Инженеры из самых больших провайдеров сервисов электронной почты объединились для улучшения защищенности почтового трафика в интернете.

Придуманный инженерами из Google, Microsoft, yahoo, Comcast, Linkedin, 1&1 Mail & Media Development & Technology протокол «SMTP Strict Transport Security» — это новый механизм, который позволяет Email-провайдерам определять политики и правила для установления зашифрованных соединений.


Новый механизм является черновиком, который опубликован в конце предыдущей недели для рассмотрения как стандарт Продвижения Задач Интернет Инженерии (IETF).

Простой почтовый протокол (SMTP), который используется для отправки сообщений между почтовыми клиентами и серверами, как правило от одного провайдера к другому датирован 1982 годом и не предусматривает собственного шифрования.

По это причине в 2002 году к протоколу было добавлено расширение, названное STARTTLS, позволяющее использовать в SMTP-соединениях технологию TLS (безопасность транспортного уровня). К сожалению, последующее десятилетие, оно не было широко использовано, и Email траффик, проходящий между серверами, по большей части был не зашифрован.

Все поменялось после 2013 года, когда, не без помощи бывшего сотрудника NSA Эдварда Сноудена, просочились секретные документы, где освещены факты широкомасштабной слежки за Интернетом секретными службами США, Великобритании и других стран.

В мае 2014, компания Facebook, рассылающая миллиарды оповещений пользователям каждый день, провела тест и обнаружила, что 58% процентов этих писем были переданы через соединения, зашифрованные с помощью STARTTLS. За август того же года, цифра выросла до 95 процентов.

Однако есть проблема, на отличие HTTPS(защищенный HTTP), STARTTLS позволяет применять оппортунистическое шифрование. Оно не проходит валидацию цифровых сертификатов на email серверах, допускаются даже те, что не могут пройти эту проверку, шифрование трафика все же лучше чем ничего.

Это значит что STARTTLS соединения уязвимы даже для “man-in-the-middle” атак. когда взломщик перехватывает трафик, где могут присутствовать любые сертификаты отправителя, даже самоподписанные, и они могут быть получены что даст возможность расшифровывать трафик в дальнейшем. Более того, STARTTLS соединения уязвимы для так называемых разоружающих атак, когда шифрование может быть попросту удалено.

Предоставленные SMTP со Строгой Защитой Транспорта (SMTP STS) адреса решают оба эти вопроса. Это дает почтовым провайдерам средство подключаться к клиентам, у которых TLS присутствует и должен использоваться. А так же сообщает вторым как присланный сертификат должен быть проверен и что должно случиться если TLS соединение может быть небезопасным.

В этих SMTP STS политиках определяются специальные DNS записи, добавленные в доменные имена почтовых серверов. Протокол предоставляет механизм автоматической валидации этих политик и оповещений о любых непредвиденных ситуациях.

Серверы так же могут предоставить клиентам кэш их SMTP STS политик и указать срок их жизни, определяют порядок борьбы с атакующими по методике “man-in-the-middle” с фальшивыми политиками, когда последние пытаются подключиться.

Предложенный протокол схож с HSTS, что означает предотвращение от HTTPS “downgrade” атак через кеширование политик доменных имен HTTPS в браузере. Это, однако, предполагает что первое соединение с данным клиентом на сервер осуществлен без разрывов; иначе мошеннические политики так же могут быть закешированы.

Согласно последним данным Google 83% почтовых сообщений, отправленных пользователями Gmail другим почтовым провайдерам, зашифрованы, но только 69% входящих писем от других провайдеров получены через шифрованный канал.

Так же много несоответствий в шифровании электронной почты между регионами по всему миру, у провайдеров в Азии и Африке дела обстоят намного хуже чем их европейских и американских коллег.

Оригинал статьи: http://www.infoworld.com/article/3046850/security/google-microsoft-yahoo-and-others-publish-new-email-security-standard.html

ЗЫ: Призываю к конструктивной критике перевода, спасибо.

Комментарии (21)