微软本周宣布计划在其云托管电子邮件服务器产品(称为 Office 365 Exchange Online)中增加对 DANE 和 DNSSEC 协议的官方支持。。
DANE 和 DNSSEC 是两个 Internet 协议,用于确保通过正确加密和认证的连接进行通信。
可以安全地通过 Internet 发送电子邮件所涉及的协议可谓是蛋糕,上面有不同的层次。取决于服务器支持的电子邮件相关协议的数量,电子邮件是否更安全。
所有电子邮件通信的基础都是古老的 SMTP(简单邮件传输协议),它定义了一种在电子邮件服务器(网关)之间发送电子邮件的方法。大多数用户都不知道 SMTP 不支持加密,而是以纯文本格式发送所有电子邮件。
为了解决此问题,Internet 社区开发了 STARTTLS(用于通过传输层安全保护安全 SMTP 的 SMTP 服务扩展),它是 SMTP 协议的附加组件,可确保在服务器之间加密发送电子邮件。
但是 STARTTLS 协议(也称为 “机会性 TLS”)具有两个主要缺陷。
首先是电子邮件流量不会直接从发送者传递到接收者,而是在到达目的地时通过其他电子邮件服务器。电子邮件传播路径上的攻击者可能冒充一台古老的服务器,并欺骗发送服务器以将连接从 STARTTLS 降级到较弱的明文 SMTP。
第二个问题是,电子邮件路径上的攻击者还可以欺骗发送者,使其认为它是电子邮件的接收服务器。这意味着即使连接已加密,发送服务器也永远不会知道电子邮件已被转移到恶意服务器,也永远不会到达其预期的目的地。
DANE 和 DNSSEC 分别增加了针对这两个问题的保护。
DANE代表基于 DNS 的命名实体认证,它使服务器所有者可以向所有其他电子邮件服务器广播广播,它们支持适当的加密和身份验证。
微软表示,通过支持 DANE,Exchange Online 服务器不会被诱骗将 STARTTLS 降级为较弱的 SMTP。
但是,尽管 DANE 添加了针对降级攻击问题的对策,但 DNSSEC 却使 Exchange Online 服务器免受了第二个 SMTP / STARTTLS 灾难 - 误认证其他电子邮件网关。
DNSSEC代表域名系统安全扩展,它通过允许电子邮件服务器所有者以数字方式对 DNS 记录进行数字签名并确保没有其他人可以作为其服务器来解决此问题。
分两个阶段推出
微软工程师昨日在博客中表示: “上述标准的支持,尤其是 DNSSEC,将需要对 Microsoft 基础架构进行投资和体系结构更改,我们认为这是增强对客户保护的必要投资。”
微软表示:“由于这将需要大量工作,因此我们将分两个阶段发布用于 SMTP 的 DANE 和 DNSSEC。”
“第一阶段将仅包含出站支持(从 Exchange Online 发送出邮件),我们的目标是在 2020 日历年年底之前启用。第二阶段将为 Exchange Online 添加入站支持,并且我们计划到 2021 年底。”
微软表示,除了 DANE 和 DNSSEC,还将增加对SMTP TLS-RPT(SMTP TLS 报告)标准的支持,为 Exchange Online 服务器所有者提供工具,以调试在电子邮件服务器上启用 DANE 和 DNSSEC 时可能出现的任何错误。 。
Exchange Online 服务器支持的其他电子邮件安全协议包括DMARC(基于域的邮件身份验证,报告和遵从性),DKIM(域密钥标识的邮件)和SPF(发件人策略框架)。
1635
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
