Η Microsoft εργάζεται για την προσθήκη της υποστήριξης SMTP MTA Strict Transport Security (MTA-STS) στο Exchange Online για να διασφαλίσει την ασφάλεια και την ακεραιότητα της επικοινωνίας μέσω email των πελατών του Office 365.
Μόλις το MTA-STS είναι διαθέσιμο στο Office 365 Exchange Online, τα μηνύματα ηλεκτρονικού ταχυδρομείου (email) που αποστέλλονται από χρήστες μέσω του Exchange Online θα παραδίδονται μόνο μέσω συνδέσεων με έλεγχο ταυτότητας και κρυπτογράφησης, προστατεύοντας τόσο από την υποκλοπή των email όσο και από επιθέσεις.
Προστασία από επιθέσεις MITM και downgrade
Το MTA-STS ενισχύει την ασφάλεια του email Exchange Online και επιλύει πολλά προβλήματα ασφαλείας SMTP, όπως η έλλειψη υποστήριξης για ασφαλή πρωτόκολλα, πιστοποιητικά TLS που έχουν λήξει και πιστοποιητικά που δεν εκδίδονται από αξιόπιστα τρίτα μέρη ή αντίστοιχα server domain ονόματα.
Δεδομένου ότι οι mail servers θα εξακολουθούν να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου, παρόλο που δεν είναι δυνατή η δημιουργία μιας ασφαλούς σύνδεσης TLS, οι συνδέσεις SMTP εκτίθενται σε διάφορες επιθέσεις, όπως επιθέσεις downgrade και man-in-the-middle.
“Οι επιθέσεις downgrade είναι δυνατές όπου η απόκριση του STARTTLS μπορεί να διαγραφεί, αποδίδωντας έτσι το μήνυμα σε clear text”, λέει η Microsoft. “Οι επιθέσεις man-in-the-middle (MITM) είναι επίσης δυνατές, με τις οποίες το μήνυμα μπορεί να επαναπροσανατολιστεί στον server ενός εισβολέα.”
“Το MTA-STS (RFC8461) βοηθά στην αποτροπή τέτοιων επιθέσεων παρέχοντας έναν μηχανισμό για τον καθορισμό των domain policies που καθορίζουν εάν το ληφθέν domain υποστηρίζει TLS και τι να κάνει όταν δεν είναι δυνατή η διαπραγμάτευση του TLS”, εξηγεί η εταιρεία σε μια ενημέρωση για το Microsoft 365.
“Η ροή των εξερχόμενων mail Exchange Online (EXO) υποστηρίζει πλέον το MTA-STS”, προσθέτει επίσης η Microsoft.
Η υποστήριξη Exchange Online SMTP MTA Strict Transport Security (MTA-STS) βρίσκεται σε εξέλιξη και η εταιρεία σχεδιάζει να την καταστήσει γενικά διαθέσιμη τον Δεκέμβριο σε όλα τα περιβάλλοντα, για όλους τους χρήστες του Exchange Online.
