[資安通報] SMTP不夠安全,Gmail開始採用MTA-STS標準以驗證連線。

Google宣布Gmail開始採用新的MTA-STS(SMTP MTA Strict Transport Security)以及SMTP TLS Reporting標準,強化電子郵件安全性。

由於傳輸電子郵件標準SMTP僅採用機會性加密(Opportunistic encryption),使得連線不夠安全,因為當雙方連線建立時,傳送端會嘗試請求使用加密連線,接收端支援加密則連接會直接開始加密,但過程卻不會進行身份驗證,而且當接收端不支援加密時,便會直接退回明文通訊機制,Google還提到,許多SMTP伺服器不會阻止特定類型的攔截電子郵件惡意攻擊,因此只使用SMTP協定,則很容易遭受中間人攻擊,使用者電子郵件可能在未被發現的情況下,於兩個伺服器間傳輸被攔截,並且遭到竄改。

三年前,IETF內部開始合作,參與者包括Google與其他大型電子郵件服務供應商,發展以MTA-STS與SMTP TLS兩種技術,全面強化電子郵件的安全性。在網域中採用MTA-STS技術意味著,郵件伺服器會要求外部郵件伺服器發送訊息,驗證SMTP連線是否使用有效的公共憑證,以及使用TLS 1.2或更高版本進行加密。

MTA-STS也能與TLS Reporting結合使用,TLS Reporting讓郵件伺服器可以向外部郵件伺服器請求報告,以了解外部郵件伺服器以MTA-STS政策發送信件,成功與否的資訊。Google表示,他們是第一個使用新標準的主要電子郵件服務供應商,在4月10日開始Beta測試。
 

文章來源 .ithome 圖片來源 .Google

讀取中