23.03.2016 Новости, Безопасность
SMTP STS должен защитить от захвата сообщений “на лету”
Команда независимых ИБ-экспертов совместно с крупнейшими ИT-компаниями, включая Microsoft, Google и Yahoo!, представили на рассмотрение рабочей группы IEEE (Internet Engineering Task Force) предложение о создании нового протокола SMTP STS (Strict Transport Security), предназначенного для шифрования электронной почты. Новый стандарт представляет собой расширение, работающее по типу HSTS (HTTP Strict Transport Security). SMTP STS — это новый механизм, с помощью которого провайдеры почтовых услуг могут реализовывать прием электронных сообщений с защитой TLS или определять методы проверки подлинности сертификатов. Важно отметить, что при установлении связи между серверами проводится диагностика, и в случае если один из них не поддерживает защищенное соединение, то сообщение не отправляется, а пользователь получает соответствующее уведомление о том, почему так случилось. Широко используемый сейчас стандарт SMTP появился еще в 1970-х и считается устаревшим. Эта транспортная технология подвержена атакам типа «человек посередине», когда злоумышленник может перехватить или подменить письмо между клиентом и сервером. Кроме того, она неспособна предупредить получателя о том, что сообщение было прислано в виде обычного текста, без SSL-шифрования. Для решения этой проблемы много лет назад появилось расширение протокола SMTP STARTTLS, но множество уязвимостей не позволило ему обрести популярность. В частности, оно не могло гарантировать шифрование сообщений. В отличие от SMTP, новая ...
читать далее.
