info@majordev.ru

Ведущие IT-компании предлагают сменить стандартный почтовый протокол

23 марта 2016

Microsoft и Google выступают за внедрение в работу всемирной паутины новой спецификации почтового протокола SMTP STS. В отличие от обычной версии она позволяет удостоверить подлинность электронного письма и его шифрование.

Ведущие мировые IT-компании обратились в международную организацию Internet Engineering Task Force с предложением сделать версию протокола STS новым стандартом для почтовых сервисов. В отличие от обычной версии SMTP спецификация STS (Strict Transport Security) позволяет удостоверить подлинность получаемого письма и использования надежного алгоритма шифрования его содержания.

Сейчас действующим во всемирной паутине стандартом является обычная версия почтового протокола SMTP, который был разработан еще в 70-е годы прошлого века, и уже давно признан устаревшим. Данная почтовая технология имеет крайне низкую защиту от взлома.

Пересылаемые с помощью SMTP электронные письма можно перехватить на пути их «следования» к серверу. В результате этого злоумышленники могут без особых усилий «вскрыть» письмо или заменить его содержимое, а затем снова отправить его на сервер. Также эта технология не способна предупредить пользователя о том, что текст письма не был надежно зашифрован.

После того, как все недостатки стандартного почтового протокола стали очевидны, разработчиками была предложена альтернативная версия SMTP – технология STARTTLS. Принцип действия данной спецификации основан на создании дополнительного защищенного канала, идущего поверх обычного соединения через TCP (протокол управления передачей). Таким образом, SMTP STARTTLS является «надстройкой» над используемой почтовой технологией. Но эта версия протокола не получила широкого распространения во всемирной паутине.

Несколько лет назад появилась новая спецификация SMTP. Strict Transport Security (STS) отличается высокой степенью защищенности, поскольку не позволяет злоумышленникам перехватить электронное письмо на пути следования к почтовому серверу и изменить его содержимое (вставить другой SSL-сертификат). Перед отправкой новая технология проверяет почтовый сервис, на который отправляется письмо, на предмет поддержки STS. Также проверяется срок действия и подлинность сертификата. Все это гарантирует, что пересылаемое письмо будет надежно зашифровано.

С начала текущего года почтовый сервис Google стал предупреждать своих пользователей о получении незашифрованных электронных писем. При использовании безопасного соединения (с использованием STS) пересылаемое между серверами содержимое доступно лишь получателю или отправителю.