MTA-STS nədir? Düzgün MTA STS siyasətinin konfiqurasiyası
və tədbiq olunması
SMTP Mail serverlər
arasında əlaqələrin
təhlükəsizliyini yaxşılaşdıran
məşhur İnternet standartı
SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS)-dir.
MTA-STS ötürmə zamanı
TLS şifrələməsini təmin etməklə SMTP
e-poçt təhlükəsizliyində
mövcud problemləri həll edir.
MTA-STS-in tarixi və mənşəyi
1982-ci ildə SMTP protokolu ilk dəfə istifadə edildikdə, poçt ötürmə agentləri arasında əlaqəni qorumaq üçün heç
bir təhlükəsizlik
mexanizmini olmamışdır.
1999-cu ildə STARTTLS SMTP-yə əlavə edildi ki, bu da öz növbəsində serverlər arasında e-poçt şifrələməsini
dəstəklədi və
etibarlı olmayan əlaqəni TLS protokolundan
istifadə edərək
şifrələnmiş təhlükəsiz
əlaqəyə çevirmək
imkanı verdi.
Bu halda sizdə sual yarana bilər:
SMTP protokolun serverlər
arasında şifrələnmiş
əlaqəni təmin
etmək üçün STARTTLS-i qəbul etdikdən sonra, MTA-STS-ə keçid nə üçün lazımdır?
Gəlin bunu anlayaq!
MTA-STS nədir?
(Mail Transfer Agent Strict Transport Security - izahat)
MTA-STS şifrəli SMTP bağlantısı
üzərindən təhlükəsiz
e-poçt ötürülməsinə
imkan verən təhlükəsizlik standartıdır.
MTA abbreviaturası Message Transfer Agent
deməkdir, kompüterlər
arasında e-poçt mesajlarını ötürən
proqram təminatıdır. STS abbreviaturası
Strict Transport Security deməkdir və standartın tətbiqi üçün istifadə olunan protokoldur. MTA-STS-dən xəbərdar olan poçt ötürmə agenti (MTA) və ya təhlükəsiz mesaj ötürmə agenti (SMTA) bu spesifikasiyaya uyğun olaraq təhlükəsizliyi təmin olunmayan bağlantılarda təhlükəsiz
şifrələnmiş kanal
yaradır.
MTA-STS protokolu SMTP serverin kimliyini yoxlamağa və onun TLS-lə sıxma prosesi zamanı serverdən sertifikatın
iz-ini təqdim etməsini tələb edir və onun saxta
server ilə əlaqə
saxlamasını qarşısını
alır. Daha sonra təqdim olunmuş sertifikat etibarlı olub-olmadığı
yoxlanılır.
MTA-STS: E-poçt Təhlükəsizlik Sisteminə giriş
MTA-STS standartı SMTP protokolu üzərindən mesajların
ötürülməsində təhlükəsizlik
boşluqlarını aradan
qaldırmaq üçün təqdim edilmişdir. Təhlükəsizlik standartı
olaraq, MTA-STS şifrəli
SMTP bağlantısı üzərindən
e-poçtların təhlükəsiz
ötürülməsini təmin
edir.
MTA abbreviaturası Message Transfer Agent serverlər arasında elektron mesajların ötürülməsi üçün proqram təminatıdır.
STS abbreviaturası Strict Transport
Security, standartın tətbiqi
üçün istifadə olunan protokoldur. MTA-STS-ni dəstəkləyən
Mail Transfer Agent (MTA) və ya Secure Message Transfer Agent (SMTA) bu spesifikasiyaya uyğun işləyir və etibarlı olmayan şəbəkələr
üzərindən e-poçt göndərmək üçün təhlükəsiz kanal təmin edir.
Məcburi TLS şifrələməsinə
keçid ehtiyacı
STARTTLS mükəmməl deyildi və o, iki əsas problemi həll edə bilmədi:
·
birincisi, o, isteyə bağlı tədbirdir, ona görə də
STARTTLS MITM (Man İn The Midddle
- ortadakı adam) hücumlarının qarşısını
ala bilmir.
