SMTP protokol je tady s námi již poměrně dlouho dobu. Ve své jednoduchosti implementace a provozu je tak bez konkurence. Proto sebou nese i jistá rizika, neboť v době svého vzniku nebylo potřeba toliko myslet na bezpečnost.
Vznikaly tedy aditivní technologie pro ochranu elektronické poštovní komunikace, které standardní SMTP rozšiřovaly, doplňovaly, nebo nad ním stavěly například další validační mechanismy. Setkat se tak můžeme s takzvanými SPF záznamy, určujícími povolené odesílací servery, DKIM podpisy hlaviček e-mailových zpráv a jejich těl, DMARC mechanismů validující tyto dva zmíněné mechanismy a mnohé další.
Tyto jmenované byly samozřejmě podporovány i v Exchange Online v rámci Microsoft 365. Nově nám ale přichází podpora i pro MTA-STS protokol. Plně řečeno MTA Strict Transport Security. Ten rozšiřuje v zásadě volitelné šifrování přenosu zpráv pomocí TLS a dělá z něj povinnost.
Odesílací strana tak může ověřit, že cílová strana nejen nabízí, ale též vyžaduje šifrované spojení, a že toto bylo navázáno k serveru, který disponuje důvěryhodným certifikátem právě pro specifikované jméno poštovního serveru. Nemůže tak dojít k únosu komunikace například pomocí zfalšování DNS odpovědí odesílateli ze strany útočníka.
Co pro zapnutí MTA-STS podpory udělat?
Ze strany příchozích zpráv do vaší online organizace nic. Ochrana je automaticky aktivní. Microsoft pro své domény tuto validaci nasadil a zapnul.
Obrázek 1: MTA-STS deklarace pro doménu outlook.com ve službách Microsoft 365
Pro opačný směr je ale zapotřebí vytvořit DNS záznam ve specifickém tvaru a publikovat na speciální HTTPS URL informaci, jaký certifikát má druhá strana od vás očekávat. Ideální, pokud i samotná tato doména má nastaven DNSSEC a HSTS. Jejich podpora a nasazení vás také posune blíže k plánované nativní podpoře DANE protokolu, který ochranu posouvá ještě o kus dále.
Podrobné detaily k nasazení a samotnému protokolu najdete v RFC 8461. Statistiky ovšem také říkají, že velké množství elektronických zpráv putuje českým internetem bez šifrování. Pokud nepoužíváte Exchange Online, který to řeší skvěle za vás, ověřte si prosím, zda nabízí váš poštovní server TLS 1.2 a novější s patřičně bezpečnými šiframi. Třeba takový Exchange Server 2013 na Windows Server 2012 ve výchozí konfiguraci mnohé neudělá.
Výzva pro správce poštovních serverů
Podpora pro MTA-STS posouvá bezpečnost e-mailové komunikace. Ale je potřeba nezapomínat na naprosté základy. Třeba právě zmíněné SPF, DKIM a DMARC technologie. I z těchto důvodu vydal NÚKIB pro organizace spadající pod Zákon o kybernetické bezpečnosti opatření, kterým implementaci těchto technologií nařizuje. A to může být dobrým vodítkem i pro vás, na co se zaměřit. Především v případech, pokud tyto technologie a základy dosud řešené nemáte. Bližší informace najdete v článku NÚKIB vydává opatření pro správce poštovních serverů – MSPRO.CZ, nebo u našich konzultantů.
