Microsoft ได้เพิ่มระดับความปลอดภัยใหม่ให้กับบริการอีเมล Office 365 เพื่อปรับปรุงความสมบูรณ์ของข้อความขาเข้าและขาออก
บริษัทอ้างว่าการป้องกันใหม่ SMTP MTA Strict Transport Security (MTA-STS) ซึ่งเป็นฟีเจอร์ที่ประกาศครั้งแรกในช่วงครึ่งหลังของปี XNUMX จะแก้ไขปัญหาต่างๆ เช่น ใบรับรอง TLS ที่หมดอายุ ปัญหาเกี่ยวกับใบรับรองของบุคคลที่สาม หรือไม่รองรับ โปรโตคอลที่ปลอดภัย
“เราได้ยืนยันการใช้งานของเราแล้ว และตอนนี้ยินดีที่จะประกาศการสนับสนุน MTA-STS สำหรับข้อความ Exchange Online ที่ส่งออกทั้งหมด” Microsoft กล่าวในแถลงการณ์
ในทางปฏิบัติ ระดับการรักษาความปลอดภัยใหม่หมายความว่าเมลใดๆ และทั้งหมดที่ส่งผ่าน Exchange Online จะถูกส่งผ่านการเชื่อมต่อที่รับรองความถูกต้องและเข้ารหัสเท่านั้น
สิ่งนี้จะทำให้ความอัปยศอดสูและการโจมตีแบบคนกลางเป็นไปไม่ได้ หรืออย่างน้อยก็ทำได้ยากมาก
“การโจมตีด้วยความอับอายเป็นไปได้เมื่อสามารถลบการตอบกลับ STARTTLS ได้ ซึ่งจะแปลงข้อความให้เป็นข้อความธรรมดา การโจมตีแบบ Man-in-the-middle (MITM) ก็เป็นไปได้เช่นกัน ซึ่งข้อความสามารถเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ ผู้โจมตีได้” ประกาศเพิ่ม .
“MTA-STS (RFC8461) ช่วยป้องกันการโจมตีดังกล่าวโดยจัดเตรียมกลไกในการกำหนดขอบเขตนโยบายโดเมนที่ให้รายละเอียดว่าโดเมนที่รับยอมรับ TLS หรือไม่ และต้องทำอย่างไรเมื่อไม่สามารถเจรจา TLS ได้ เช่น หยุดการส่งข้อมูล”
ผู้ที่สนใจใช้ MTA-STS ควรตรวจสอบลิงก์นี้ ซึ่ง Microsoft จะอธิบายขั้นตอนโดยละเอียด
บริษัทกำลังทำงานเพื่อเพิ่มความปลอดภัยให้กับอีเมล Office 365 DANE สำหรับ SMTP (DNS-based Named Entity Authentication) ซึ่งคาดว่าจะให้การป้องกันที่ดีกว่า MTA-STS จะถูกเพิ่มเข้ามาในอีกไม่กี่เดือนข้างหน้า
"เราจะเปิดตัวการสนับสนุน DANE สำหรับ SMTP และ DNSSEC ใน 2 ระยะ ระยะแรก DANE และ DNSSEC สำหรับอีเมลขาออก (จาก Exchange Online ไปยังปลายทางภายนอก) จะค่อยๆ เริ่มในเดือนมีนาคม 2022 เราคาดว่าระยะที่สองคือการสนับสนุนอีเมลขาเข้า จะเริ่มปลายปี XNUMX” BleepingComputer อ้างคำพูดของทีม Exchange
"เราได้ทำงานเพื่อสนับสนุน MTA-STS และ DANE สำหรับ SMTP อย่างน้อยที่สุด เราขอแนะนำให้ลูกค้าปกป้องโดเมนของตนด้วย MTA-STS" Microsoft กล่าวเสริม
"คุณสามารถใช้ทั้งสองมาตรฐานบนโดเมนเดียวกันได้ในเวลาเดียวกัน ดังนั้นลูกค้าจึงสามารถใช้ทั้งสองอย่างได้เมื่อ Exchange Online เสนอการป้องกันขาเข้าโดยใช้ DANE สำหรับ SMTP ในช่วงปลายปี XNUMX เนื่องจากทั้งสองมาตรฐานเข้ากันได้ คุณจึงสามารถพิจารณาเฉพาะผู้จัดส่งที่สามารถยอมรับได้เท่านั้น หนึ่งขั้นตอน
ผ่าน: BleepingComputer