MTA-STS (Mail Transfer Agent Strict Transport Security) on e-posti turvastandard, mis aitab tagada, et e-kirjad liiguvad serverite vahel alati krüptitult ja turvaliselt.
Tavaliselt kasutavad e-posti serverid ühenduse krüptimiseks STARTTLS-i, kuid see töötab vaikimisi ainult võimaluse korral. See tähendab, et kui krüpteeritud ühendust ei saa luua, võib kiri siiski liikuda edasi ilma krüptimata. See on selleks, et “takistustest” hoolimata kiri siiski kohale toimetataks.
MTA-STS võimaldab domeeni omanikul avalikult määrata, et tema e-posti serveritega tuleb ühenduda ainult usaldatava TLS-ühenduse kaudu. Kui turvalist ühendust ei õnnestu luua, ei tohi saatja server kirja kohale toimetada.
Milleks MTA-STS kasulik on?
MTA-STS muudab krüptitud ja usaldatava (TLS) ühenduse kasutamise saatvate meiliserverite jaoks kohustuslikuks. Seda eeldusel, et saatval serveril on MTA-STS tugi.
Ilma MTA-STS-ita on võimalik potentsiaalsel ründajal sundida meiliserverite vahelist ühendust tagasi lihttekstile või lihtsalt ebausaldusväärsele ühendusele. Sertifikaatide õigsust ei kontrollita ja TLS on üleüldiselt vabatahtlik.
MTA-STS aitab selliseid olukordi vältida, sest:
- e-posti serverite vahel luuakse TLS ühendus
- serveri sertifikaat peab olema kehtiv
- kirja ei saadeta kohale, kui turvaline ühendus ei õnnestu
Kuidas MTA-STS töötab?
MTA-STS kasutab kahte peamist komponenti:
- DNS kirje – teatab teistele serveritele, et domeen kasutab MTA-STS poliitikat.
- Poliitikafail HTTPS-i kaudu – sisaldab infot, milliste serverite kaudu tohib domeeni e-posti vastu võtta ja millised turvanõuded kehtivad.
MTA-STS täiendab teisi e-posti turvamehhanisme
Kui SPF, DKIM ja DMARC kaitsevad saatja identiteeti ja takistavad võltsimist, siis MTA-STS kaitseb kirjade transporti serverite vahel. Seega MTA-STS ei asenda SPF-i, DKIM-i ega DMARC-i, vaid kaudselt täiendab neid.
MTA-STS sisselülitamine
MTA-STS sisselülitamiseks võta ühendust meie klienditoega.