Kaip veikia el. Paštas?

Pirma, jūs naudojate pašto vartotojo agentą arba MUA, kad galėtumėte skaityti ir siųsti el. Laiškus iš savo įrenginio (pvz., „Gmail“ arba „Apple“ įrenginių pašto programą). Šios programos yra aktyvios tik tada, kai jomis naudojatės.

Paprastai jie bendrauja su pašto siuntimo agentu arba MTA (dar vadinamu pašto serveriu, MX pagrindiniu kompiuteriu ir pašto keitikliu), kuris naudojamas jūsų el. Laiškams gauti ir saugoti.

El. Laiškai saugomi nuotoliniu būdu, kol atidarote MUA, kad patikrintumėte savo el. Pašto adresą. Laiškus pristato pašto siuntimo agentai (MDA), kurie paprastai yra supakuoti su MTA.

Laiškai anksčiau buvo siunčiami į pašto serverį naudojant SMTP arba „Simple Mail Transfer Protocol“. SMTP yra el. Pašto ryšio protokolas.

Net ir dabar, nors daugelis nuosavybės teise priklausančių sistemų, pvz., „Microsoft Exchange“, ir žiniatinklio pašto programos, tokios kaip „Gmail“, naudoja savo protokolus, jos naudoja SMTP pranešimams perkelti už savo sistemų ribų (pavyzdžiui, jei „Gmail“ vartotojas nori siųsti el. Laišką „Outlook“ klientui).

Tada paštas bus atsisiųstas iš serverio naudojant pašto skyrių protokolą (POP3). POP3 yra programos lygio protokolas, suteikiantis prieigą per interneto protokolo (IP) tinklą vartotojo programai susisiekti su pašto serveryje esančia pašto dėžute. Jis gali prisijungti, nuskaityti pranešimus, juos laikyti kliento kompiuteryje ir ištrinti arba laikyti serveryje.

Jis buvo sukurtas tam, kad būtų galima valdyti laikinus interneto ryšius, pvz., Telefono ryšį (kad prisijungus būtų galima tiesiog prisijungti ir nuskaityti el. Laiškus ir leisti peržiūrėti pranešimus, kai esate neprisijungę). Tai buvo labiau populiaru, kai prieiga prie telefono numerio buvo plačiau paplitusi.

Dabar IMAP, interneto pranešimų prieigos protokolas, dažniausiai pakeitė POP3. IMAP gali leisti keliems klientams tvarkyti tą pačią pašto dėžutę (kad galėtumėte perskaityti el. Laiškus iš darbalaukio, nešiojamojo kompiuterio, telefono ir pan., O visi jūsų pranešimai bus ten, sutvarkyti vienodai).

Galų gale internetinis paštas pakeitė abu. Žiniatinklio paštas leidžia prisijungti prie svetainės ir gauti pranešimus iš bet kur ar bet kurio įrenginio (taip!), Tačiau jį naudojant reikia prisijungti prie interneto. Jei svetainė (pvz., „Gmail“) yra jūsų MUA, jums nereikia žinoti SMTP ar IMAP serverio nustatymų.

Kaip saugus el. Paštas?

Deja, saugumas nebuvo įtrauktas į pašto protokolus nuo pat pradžių (kaip ir dauguma pradinių interneto protokolų). Serveriai tikėjosi, kad ims bet kurį pranešimą iš bet kurio ir perduos jį bet kuriam kitam serveriui, kuris galėtų padėti nukreipti pranešimą į jo galutinę paskirties vietą (gavėjas lauke į:).

Nenuostabu, kad tai tapo problema, kai internetas iš kelių vyriausybės ir mokslinių tyrimų grupių išsiplėtė į tai, ką dauguma pasaulio šalių daro iš esmės viskam. Gana greitai šlamštas ir sukčiavimo el. Laiškai tapo (ir lieka) didžiulė problema visiems.

Reaguodami į tai, mes kartu bandėme įgyvendinti keletą priemonių, neleidžiančių žmonėms skaityti kitų pranešimų (šifravimo) ir patvirtinti, kad pranešimai iš tikrųjų buvo gauti iš tariamo siuntėjo (autentifikavimas).  

Daugelyje vietų naudojamas TLS (transporto lygmens saugumas, SSL pakeitimas, saugių lizdų sluoksnis) - kriptografinis protokolas, kuris teikia šifravimą perduodant. Tai užtikrina apsaugą, kai pranešimas yra perduodamas, bet ne tada, kai duomenys yra ramybės būsenoje (pavyzdžiui, saugomi jūsų kompiuteryje).

Tai užtikrina, kad pranešimas nebus pakeistas ar užgautas, kai jis keliauja iš MTA į MTA. Tačiau tai nepatvirtina, kad pranešimas nebuvo modifikuotas kelionės metu.

