腾讯企业邮箱，电子邮件环境下STARTTLS的安全性分析

电子邮件情景下STARTTLS的清静性合成  邮箱网    732次浏览  2021年10月11日 星期一 10:03 邮箱网讯 10月11日新闻 STARTTLS，是一种明文通讯协议的扩展，可能让明文的通讯连线直接成为加密连线（运用SSL或者TLS加密），而不需要运用另一个特意的端口来妨碍加密通讯，属于机缘性加密。 电子邮件客户端以及效率器之间的衔接提供了两种运用 TLS 呵护的措施：隐性 TLS 从一起头就对于衔接妨碍加密并在径自的端口上运行，而 STARTTLS 提供了一种将现有未加密衔接升级到 TLS 的机制。 无意 STARTTLS 被视为一种机缘加密方式，仅在可历时提供 TLS 呵护。这很简略受到升级侵略。可是，今世电子邮件客户端个别期望欺压实施 STARTTLS，而且在启历时，不可能妨碍未加密的通讯。 经由STARTTLS升级衔接是很单薄结子的，简略受到良多清静倾向以及侵略的影响。咱们在 STARTTLS 实现中发现了 40 多个倾向。咱们的论断是，这些倾向是如斯普遍，以是咱们建议尽可能防止运用STARTTLS。 咱们假如中间人 (MitM) 侵略者可能更正电子邮件客户端以及提供商的电子邮件效率器之间建树的衔接。 经由命令注入运用 SMTP 以及 IMAP 窃取登录凭证 2011 年，Postfix 开拓职员 Wietse Venema 形貌了 STARTTLS 实现中的一个倾向，该倾向应承注入效率器将其批注为加密衔接的一部份的明文命令。这是经由运用 STARTTLS 命令向统一 TCP 段中的效率器发送附加命令来实现的。 咱们发现，尽管自2011年以来人们就知道这个倾向，但它依然颇为普遍。妨碍当初共发现了15个易受侵略的实现场景，在扫描中，2%的邮件效率器展现了这个倾向。 此命令注入可用于经由 SMTP 以及 IMAP 协议窃取凭证。 咱们的侵略需要一个中间人 (MitM) 侵略者，该侵略者可能更正收集流量并在统一效率器上具备自己帐户的登录凭证。侵略者可能注入对于其妨碍身份验证的命令，而后开始发送 (SMTP) 或者存储 (IMAP) 电子邮件，受益者发送的登录凭证将存储在侵略者可能碰头的电子邮件中。 命令注入还可用于跨协议侵略，以运用邮件效率器的证书提供 HTTPS 内容。 经由照应注入伪造邮箱内容 咱们发现了一种类似于电子邮件客户端运用挨次中的命令注入的侵略，称之为照应注入。此倾向影响了良多盛行的邮件客户端，搜罗 Apple Mail、Mozilla Thunderbird、Claws Mail 以及 Mutt。 经由在 TLS 握手以前向效率器新闻注入格外的内容以照应 STARTTLS 命令，咱们可能注入效率器命令，客户端将处置这些命令，就彷佛它们是加密衔接的一部份同样，这可用于伪造邮箱内容。 经由 PREAUTH 以及 REFERRAL 窃取凭证的 IMAP 衔接升级 在 IMAP 协议中，效率器可能经由 PREAUTH 命令在*条新闻中见告客户端它已经经由了身份验证。该协议防止在已经验证形态下运用 STARTTLS 命令。因此，假如客户端运用挨次接受 PREAUTH，则它无奈欺压实施 STARTTLS。 中间人侵略者可能运用它来克制 STARTTLS 升级衔接并欺压客户端运用未加密的衔接。该倾向*后于2014年在Trojitá中被发现。咱们发现，其余多个电子邮件客户端运用挨次也简略受到统一倾向的侵略。 此倾向与 IMAP 功能登录援用以及邮箱援用散漫运历时特意严正，这些命令应承效率器调拨客户端登录到另一个 IMAP 效率器。