MTA-STS Misconfiguration

MTA-STS 配置错误

风险： medium

描述

MTA-STS 是一种安全协议，使邮件服务器能够声明其接收传输层安全 (TLS) 安全 SMTP 连接的能力。MTA-STS 中的配置错误可能会危及电子邮件安全、导致交付失败，并使组织面临降级攻击的风险。以下领域是 MTA-STS 配置中的关键关注点：

1. 策略文件格式 (Policy File Format)

MTA-STS 策略必须通过 HTTPS 提供，并位于 .well-known/mta-sts.txt。常见的配置错误包括： * 错误的 MIME 类型（必须是 text/plain） * 策略文件中存在无效语法

# 正确格式
version: STSv1
mode: enforce
max_age: 604800
mx: mail.example.com
mx: backup-mail.example.com

2. DNS 记录配置

_mta-sts TXT 记录必须具有正确的格式。配置错误包括： * 无效的记录格式 * 缺少或错误的 version 字段

# 正确格式
_mta-sts.example.com. IN TXT "v=STSv1; id=20230101T123456"

3. 模式选择 (Mode Selection)

不正确的模式选择要么会使组织面临风险，要么会导致不必要的电子邮件交付失败： * testing：不执行强制要求，仅报告 * enforce：严格执行策略 * none：策略被禁用

在未进行测试的情况下直接跳转到 enforce 模式可能会导致电子邮件交付中断。

4. 最大年龄设置 (Max Age)

不适当的 max_age 值会影响安全性和运行效率： * 太低（例如 300 秒）：过多的 DNS 查找和策略获取 * 太高（例如 31536000 秒）：在事件期间更新策略困难

# 推荐范围：1-2 周 (604800-1209600 秒)
max_age: 604800

5. MX 模式匹配

策略文件中的 MX 模式不正确可能导致合法电子邮件被拒绝：

# 过于宽松
mx: *.example.com

# 过于严格
mx: mail1.example.com

# 更好的方法 - 显式列出
mx: mail1.example.com
mx: mail2.example.com
mx: backup.example.com

6. HTTPS 配置

MTA-STS 策略必须通过有效的 HTTPS 连接提供。常见问题包括： * SSL 证书过期 * 证书链无效 * 缺少或错误的 SSL 配置 * 从 HTTP 到 HTTPS 的重定向不起作用

---

这些配置错误可能导致电子邮件交付失败、安全态势降低以及对中间人攻击的脆弱性增加。实施 MTA-STS 的组织应在进入 enforce 模式之前，在 testing 模式下仔细测试配置，并通过 MTA-STS 报告定期监控策略的有效性。

建议

为了降低与 MTA-STS 配置错误相关的风险，请考虑以下建议：

• 从测试模式开始： 在 testing 模式下开始实施 MTA-STS，以便在不影响电子邮件交付的情况下监控潜在问题：

  version: STSv1
  mode: testing
  max_age: 86400
  mx: mail1.example.com
  

• 实施渐进式 Max Age 值： 最初使用较短的 max_age 值并逐渐增加，推荐值为 1-2 周。

• 定期进行策略监控：

• 监控 MTA-STS 报告数据以发现策略失败
• 审查 SMTP TLS 连接日志
• 定期验证 HTTPS 证书的有效性

• 检查跨权威服务器的 DNS 记录一致性

• 安全最佳实践：

• 使用强大的 SSL 证书（2048 位 RSA 或更高）
• 启用 HTTP/2 以提供策略
• 在策略主机上实施正确的 HSTS 标头

• 保持适当的 SPF、DKIM 和 DMARC 对齐

• 操作程序：

• 在您的 DNS 变更管理流程中记录 MTA-STS 配置
• 为与 MTA-STS 相关的议题创建事件响应程序
• 在策略配置中维护备用邮件服务器

• 首先在预发环境 (staging) 中测试策略更新

• 计划变更策略：

• 从 testing 模式的策略开始
• 逐渐增加 max_age 值
• 监控报告数据中的问题
• 在经过成功的测试期后切换到 enforce 模式
• 维护所有变更及其影响的文档

这些建议有助于确保实施稳健安全的 MTA-STS，同时将在电子邮件交付中断的风险降至最低。

链接

• MTA-STS Overview and Configuration Guide
• About MTA-STS and TLS reporting
• What is MTA-STS? Setup the Right MTA STS Policy

标准

• SOC2_CONTROLS:
  • CC_5_3
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_8_1
  • CC_9_1
• GDPR:
  • ART_25
  • ART_32
• OWASP_ASVS_L3:
  • V10_3_3
  • V1_1_5
• PCI_STANDARDS:
  • REQ_1_3
  • REQ_4_1
  • REQ_12_2
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213