يحتوي بروتوكول نقل البريد البسيط أو SMTP على ثغرات أمنية يمكن استغلالها بسهولة. تم تصميم بروتوكولات توجيه البريد الإلكتروني في وقت كانت فيه تقنية التشفير في مرحلة النشوء (على سبيل المثال ، بروتوكول الأمر الواقع لنقل البريد الإلكتروني ، SMTP ، يبلغ عمره الآن 40 عامًا تقريبًا) ، وبالتالي لم يكن الأمان اعتبارًا مهمًا.
نتيجة لذلك ، لا يزال التشفير في معظم أنظمة البريد الإلكتروني انتهازيًا ، مما يعني أنه إذا كان الاتصال المعاكس لا يدعم TLS ، فسيتم إرجاعه إلى اتصال غير مشفر يقوم بتسليم الرسائل بنص عادي.
للتخفيف من مشكلات أمان SMTP ، يعد MTA-STS (أمان النقل الصارم لعامل نقل البريد) هو معيار مصادقة البريد الإلكتروني الموصى به. إنه يفرض TLS للسماح لـ MTAs بإرسال رسائل البريد الإلكتروني بشكل آمن. هذا يعني أنه لن يسمح إلا بالبريد من MTAs التي تدعم تشفير TLS ، وسيسمح فقط للبريد بالانتقال إلى مضيفات MX التي تدعم تشفير TLS.
في حالة تعذر التفاوض على اتصال مشفر بين خوادم SMTP المتصلة ، لا يتم إرسال البريد الإلكتروني ، بدلاً من إرساله عبر اتصال غير مشفر.
تحليل المخاطر التي ينطوي عليها نقل رسائل البريد الإلكتروني عبر اتصال SMTP غير مشفر
STARTTLS هو امتداد لبروتوكول الاتصال لبروتوكول نقل البريد الإلكتروني SMTP الذي يسمح لكل من شركاء الاتصال بترقية اتصال غير مشفر إلى اتصال مشفر. تم تعديل تطبيق الأمان المتوافق مع الإصدارات السابقة هذا في SMTP للتأكد من أن جميع العملاء يمكنهم الاتصال بمستوى معين من التشفير. عندما تم إنشاء SMTP لأول مرة في الثمانينيات ، لم يكن لديه أي إجراءات أمنية لضمان إرسال الاتصال بين خوادم البريد في شكل مشفر - لقد أرسل البريد كنص عادي فقط.
يمكن استغلال ثغرة معروفة في تصميم بروتوكول SMTP لتقليل الاتصال بسهولة. نظرًا لأنه لم يتم تصميم SMTP بحيث يتم تشفيره ، يتم إجراء الترقية للتسليم المشفر عن طريق إرسال أمر STARTTLS غير مشفر. يتيح ذلك لمهاجم رجل في الوسط التلاعب بأمر STARTTLS ، وبالتالي خفض مستوى اتصال TLS المشفر إلى اتصال غير مشفر. هذا يفرض على عميل البريد الإلكتروني الرجوع إلى إرسال المعلومات في نص عادي. يمكن للمهاجم بعد ذلك الوصول بسهولة إلى المعلومات التي تم فك تشفيرها والتنصت عليها.
يمكن أن تهدد هجمات التنصت الإلكتروني مثل MITM المعلومات الحساسة التي يتم تبادلها بين مسؤولي المؤسسة ، مما يؤدي إلى تسرب قواعد بيانات الشركة وبيانات اعتماد تسجيل الدخول.
كيفية ضمان تشفير TLS باستخدام MTA-STS؟
تجعل MTA-STS تشفير TLS إلزاميًا في SMTP ، مما يضمن عدم إرسال الرسائل عبر اتصال غير آمن أو تسليمها في نص عادي. وهذا بدوره يمنع هجمات Man-in-the-middle و DNS الانتحال عن طريق منع المهاجمين من اعتراض اتصالات البريد الإلكتروني.
تساعد خدمات MTA-STS المستضافة من PowerDMARC في القضاء على التعقيدات التي تأتي مع اعتماد البروتوكول ، من خلال تسهيل العملية الشاملة لمالكي المجال.
يوفر MTA-STS المستضاف لأصحاب النطاقات المزايا التالية:
- نستضيف وندير ملفات السياسة والشهادات نيابة عنك
- يعد اعتماد البروتوكول أمرًا سهلاً مثل نشر عدد قليل من سجلات DNS CNAME ، مما يجعلها سهلة وسريعة
- لوحة تحكم مخصصة لإدارة وتعديل تكوينات البروتوكول التي تمكنك من إجراء تغييرات على سجل MTA-STS الخاص بك دون الحاجة إلى الوصول إلى DNS الخاص بك
- تفي خدمات MTA-STS المستضافة من PowerDMARC بمتطلبات الامتثال RFC بالإضافة إلى معايير TLS الحالية
ما يهم مالكي النطاقات بعد تنفيذ MTA-STS هو كيفية الحصول على تنبيه أثناء المواقف التي يتعذر فيها التفاوض على اتصال مشفر وفشل تسليم الرسائل. ومع ذلك ، مع مراعاة هذه المشكلة ، قام الخبراء برعاية تقارير TLS عبر SMTP ، وهي آلية تُعلمك بمشكلات التسليم.
كيفية عرض وإدارة تقارير TLS الخاصة بك؟
أمان البريد الإلكتروني
يسمح لك TLS-RPT بالحصول على إشعار بفشل تسليم البريد الإلكتروني على القنوات المشفرة TLS ؛ يقوم بتحليل جميع المشكلات المحتملة داخل هذه القنوات والإبلاغ عنها ، مما يتيح لك الرد على مشكلة TLS وإعادة إرسال رسالة دون أي تأخير. إنها إضافة ممتازة إلى MTA-STS لأنها تعالج المخاوف المتعلقة بضياع رسائل البريد الإلكتروني أثناء النقل.
خدمات TLS-RPT المستضافة من PowerDMARC:
- يمنحك الوصول إلى لوحة معلومات مخصصة تقوم تلقائيًا بتحليل تقارير TLS الخاصة بك (تم إرسالها في الأصل بتنسيق JSON) ، لجعلها بسيطة وسهلة القراءة
- يتم تنظيم بيانات TLS-RPT في جداول ، مع أزرار وأيقونات قابلة للتنفيذ لسهولة الاستخدام والتنقل
- علاوة على ذلك ، يتم تصنيف تقاريرك إلى تنسيقين منفصلين للعرض: لكل مصدر إرسال ولكل نتيجة ، من أجل رؤية أفضل ووضوح وتجربة مستخدم محسّنة.
يساعدك PowerDMARC على نشر وإدارة حلول مصادقة البريد الإلكتروني مثل DMARC و SPF و DKIM و BIMI و MTA-STS و TLS-RPT ، تحت سقف واحد دون الحاجة إلى نشرها بشكل منفصل لمجالك !
للاستفادة من مزايا مصادقة البريد الإلكتروني في مؤسستك ، ومكافحة مخاطر التصيد الاحتيالي ، والانتحال ، وهجمات برامج الفدية ، وهجمات MITM ، قم بالتسجيل للحصول على محلل DMARC مجاني اليوم!
المصادر:
- The Hacker News