经由运用 PREAUTH 来防止加密衔接，侵略者可能运用援用来欺压客户端将凭证发送到侵略者操作的效率器。侥幸的是，良多客户端不反对于推选功能。咱们发现惟独一个客户—— Alpine，简略受到这种 PREAUTH 以及推选组合的影响。 总结 本文形貌的所有倾向都依赖于不清静衔接到清静衔接的转换，隐性 TLS 不这样的转换，因此不易受到这些侵略。因此，咱们以为隐性 TLS 比 STARTTLS 更清静。 咱们还指出 STARTTLS 总是引入至少一个格外的衔接，以是隐性 TLS 个别提供更好的功能。 清静影响 咱们以为本文所讲的侵略难以大规模实施，主要用于有针对于性的侵略。因此，你理当不断更新软件侧重新配置装备部署电子邮件客户端以只运用隐性 TLS。 清静建议 对于电子邮件客户端用户 假如可能，咱们建议用户魔难并配置装备部署他们的电子邮件客户端，以在专用端口上运用带有隐性 TLS 的 SMTP、POP3 以及 IMAP，即SMTP/Submission端口465，POP3端口995，IMAP端口993。某些邮件效率提供商，特意是 Microsoft 以及 Apple，不反对于SMTP/Submission的隐式TLS。咱们建议用户让他们的邮件效率提供商提供更清静的隐性 TLS 选项。 对于运用挨次开拓职员 默认情景下，电子邮件效率器以及客户端运用挨次都应提供隐性 TLS。从眼前来看，软件开拓职员可能会抉择根基不反对于 STARTTLS，从而简化他们的代码以及配置装备部署对于话框以及文件。 咱们建议在效率器端以及客户端审核所有反对于 STARTTLS 的运用挨次，由于运用挨次需要确保不未加密的内容作为加密衔接的一部份被处置。IMAP 运用挨次必需确保它们不应承将 PREAUTH 与 STARTTLS 散漫运用，可能运用EAST 工具包，它应承测试运用挨次。 对于邮件效率器规画员 确保你运用的效率器反对于所有反对于的协议的隐性 TLS，假如可能，请思考为 IMAP、POP3 以及 SMTP 提交禁用 STARTTLS。 假如你简直需要反对于 STARTTLS，建议运用建议的工具针对于所有反对于的协议的命令注入倾向测试效率器。假如效率器软件易受侵略，立马理当妨碍清静更新。 罕有下场 STARTTLS不清静吗? STARTTLS有两种“方式”，“机缘主义方式”以及“欺压方式”。电子邮件客户端在提交新邮件或者碰头现有邮件以前必需运用用户名以及明码妨碍身份验证。对于这些衔接，必需严厉实施经由STARTTLS传输到TLS的转换，由于升级将吐露用户名以及明码，并给以侵略者对于电子邮件帐户的残缺碰头权。 若何测试运用的软件是否易受侵略？ 咱们了提供应承测试电子邮件客户端以及效率器的 EAST 工具包。 运用咱们的命令注入测试器测试电子邮件效率器的命令注入相对于简略。testssl.sh（开拓版）以及 TLS-Attacker/TLS-Scanner也会魔难命令注入。 其余反对于 STARTTLS 或者相似机制的协议是否受到影响？ 咱们愿望在其余运用 STARTTLS 的协议中看到相似的倾向，好比 XMPP、FTP、IRC 或者 LDAP。因此，咱们建议防止 STARTTLS 并尽可能运用隐性 TLS。 邮件效率器之间的通讯(MTA到MTA)若何处置？ 传统上，电子邮件效率器之间的 STARTTLS 只能防止自动侵略，简略受到自动侵略，好比 STARTTLS 侵略。 参考及源头：https://nostarttls.secvuln.info/ 源头: 嘶吼RoarTalk 标签:电子邮件STARTTLS