施TLS，以允许MTA安全地发送电子邮件。这意味着它将只允许来自支持TLS加密的MTA的邮件，并且只允许邮件发送到支持TLS加密的MX主机。

如果无法在通信的SMTP服务器之间协商加密连接，则不会发送电子邮件，而不是通过未加密的连接发送。

分析通过未加密的SMTP连接传输电子邮件所涉及的风险

STARTTLS是SMTP电子邮件传输协议的通信协议扩展，允许通信双方将未加密通信升级为加密通信。这种向后兼容的安全实现被改装成SMTP，以确保所有客户端都可以使用某种加密级别进行连接。当SMTP在20世纪80年代首次创建时，它没有任何安全措施来确保邮件服务器之间的通信以加密的形式发送—；它只是以纯文本的形式发送邮件。

可以利用SMTP协议设计中的已知漏洞轻松降级连接。由于SMTP不是为加密而设计的，因此加密传递的升级是通过发送未加密的STARTTLS命令来执行的。这使中间人攻击者能够篡改STARTTLS命令，从而将TLS加密连接降级为未加密连接。这迫使电子邮件客户端退回到以明文发送信息。然后，攻击者可以轻松访问和窃听解密的信息。

像MITM这样的网络窃听攻击会危及组织官员之间交换的敏感信息，导致公司数据库和登录凭据泄露。

如何使用MTA-STS确保TLS加密？

MTA-STS在SMTP中强制使用TLS加密，以确保邮件不会通过不安全的连接发送或以明文形式传递。这反过来阻止攻击者拦截电子邮件通信，从而阻止中间人攻击和DNS欺骗攻击。

PowerDMARC托管的MTA-STS服务使整个过程对域所有者来说更容易，从而有助于消除采用该协议带来的复杂性。

我们托管的MTA-STS为域名所有者提供了以下好处：

• 我们代表您托管和管理策略文件和证书
• 采用该协议非常简单，只需发布几个DNS CNAME记录，就可以轻松快速地完成
• 一个专用仪表板，用于管理和修改协议配置，使您无需访问DNS即可更改MTA-STS记录
• PowerDMARC托管的MTA-STS服务满足RFC合规性要求以及当前的TLS标准

在实施MTA-STS后，域所有者关心的是，在无法协商加密连接和无法传递消息的情况下，如何获得警报。然而，要记住这个问题，专家们是精心策划的SMTP TLS报告，一种通知您交付问题的机制。

如何查看和管理TLS报告？

TLS-RPT允许您在TLS加密通道上收到电子邮件发送失败的通知；它分析并报告这些渠道中所有可能的问题，允许您对TLS问题做出反应，并毫不延迟地返回消息。这是MTA-STS的一个极好的补充，因为它解决了有关邮件在传输过程中丢失的问题。

PowerDMARC托管的TLS-RPT服务：

• 允许您访问专用仪表板，该仪表板自动解析TLS报告（最初以JSON格式发送），使其简单易读
• TLS-RPT数据被组织成表格，带有便于使用和导航的可操作按钮和图标
• 此外，您的报告分为两种不同的查看格式：每个发送源和每个结果，以提高可视性和清晰度，并增强用户体验。

PowerDMARC帮助您部署和管理电子邮件身份验证解决方案，如DMARC，SPF，DKIM，比米，MTA-STS和TLS-RPT，在一个屋顶下，无需为您的域单独部署它们！

要在您的组织中利用电子邮件身份验证的好处，并对抗网络钓鱼、欺骗、勒索软件和MITM攻击的风险，请注册自由DMARC分析仪今天