كشف خبراء الأمن السيبراني أن بروتوكول نقل البريد البسيط (SMTP)، المستخدم منذ عام 1982، لم يتضمن في بداياته أي آلية لتأمين الاتصالات بين خوادم البريد الإلكتروني. ومع تطور التهديدات الإلكترونية وتزايد الهجمات على أنظمة البريد، ظهرت معايير جديدة تهدف إلى تعزيز أمان نقل الرسائل وحماية بيانات المستخدمين.
في عام 1999، أُضيف أمر STARTTLS إلى بروتوكول SMTP، ما أتاح تشفير رسائل البريد الإلكتروني بين الخوادم وتحويل الاتصال من غير آمن إلى اتصال مشفر باستخدام بروتوكول TLS. إلا أن التشفير في SMTP ظل اختياريًا، مما سمح بإرسال بعض الرسائل في نص واضح معرضًا بذلك لهجمات اعتراض البيانات.
ولمواجهة هذه الثغرة، جاء معيار أمن نقل وكيل نقل البريد (MTA-STS) ليمكن مقدمي خدمات البريد من فرض تشفير اتصالات SMTP ومنع تسليم الرسائل إلى خوادم لا تدعم اتصالًا آمنًا. وقد ثبت أن هذا المعيار يخفف بشكل فعال من هجمات تصنيف TLS وهجمات الرجل في الوسط (MITM) التي تستهدف اعتراض البريد الإلكتروني.
كما تم تطوير معيار تقارير SMTP TLS (TLS-RPT) الذي يتيح الإبلاغ عن المشكلات التي تحدث أثناء محاولات تشفير البريد الإلكتروني باستخدام TLS، مما يمكّن الشركات من الكشف المبكر عن حالات الفشل أو الهجمات ومحاولة التصدي لها بسرعة. وتم توثيق هذا المعيار رسميًا في سبتمبر 2018 ضمن RFC 8460.
هذه المعايير الجديدة تعزز بشكل كبير من أمن البريد الإلكتروني، الذي يُعد أحد أكثر قنوات التواصل عرضة للهجمات الإلكترونية، وتدعم الثقة في تبادل المعلومات عبر الإنترنت.
لماذا يجب تشفير رسائل البريد الإلكتروني أثناء الإرسال؟
الهدف الأساسي هو تحسين الأمن على مستوى النقل أثناء اتصال SMTP ، وضمان خصوصية حركة المرور عبر البريد الإلكتروني. علاوة على ذلك ، فإن تشفير الرسائل الواردة الموجهة إلى مجالك يعزز أمان المعلومات ، باستخدام التشفير لحماية المعلومات الإلكترونية.
علاوة على ذلك ، اكتسبت هجمات Man-in-Middle (MITM) مثل SMTP Lowngerge و DNS هجمات تخويفها ، وشعبية في الآونة الأخيرة وأصبحت ممارسة شائعة بين مجرمي الإنترنت ، والتي يمكن أن تتهدم من خلال فرض تشفير TLS وتوسيع الدعم لتأمين البروتوكولات.
كيف يتم شن هجوم MITM؟
نظرًا لأنه كان لا بد من تعديل التشفير في بروتوكول SMTP ، يجب أن تعتمد الترقية للتسليم المشفر على أمر StartTLS. يمكن للمهاجم MITM استغلال هذه الميزة بسهولة عن طريق إجراء SMTP أسفل هجوم التصنيف على اتصال SMTP عن طريق العبث باستخدام أمر الترقية عن طريق استبداله أو حذفه ، مما يجبر العميل على العودة إلى إرسال البريد الإلكتروني في نص عادي.
بعد اعتراض الاتصالات ، يمكن للمهاجم MITM سرقة المعلومات التي تم فك تشفيرها بسهولة والوصول إلى محتوى البريد الإلكتروني. وذلك لأن SMTP كونه المعيار الصناعي لنقل البريد يستخدم التشفير الانتهازي ، مما يعني أن التشفير اختياري ولا يزال من الممكن تسليم رسائل البريد الإلكتروني في نص واضح.
يمكن أيضًا إطلاق هجمات MITM في شكل أ هجوم الخداع DNS:
نظرًا لأن DNS عبارة عن نظام غير مشفر ، يمكن للمجرم الإلكتروني أن يحل محل سجلات MX في استجابة استعلام DNS بخادم بريد يمكنهم الوصول إليه ويتحكم فيه ، وبالتالي تحويل حركة مرور DNS التي تتدفق عبر الشبكة.
يقدم وكيل نقل البريد ، في هذه الحالة ، البريد الإلكتروني إلى خادم المهاجم ، مما يتيح له الوصول إلى محتوى البريد الإلكتروني والعبث به. يمكن إعادة توجيه البريد الإلكتروني لاحقًا إلى خادم المستلم المقصود دون اكتشاف.
عند نشر MTA-STS ، يتم جلب عناوين MX عبر DNS ومقارنتها بتلك الموجودة في ملف سياسة MTA-STS ، والذي يتم تقديمه عبر اتصال مضمون HTTPS ، وبالتالي تخفيف هجمات الخداع DNS.
بصرف النظر عن تعزيز أمن المعلومات وتخفيف هجمات المراقبة المنتشرة ، فإن تشفير الرسائل أثناء العبور يحل أيضًا مشاكل أمان SMTP متعددة.
تحقيق تشفير TLS القسري لرسائل البريد الإلكتروني مع MTA-STS
إذا فشلت في نقل رسائل البريد الإلكتروني الخاصة بك عبر اتصال آمن ، فقد تتعرض بياناتك للخطر أو حتى تعديلها وتعبئتها من قبل مهاجم الإنترنت.