·
İkinci problem ondan ibarətdir
ki, STARTTLS həyata keçirilsə
belə, göndərən
serverin kimliyini yoxlamaq üçün heç
bir yol yoxdur,
SMTP-də olduğu kimi, poçt serverləri
sertifikatları yoxlamır.
Belə
ki, e-poçtların əksəriyyəti,
xırda özəl şirkətlərdən tütmuş
iri dövlət qurumlarına kimi, dünyada qəbuedilmiş standartı olan TLS (Transport
Layer Security) şifrələməsi
ilə qorunur, amma təcavüzkarlar hələ də şifrələnməmişdən əvvəl e-poçtunuza müdaxilə edə və saxtalaşdıra bilər. Təhlükəsiz bağlantı üzərindən
e-poçt göndərsəniz
belə, məlumatlarınız
kiber hücumçu tərəfindən pozula və ya hətta
dəyişdirilə bilər.
Burada
MTA-STS gəlir və
e-poçtlarınızın təhlükəsiz
tranzitini təmin etməklə bu problemi həll edir, eyni zamanda
MITM hücumlarına qarşı
uğurla mübarizə aparır. Bundan əlavə, MTA-lar MTA-STS siyasət
fayllarını saxlayır,
bu da təcavüzkarların
DNS saxtakarlığı hücumunu
başlatmasını çətinləşdirir.
MTA-STS necə
işləyir?
MTA-STS protokolu poçt serverinin siyasət faylını xüsusi alt domendən qəbul edə biləcəyini göstərən DNS qeydindən
istifadə etməklə
yerləşdirilir. Bu siyasət
faylı HTTPS üzərindən
endirilir və sertifikatlar, eləcə də alıcının poçt serveri adlarının
siyahısı ilə
təsdiqlənir.
Microsoft və Google kimi böyük e-poçt xidməti
təminatçıları MTA-STS -i dəstəkləyir. Google Gmail artıq bu yaxınlarda
MTA-STS siyasətini qəbul
etmişdir. MTA-STS e-poçt
bağlantısı təhlükəsizliyində
çatışmazlıqları aradan qaldıraraq, dəstəklənən poçt
serverləri üçün bağlantıların təmin
edilməsi prosesini asan və əlçatan
edir.
Domeniniz üçün MTA-STS konfiqurasiya etmək üçün addımlar
Domeniniz üçün MTA-STS-ni konfiqurasiya etmək üçün bu addımları
yerinə yetirin:
1. Hər bir domen üçün ayrıca
konfiqurasiya edilmiş
MTA-STS siyasətini yaradın
və dərc edin. MTA-STS siyasət faylı bu domen
tərəfindən istifadə
edilən MTA-STS-ə imkan
verən poçt serverlərini müəyyən
edir. Öz domeniniz üçün MTA-STS
siyasətini müəyyənləşdirmək üçün bu linkdən
istifadə edə bilərsiniz. Misal
version: STSv1
mode: testing
mx: mail-mx01.b2bgroup.az
mx: mail-mx02.b2bgroup.az
max_age: 86400
2.
Siyasət faylı yaradıldıqdan
sonra onu uzaq serverlər tərəfindən asanlıqla
əldə edilə bilən ictimai veb serverə yükləməlisiniz. Misal:
https://mta-sts.b2bgroup.az/.well-known/mta-sts.txt
3.
Nəhayət, MTA-STS DNS qeydini (TXT qeydi "_mta-sts") yaradın və dərc edin ki, qəbul edən serverlərə e-məktublarınızın
orijinal hesab edilməsi üçün TLS şifrələnməlidir və
alıcının poçt
qutusuna giriş yalnız aşağıdakı
hallarda icazə verilməlidir: birincisi doğrudur.
_mta-sts.your-domain IN TXT
"v=STSv1; id=12345678"
4.
Aktiv siyasət faylınız
varsa, xarici poçt serverləri təhlükəsiz əlaqə
olmadan e-poçt girişinə icazə verməyəcək.