Pvz., Jei el. Laiškas eina per kelis pašto serverius, kol pasiekia galutinį tikslą, naudodamas TLS užtikrinsite, kad jis yra užšifruotas tarp serverių, tačiau kiekvienas serveris gali pakeisti pranešimo turinį. Norėdami tai išspręsti, mes sukūrėme SPF, DKIM ir DMARC.

SPF (siuntėjo politikos sistema)

SPF leidžia domeno savininkui (pvz., Google.com) nustatyti DNS TXT įrašą, kuriame nurodoma, kuriems serveriams leidžiama siųsti laiškus iš to domeno (instrukcijos, kaip tai padaryti įvairiems prieglobos paslaugų teikėjams, patikrinkite tai svetainė).

Kaip tai veikia?

Šiame įraše pateikiami leidžiami įrenginiai (paprastai pagal IP), kurie gali baigtis viena iš šių parinkčių:

-visi = Jei patikra nepavyksta (el. pašto šaltinis nėra vienas iš išvardytų įrenginių), rezultatas yra „HardFail“. Dauguma pašto sistemų pažymės šiuos pranešimus kaip šlamštą.

? all = = Jei patikra nepavyksta (el. pašto šaltinis nėra vienas iš išvardytų įrenginių), rezultatas yra neutralus. Tai paprastai naudojama bandymams, o ne gamybos domenams.

~ all = Jei patikra nepavyksta (el. pašto šaltinis nėra vienas iš išvardytų įrenginių), rezultatas yra „SoftFail“. Tai reiškia, kad šis pranešimas yra įtartinas, bet nebūtinai žinomas blogas. Kai kurios pašto sistemos pažymės šiuos pranešimus kaip šlamštą, tačiau dauguma jų ne.

SPF antraštės gali būti naudingos patiems serveriams, nes jie apdoroja pranešimus. Pavyzdžiui, jei serveris yra tinklo pakraštyje, jis žino, kad gautus pranešimus turėtų gauti iš serverių, esančių siuntėjo SPF įraše. Tai padeda serveriams greičiau atsikratyti šlamšto. Nors tai skamba puikiai, deja, yra keletas pagrindinių SPF problemų.

  1. SPF pašto serveriui nenurodo, ką daryti su pranešimu - tai reiškia, kad pranešimas gali nepavykti patikrinti SPF ir vis tiek būti pristatytas.
  2. SPF įrašas žiūri ne į „nuo“ adresą, kurį mato vartotojas, o į „grįžimo kelią“. Iš esmės tai yra grąžinimo adreso, kurį rašote ant laiško, atitikmuo. Laiškus tvarkantiems pašto serveriams nurodoma, kur grąžinti pranešimą (ir jis saugomas el. Pašto antraštėse - iš esmės techninės informacijos serveriai naudoja el. Laiškus apdoroti).

    Tai reiškia, kad į „from: address“ galiu įdėti ką tik noriu, ir tai neturės įtakos SPF patikrai. Tiesą sakant, hakeris abu šiuos el. Pašto adresus gali palyginti suklastoti. Kadangi nėra šifravimo, SPF antraštėmis negalima visiškai pasitikėti.

  3. SPF įrašai turi būti nuolat atnaujinami, o tai gali būti sunku didelėse, nuolat besikeičiančiose organizacijose.
  4. Persiuntimo pertraukos SPF. Taip yra todėl, kad jei el. Laišką iš, tarkim, google.com, persiunčia [email protected], voko siuntėjas lieka nepakitęs (iš adreso vis tiek sakoma google.com). Gaunančio pašto serveris mano, kad jis tvirtina, jog yra iš google.com, bet yra iš bobsburgers.com, todėl nepavyksta patikrinti SPF (nors laiškas iš tikrųjų gaunamas iš google.com).

Norėdami sužinoti daugiau apie SPF, skaitykite šiuos straipsnius. Čia galite patikrinti, ar konkrečiame domene yra sukonfigūruoti SPF ir DMARC įrašai.

DKIM („DomainKeys“ identifikuotas paštas)

DKIM yra panašus į SPF. Jis naudoja TXT įrašus ir siunčiančio domeno DNS, taip pat suteikia tam tikrą paties pranešimo autentifikavimą. Ji bando patvirtinti, kad perduodant pranešimai nebuvo pakeisti.

Kaip tai veikia?

Siunčiantis domenas sukuria viešojo / privataus rakto porą ir įtraukia viešąjį raktą į domeno DNS TXT įrašą (jei nežinote, kas yra viešojo / privataus rakto pora, peržiūrėkite šį straipsnį apie kriptografiją).

Tada domeno pašto serveriai (išorinėje riboje - serveriai, siunčiantys laiškus už domeno ribų (pvz., Iš gmail.com į outlook.com)) naudoja privatųjį raktą, kad sugeneruotų viso pranešimo turinį, įskaitant antraštes.