فيما يلي MTA-STS تدخل هذه المشكلة وإصلاحها ، مما يتيح عبورًا آمنًا لرسائل البريد الإلكتروني الخاصة بك بالإضافة إلى تخفيف هجمات التشفير بنجاح وتعزيز أمن المعلومات عن طريق تطبيق تشفير TLS.
ببساطة ، يفرض MTA-STS نقل رسائل البريد الإلكتروني عبر مسار مشفر TLS. في حالة عدم تعذر إنشاء اتصال مشفر ، لا يتم تسليم البريد الإلكتروني على الإطلاق ، بدلاً من تسليمه في نص واضح.
علاوة على ذلك ، تجلب MTAS وتخزين ملفات سياسة MTA-STS ، والتي تخدم عناوين MX بشكل آمن مما يجعل من الصعب على المهاجمين شن هجوم محوّر DNS.
تقدم MTA-STS الحماية ضد :
- هجمات خفض التصنيف
- هجمات رجل في الوسط (MITM)
- إنه يحل مشاكل أمان SMTP المتعددة ، بما في ذلك شهادات TLS المنتهية الصلاحية ونقص الدعم للبروتوكولات الآمنة.
- DNS الهجمات الخداع
يدعم مقدمو خدمات البريد الرئيسية ، مثل Microsoft و Oath و Google ، MTA-STS. جوجل ، كونها أكبر لاعب في الصناعة ، تصل إلى مرحلة المركز عند تبني أي بروتوكول ، ويشير اعتماد MTA-STS بواسطة Google إلى تمديد الدعم نحو البروتوكولات الآمنة ويسلط الضوء على أهمية تشفير البريد الإلكتروني في العبور.
استكشاف الأخطاء وإصلاحها في تسليم البريد الإلكتروني مع TLS-RPT
توفر تقارير SMTP TLS لمالكي المجالات مع تقارير تشخيصية (بتنسيق ملف JSON) مع تفاصيل تفصيلية حول رسائل البريد الإلكتروني الموجهة إلى مجالك وتواجه مشكلات في التسليم ، أو لا يمكن تسليمها بسبب هجوم تخفيض أو أي مشكلات أخرى ، بحيث يمكنك إصلاح المشكلة بشكل استباقي.
بمجرد تمكين TLS-RPT ، سيبدأ وكلاء نقل البريد في إرسال تقارير تشخيصية فيما يتعلق بمسائل تسليم البريد الإلكتروني بين الخوادم المخصصة لمجال البريد الإلكتروني المعين.
عادة ما يتم إرسال التقارير مرة واحدة يوميًا ، وتغطي وينقل سياسات MTA-STS التي لاحظها المرسلون وإحصائيات المرور وكذلك معلومات عن الفشل أو المشكلات في تسليم البريد الإلكتروني.
الحاجة إلى نشر TLS-RPT:
- في حالة فشل إرسال بريد إلكتروني إلى مجالك بسبب أي مشكلة في التسليم ، سيتم إخطارك.
- يوفر TLS-RPT رؤية معززة على جميع قنوات البريد الإلكتروني الخاصة بك بحيث تكتسب رؤية أفضل على كل ما يجري في مجالك ، بما في ذلك الرسائل التي تفشل في تسليمها.
- يوفر TLS-RPT تقارير تشخيصية متعمقة تمكنك من التعرف على مشكلة تسليم البريد الإلكتروني والوصول إليها وإصلاحها دون أي تأخير.
جعل تبني MTA-STS و TLS-RPT سهلاً وسريعًا بواسطة PowerDMARC
يتطلب MTA-STS خادم الويب الذي يدعم HTTPS مع شهادة صالحة ، وسجلات DNS ، والصيانة المستمرة. PowerDmarc يجعل حياتك أسهل كثيرًا من خلال التعامل مع كل ذلك من أجلك ، تمامًا في الخلفية- من توليد الشهادات وملفات سياسة MTA-STS إلى تطبيق السياسة ، نساعدك على التهرب من التعقيدات التي تنطوي عليها تبني البروتوكول. بمجرد أن نساعدك على إعداده ببضع نقرات ، لا تضطر أبدًا إلى التفكير في الأمر مرة أخرى.
بمساعدة PowerDMARC خدمات مصادقة البريد الإلكتروني، يمكنك نشر المستضافة MTA-STS في مؤسستك دون المتاعب وبسرعة سريعة للغاية ، بمساعدة يمكنك تطبيق رسائل البريد الإلكتروني ليتم إرسالها إلى مجالك عبر اتصال مشفر TLS ، مما يجعل اتصالك آمنًا والحفاظ على هجمات MITM.
PowerDmarc يجعل حياتك أسهل من خلال جعل عملية تنفيذ TLS-RPT سهل وسريع ، في أطراف أصابعك! بمجرد التسجيل مع PowerDMARC وتمكين تقارير SMTP TLS لمجالك ، نحن نأخذ ألم تحويل ملفات JSON المعقدة التي تحتوي على تقارير عن مشكلات تسليم البريد الإلكتروني ، إلى مستندات بسيطة قابلة للقراءة (لكل نتيجة و لكل مصدر إرسال) ، والتي يمكنك المرور بها وفهمها بسهولة! يكتشف منصة PowerDMARC تلقائيًا ويقوم بعد ذلك بنقل المشكلات التي تواجهها في تسليم البريد الإلكتروني ، بحيث يمكنك معالجتها على الفور وحلها في أي وقت من الأوقات!
PowerDMARC عبارة عن منصة SAAS واحدة مصادقة بريد إلكتروني تجمع بين جميع أفضل الممارسات لمصادقة البريد الإلكتروني مثل DMARC، SPF ، DKIM ، BIMI ، MTA-STS و TLS-RPT ، تحت نفس السقف. لذا قم بالتسجيل للحصول على محلل DMARC المجاني اليوم!