Generuojant parašą, tekstas paprastai turi būti maišomas ir užšifruojamas (jei norite gauti daugiau informacijos apie šį procesą, žr. Šį straipsnį).

Gaunantys pašto serveriai naudoja DNS TXT įrašo viešąjį raktą, kad iššifruotų parašą, tada maišo pranešimą ir atitinkamas antraštes (visas antraštes, sukurtas, kol paštas buvo siuntėjo infrastruktūroje, pavyzdžiui, jei keli „Gmail“ serveriai el. Laišką apdorojo prieš jį buvo išsiųstas išoriškai adresu outlook.com).

Tada serveris patikrins, ar abu maišos sutampa. Jei taip, pranešimas greičiausiai nebus pakeistas (nebent kas nors pažeisdavo siuntėjo privatų raktą) ir teisėtai iš tariamo siuntėjo. Jei maišos nesutampa, pranešimas buvo arba ne iš tariamo siuntėjo, arba jį pakeitė kitas perduodamas serveris, arba abu.

DKIM atlieka labai gerą darbą atlikdamas vieną labai specifinę užduotį - atsakydamas į klausimą „ar šis el. Paštas buvo pakeistas perduodant, ar ne iš tariamo siuntėjo?“. Tačiau tai ir viskas. Nenurodoma, kaip elgtis su el. Laiškais, kuriems nepavyko atlikti šio bandymo, kuris serveris galėjo pakeisti pranešimą ar kokie pakeitimai buvo atlikti.  

DKIM taip pat naudoja kai kurie interneto paslaugų teikėjai arba interneto paslaugų teikėjai, norėdami nustatyti jūsų domeno reputaciją (ar jūs siunčiate daug šlamšto? Ar esate mažai įsitraukęs? Ar dažnai jūsų el. Laiškai atšoka?).

Norėdami sužinoti daugiau apie DKIM, skaitykite šį straipsnį. DKIM įrašą galite patvirtinti čia.

DMARC (domenais pagrįstas pranešimų autentifikavimas, ataskaitų teikimas ir atitiktis)

„DMARC“ iš esmės yra pašto serverių instrukcijos, kaip tvarkyti SPF ir DKIM įrašus. Ji neatlieka jokių savo bandymų, tačiau pašto serveriams nurodo, kaip elgtis su SPF ir DKIM atliekamais patikrinimais.

Dalyvaujantys interneto paslaugų teikėjai peržiūrės paskelbtus DMARC įrašus ir naudos juos nustatydami, kaip elgtis su DKIM arba SPF nepavykus. Pavyzdžiui, dažnai suklastotas prekės ženklas gali paskelbti DMARC įrašą, kuriame sakoma: jei nepavyksta DKIM ar SPF, meskite pranešimą.

Dažnai IPT taip pat atsiųs ataskaitas apie jūsų domeno veiklą, nurodydami el. Pašto šaltinį ir tai, ar jis atitiko / nepavyko DKIM / SPF. Tai reiškia, kad pamatysite, kada žmonės šmeižia (tariamai siunčia iš jūsų) jūsų domeną arba keičia jūsų pranešimus.

Norėdami įdiegti DMARC, turite sukurti DMARC įrašą, atsižvelgdami į savo poreikius (nuo el. Pašto srauto stebėjimo iki visų jūsų el. Pašto šaltinių išsiaiškinimo iki prašymo atlikti veiksmus, pvz., Atmesti bet kokius el. Laiškus, kurių nepavyksta DKIM ar SPF). Daugiau apie tai galite sužinoti čia ir čia.

Daugiau apie DMARC skaitykite šiame straipsnyje. Čia galite patikrinti, ar konkrečiame domene yra sukonfigūruoti SPF ir DMARC įrašai.

Apvyniokite

Nė viena iš šių saugumo priemonių nėra tobula, tačiau kartu jos padaro gerą darbą, padėdamos mums pagerinti el. Pašto sistemų saugumą visame pasaulyje.

Kuo daugiau organizacijų priims šias priemones (arba naudodamos atvirojo kodo diegimą, arba mokėdamos už produktą), tuo geriau bus visiems. Saugumas, pridėtas kuriant protokolą ar produktą, paprastai yra brangesnis, mažiau efektyvus ir sunkiau įgyvendinamas nei saugumas, įtvirtintas gaminyje.

Tačiau dauguma protokolų, kuriais remiasi dabartinis internetas, buvo sukurti ankstyvajam internetui - mažai entuziastų, mokslininkų ir vyriausybės žmonių grupei - ne pasauliniam tinklui, kuriame valdome pastatus, išmaniuosius įrenginius, viešąjį transportą, atomines elektrines. (!), ir taip toliau.

Taigi, nes internetas ir toliau plečiasi, turime toliau prisitaikyti ir kurti naujus būdus, kaip apsaugoti sistemas, kuriomis pasitikime.